Schritt für Schritt: Multi-Faktor-Authentifizierung (MFA) in Azure AD konfigurieren

Schritt für Schritt: Multi-Faktor-Authentifizierung (MFA) in Azure AD konfigurieren

01.02.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration und Implementierung der Multi-Faktor-Authentifizierung (MFA) in Azure Active Directory (jetzt Microsoft Entra ID) helfen. MFA ist eine wesentliche Sicherheitsebene, die von Benutzern zwei oder mehr Formen der Verifizierung verlangt, um ihre Identität nachzuweisen, bevor sie Zugriff erhalten, wodurch das Risiko einer Kontokompromittierung erheblich verringert wird [1].

Einführung

In der heutigen Cyber-Bedrohungslandschaft reichen Passwörter allein nicht mehr aus, um Benutzerkonten zu schützen. Phishing-Angriffe, Passwort-Spraying und Zugangsdatendiebstahl sind gängige Taktiken von Angreifern. Die Multi-Faktor-Authentifizierung (MFA) fügt eine wichtige Sicherheitsebene hinzu, indem sie von Benutzern verlangt, etwas anzugeben, was sie wissen (Passwort), etwas, das sie besitzen (Telefon, Hardware-Token) oder etwas, das sie sind (Fingerabdruck, Gesichtserkennung). Die Implementierung von MFA ist eine der effektivsten Sicherheitsmaßnahmen, die ein Unternehmen ergreifen kann, um seine Ressourcen in Microsoft Entra ID und den zugehörigen Diensten zu schützen [2].

Diese Anleitung behandelt die Schritte zum Einrichten von MFA in Azure AD und konzentriert sich dabei auf verschiedene Implementierungsmethoden, von Grundkonfigurationen bis hin zur Verwendung von Richtlinien für bedingten Zugriff für eine detailliertere Kontrolle. Es werden Schritt-für-Schritt-Anleitungen, Beispielkonfigurationen und Validierungsmethoden bereitgestellt, um sicherzustellen, dass der Leser MFA effektiv in seiner Umgebung anwenden kann.

Warum ist MFA so wichtig?

  • Risikominderung: Reduziert die Wahrscheinlichkeit einer Kontokompromittierung drastisch, selbst wenn Passwörter gestohlen werden.
  • Compliance: Viele Sicherheitsstandards und -vorschriften erfordern die Implementierung von MFA zum Schutz sensibler Daten.
  • Phishing-Schutz: Fügt eine Barriere gegen Phishing-Angriffe hinzu, da der Angreifer nicht nur das Passwort, sondern auch den zweiten Faktor benötigt.
  • Flexibilität: Azure AD bietet mehrere Zweitfaktor-Optionen wie die Microsoft Authenticator-App, SMS, Telefonanruf und Hardware-Tokens, sodass Benutzer die bequemste und sicherste Methode wählen können.

Voraussetzungen

Um MFA in Azure AD einzurichten, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Lizenz, die Azure AD MFA-Funktionen umfasst. Dies können Azure AD Free (mit Sicherheitsstandards), Azure AD Premium P1 oder P2 (für bedingten Zugriff) oder Microsoft 365-Lizenzen sein, die Azure AD Premium enthalten [3].
  2. Administratorzugriff: Ein Konto mit globalen Administrator- oder Authentifizierungsadministratorberechtigungen im Azure-Portal („portal.azure.com“) oder im Microsoft Entra Admin Center („entra.microsoft.com“).
  3. Testgeräte: Mindestens ein Testbenutzerkonto und ein Gerät (Smartphone) zum Konfigurieren und Validieren von MFA.
  4. Konten für den Notfallzugriff: Es empfiehlt sich, Break-Glass-Konten zu erstellen und zu sichern, die von der MFA ausgenommen sind, um Sperrungen im Falle von Problemen mit dem MFA-System zu vermeiden [4].

