Office 365 Benutzer mit Multi-Factor Authentifizierung

Zu dem Thema Mehrfaktor- mit Hilfe eines Tokens auf dem Handy habe ich ja bereits schon einmal einen Artikel geschrieben. Ziel dabei ist es, dass selbst wenn Benutzernamen und Kennwort in fremde Hände gelangen trotzdem kein unautorisierter Zugriff auf die Daten möglich ist. Ich selber nutze die Mehrfaktor- bereits seit längerem für meine Konten bei Microsoft, Google, Facebook, Dropbox und seit wenigen Tagen auch für TeamViewer. Auch unterstützt seit einiger Zeit die Mehrfaktor-Authentifizierung und trägt so zum Schutz von Unternehmensdaten wie E-Mails oder Daten auf dem SharePoint Server bei. Dieser kleine Beitrag zeigt den Weg dahin.

Im ersten Schritt melden sie sich mit einem Office 365 Administrator auf der Portalwebsite an (https://portal.microsoftonline.com) und wählen hier den Menüpunkt Benutzer. Im oberen Teil der Benutzerübersicht finden Sie jetzt zusätzlich zu den schon vertrauten Punkten den Abschnitt „Mehrstufige Authentifizierungsanforderung festlegen à Einrichten“.

Die Mehrfaktor-Authentifizierung lässt sich für einzelne Benutzer z.B. für besonders vertrauliche oder gefährdete Konten (z.B. Office 365 Administratoren) oder aber in einer Massenaktualisierung für viele User in einem Schritt einrichten. Ich empfehle ihnen im ersten Schritt ein Konto zum Testen zu nutzen. Wählen sie den entsprechenden Benutzer aus und klicken Sie auf aktivieren.

Vor der eigentlichen Aktivierung erhalten sie noch eine Information. Sobald sie das ganze für den Benutzer aktivieren muss dieser sich über die Portalwebseite anmelden und die Schritte zum aktivieren der Mehrfaktor-Authentifizierung abschließen. Ohne diese ist keine Anmeldung mehr möglich. Gerade im Unternehmen sollten diese Schritte geplant und in einem Roll-Out projektiert werden. Achten sie hierbei auch auf die eingesetzten Endgeräte. Ein Smartphone mit Windows, IOS oder Android wird für die App benötigt. Im Unternehmen muss das noch kein Standard sein!

Der Teil welcher durch den Office 365 Administrator erledigt werden muss ist damit erledigt. Zugegeben es ist der einfache Teil. Der Rest kommt auf den Benutzer zu und diese haben sich ja mit Veränderungen manchmal schwer. Mehr Sicherheit bedeutet in den meisten Fällen weniger Bequemlichkeit. Der oder die betroffenen User müssen sich nun über die Portalwebsite von Office 365 anmelden. Nach Eingabe von Benutzernamen und Passwort erscheint nachfolgende Meldung. Ein Abbruch oder überspringen ist für den Benutzer nicht möglich!

Nach dem Klick auf jetzt einrichten können Sie entscheiden wie die zweite Authentifizierung erfolgen soll. Per Anruf auf dem Telefon, per SMS oder per Smartphone APP. Zugegeben ich habe nicht alle Varianten getestet. Die Praxis zeigt aber, dass sich hier meist nur die mobile App durchsetzt und Anrufe oder SMS eher als Kompromisslösungen zu betrachten sind.

Als nächstes benötigt der Benutzer die Authentifizierungs-App aus dem Store des jeweiligen Anbieters. Dies sind verlinkt und sollten für jeden Benutzer händelbar sein. Geht es darum viele Geräte zu konfigurieren oder haben ihre Benutzer keine Rechte zum Installieren von Apps sollten sie ggf. über eine MDM Lösung nachdenken und darüber ein Roll-Out der Apps steuern. Ich musste feststellen das die klassische Authentifizierungs-App welche ich bisher nutzte hier nicht funktionierte. Ich folgte dem Link für den Windows App Store und installierte diese App. Folgen sie den Anweisungen wie Beschrieben. Sollte ihr Telefon keine Kamera haben können sie die URL und den Code auch manuell eingeben.

Nach der erfolgreichen Kopplung mit dem Smartphone wird die Funktionalität der Mehrfaktor-Authentifizierung geprüft. Unter dem etwas seltsamen übersetzten Punkt „Nehmen Sie Kontakt mit mir auf“ wird ein erster Code angefordert. Ihre App sollte sie per Push-Nachricht darüber informieren. Tragen sie den Code ein und verifizieren sie das Setup.

Für den Fall, dass sie die App versehentlich löschen oder diese nicht mehr funktioniert müssen sie eine zusätzliche Sicherheitsprüfung über ein Telefon hinzufügen. Ein Anmelden ohne diese App ist dann ggf. nicht mehr möglich. Hier greift die zusätzliche Methode per Sprache oder per SMS.

Einige Anwendungen unterstützen unter Umständen die zweite Authentifizierung nicht. Zu diesen zählt beispielsweise das klassische Outlook (noch). Für diese Fälle können sie auf statische „App-Kennwörter“ zurückgreifen. Kopieren und sichern sie sich dieses. Ein Zugriff auf das App-Kennwort ist aber auch nachträglich möglich.

Herzlichen Glückwunsch! Sie haben jetzt alle Schritte erfolgreich durchgeführt. Bei der nächsten Anmeldung werden Sie per Push Nachricht von Ihrem Telefon informiert. Der Token