Schritt für Schritt: Multi-Faktor-Authentifizierung (MFA) in Azure AD konfigurieren

Es gibt verschiedene Möglichkeiten, MFA in Azure AD zu aktivieren. Wir behandeln die beiden häufigsten: Sicherheitsstandards (für schnelle, grundlegende Konfigurationen) und Richtlinien für bedingten Zugriff (für eine detaillierte Kontrolle).

Option 1: MFA mithilfe von Sicherheitsstandards aktivieren (empfohlen für kleine und mittlere Unternehmen)

Sicherheitsstandards bieten einen grundlegenden Satz von Microsoft empfohlener Sicherheitsrichtlinien, einschließlich der Anforderung von MFA für alle Benutzer und Administratoren. Dies ist eine einfache und effektive Möglichkeit, die Sicherheit schnell zu erhöhen.

  1. Greifen Sie auf das Microsoft Entra Admin Center zu: „https://entra.microsoft.com“.
  2. Gehen Sie im linken Navigationsbereich zu Schutz > Sicherheitsübersicht.
  3. Klicken Sie im Abschnitt Sicherheitsstandards aktivieren auf Sicherheitsstandards verwalten.
  4. Setzen Sie im Bereich Sicherheitsstandards die Option Sicherheitsstandards aktivieren auf Ja.
  5. Klicken Sie auf Speichern.

Hinweis: Sobald die Sicherheitsstandards aktiviert sind, müssen alle Benutzer MFA bei ihrer nächsten Anmeldung konfigurieren. Sie werden aufgefordert, die Microsoft Authenticator-App zu registrieren. Sicherheitsstandards sind ideal für Organisationen, die nicht über diese verfügenm Azure AD Premium P1- oder P2-Lizenzen und benötigen eine schnelle, standardisierte MFA-Implementierung. Es ist nicht möglich, bedingten Zugriff und Sicherheitsstandards gleichzeitig zu verwenden. das eine deaktiviert das andere.

Option 2: MFA mithilfe von Richtlinien für bedingten Zugriff aktivieren (empfohlen für granulare Kontrolle und größere Unternehmen)

Mithilfe von CA-Richtlinien (Conditional Access) können Sie bestimmte Bedingungen definieren, unter denen MFA erforderlich ist, und bieten so viel mehr Flexibilität als Sicherheitsstandards. Für diese Option ist eine Azure AD Premium P1- oder P2-Lizenz erforderlich.

2.1. Erstellen Sie eine Testbenutzergruppe

Es empfiehlt sich, Richtlinien für bedingten Zugriff an einer kleinen Gruppe von Benutzern zu testen, bevor Sie sie in Ihrer gesamten Organisation bereitstellen.

  1. Gehen Sie im Microsoft Login Admin Center zu Identität > Gruppen > Alle Gruppen.
  2. Klicken Sie auf Neue Gruppe.
  3. Geben Sie die Details ein:
    • Gruppentyp: Sicherheit
    • Gruppenname: „MFA_Users_Test“.
    • Azure AD-Rollen können einer Gruppe zugewiesen werden: Nein
    • Mitgliedschaftstyp: Zugewiesen
  4. Fügen Sie Testbenutzer als Mitglieder hinzu und klicken Sie auf Erstellen.

2.2. Erstellen Sie eine Richtlinie für bedingten Zugriff, um MFA zu erfordern

  1. Gehen Sie im Microsoft Login Admin Center zu Schutz > Bedingter Zugriff.
  2. Klicken Sie auf Neue Richtlinie > Neue Richtlinie erstellen.
  3. Name: „MFA für alle Benutzer erforderlich“ (oder „MFA für Testgruppe erforderlich“ beim Testen).
  4. Verantwortlichkeiten:
    • Identitätsbenutzer oder Workloads: Wählen Sie Alle Benutzer (oder die Gruppe „MFA_Users_Test“ zum Testen).
    • Löschen: Es ist wichtig, dass Sie Ihre Notfallzugangskonten hier löschen, um eine Sperrung zu vermeiden. Fügen Sie außerdem alle Dienstkonten hinzu, die MFA nicht verwenden können.
  5. Cloud-Ressourcen oder -Aktionen: Wählen Sie Alle Cloud-Anwendungen.
  6. Bedingungen (Optional, für zusätzliche Granularität):
    • Sie können Bedingungen basierend auf Standort, Geräten, Client-Anwendungen usw. konfigurieren. Erfordern Sie beispielsweise MFA nur für den Zugriff von außerhalb des Unternehmensnetzwerks.
  7. Gewährung:
    • Wählen Sie Zugriff gewähren.
    • Aktivieren Sie Mehrfaktor-Authentifizierung erforderlich.
    • Klicken Sie auf Auswählen.
  8. Sitzung (optional):
    • Sie können die Steuerung der Anmeldehäufigkeit oder die Sitzungspersistenz konfigurieren.
  9. Richtlinie aktivieren: Legen Sie die Option Nur melden fest, um die Auswirkungen vor der Anwendung zu testen, oder Ein, um die Anwendung sofort anzuwenden.
  10. Klicken Sie auf Erstellen.

2.3. Konfigurieren Sie Authentifizierungsmethoden

Es ist wichtig zu definieren, welche MFA-Methoden den Benutzern zur Verfügung stehen.

  1. Gehen Sie im Microsoft Login Admin Center zu Schutz > Authentifizierungsmethoden > Richtlinien.
  2. Hier können Sie Methoden wie Microsoft Authenticator, SMS, Sprachanruf usw. aktivieren oder deaktivieren. Es wird empfohlen, Microsoft Authenticator und SMS als primäre Methoden zu aktivieren.
  3. Konfigurieren Sie Optionen für jede Methode, z. B. den Authentifikator-Registrierungsmodus (kein Passwort oder Push-Benachrichtigung).

Validierung und Tests

Nach der Konfiguration von MFA muss unbedingt überprüft werden, ob es wie erwartet funktioniert.

1. Testen Sie eine Benutzeranmeldung

  1. Öffnen Sie ein Browserfenster im Inkognito-/privaten Modus.
  2. Navigieren Sie zu einer Anwendung, die von der MFA-Richtlinie abgedeckt wird (z. B. „portal.office.com“).
  3. Melden Sie sich mit dem Konto eines Benutzers an, der in der MFA-Richtlinie enthalten ist.
  4. Der Benutzer sollte aufgefordert werden, MFA zu konfigurieren (wenn dies die erste Anmeldung nach der Aktivierung ist) oder den zweiten Faktor anzugeben (z. B. die Benachrichtigung im Microsoft Authenticator genehmigen, SMS-Code eingeben).

2. Überprüfen Sie den MFA-Registrierungsstatus

  1. Gehen Sie im Microsoft Login Admin Center zu Identität > Benutzer > Alle Benutzer.
  2. Klicken Sie auf einen Benutzer und dann auf Authentifizierungsmethoden.
  3. Überprüfen Sie die für den Benutzer registrierten Authentifizierungsmethoden. Dadurch wird bestätigt, dass der Benutzer MFA erfolgreich eingerichtet hat.

3. Nur-Bericht-Modus verwenden (für bedingten Zugriff)

Wenn Sie die Richtlinie für bedingten Zugriff im Modus Nur Bericht konfiguriert haben, können Sie die Ergebnisse ohne Durchsetzung überprüfen.

  1. Gehen Sie im Microsoft Login Admin Center zu Schutz > Bedingter Zugriff.
  2. Klicken Sie auf die von Ihnen erstellte Richtlinie und gehen Sie zur Registerkarte Nur melden.
  3. Analysieren Sie die Ergebnisse, um zu sehen, welche Benutzer und Anwendungen von der Richtlinie betroffen wären und ob MFA erforderlich wäre.

Sicherheitstipps und Best Practices

  • MFA für Administratoren erforderlich: MFA für Administratorkonten immer erforderlich, unabhängig von anderen Richtlinien. Diese Konten sind Hauptziele für Angriffe.
  • Benutzerschulung: Schulen Sie Benutzer in der Bedeutung von MFA und wie man es richtig konfiguriert und verwendet. Erklären Sie, wie Sie MFA-Phishing-Versuche erkennen und melden.
  • Microsoft Authenticator: Fördern Sie die Verwendung der Microsoft Authenticator-App mit Push-Benachrichtigungen, da sie als eine der sichersten und benutzerfreundlichsten Methoden gilt und außerdem resistent gegen einige Arten von Phishing-Angriffen ist.
  • Detaillierte Richtlinien für bedingten Zugriff: Verwenden Sie bedingten Zugriff, um zu verfeinern, wann MFA erforderlich ist (z. B. außerhalb des Unternehmensnetzwerks, für Anwendungen mit hohem Risiko, für Benutzer in privilegierten Rollen).
  • Regelmäßige Überprüfung: Überprüfen Sie regelmäßig Ihre MFA-Richtlinien und benutzerregistrierten Authentifizierungsmethoden, um sicherzustellen, dass sie effektiv und sicher bleiben.
  • Notfallkonten: Halten Sie einen strengen Prozess für Notfallzugriffskonten ein, einschließlich der sicheren Speicherung von Anmeldeinformationen und der regelmäßigen Überprüfung ihrer Nutzung.

Allgemeine Fehlerbehebung

  • Benutzer kann MFA nicht konfigurieren: Stellen Sie sicher, dass der Benutzer über eine entsprechende Lizenz verfügt und dass die gewünschten Authentifizierungsmethoden aktiviert sind. Weisen Sie den Benutzer an, die Registrierungsanweisungen sorgfältig zu befolgen.
  • Benutzer nach Aktivierung von MFA blockiert: Überprüfen Sie, ob der Benutzer von einer Richtlinie für bedingten Zugriff ausgeschlossen wurde oder ob ein Problem mit der konfigurierten MFA-Methode vorliegt. Verwenden Sie bei Bedarf Notfallzugangskonten.
  • MFA wird nicht angefordert: Stellen Sie sicher, dass die Richtlinie für bedingten Zugriff aktiviert und den richtigen Benutzern und Anwendungen zugewiesen ist. Wenn Sie Sicherheitsstandards verwenden, stellen Sie sicher, dass es keine widersprüchlichen Richtlinien für bedingten Zugriff gibt.
  • Probleme mit der Authenticator-App: Überprüfen Sie die Netzwerkkonnektivität Ihres Mobilgeräts und ob Benachrichtigungen für die App aktiviert sind. Versuchen Sie, das Konto in der App zu entfernen und erneut hinzuzufügen.

Fazit

Die Multi-Faktor-Authentifizierung ist ein Grundpfeiler der modernen Identitätssicherheit. Die Konfiguration von MFA in Azure AD, insbesondere durch Richtlinien für bedingten Zugriff, bietet einen robusten Schutz vor unbefugtem Zugriff. Wenn Sie die Richtlinien in diesem Artikel befolgen, ist Ihr Unternehmen besser gerüstet, um Benutzeridentitäten und kritische Ressourcen zu schützen, Risiken zu mindern und Ihre allgemeine Sicherheitslage zu stärken. Denken Sie daran, dass Sicherheit ein fortlaufender Prozess ist, der ständige Anpassung und Verbesserung erfordert.

Referenzen:

[1] Microsoft Learn. Was ist Multi-Faktor-Authentifizierung?. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Learn. Planen Sie eine Bereitstellung der Microsoft Entra Multi-Faktor-Authentifizierung. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Learn. Microsoft Entra Multi-Factor Authentication-Lizenzierung. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Learn. Erstellen Sie Notfallzugriffskonten auf Microsoft Entra ID. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts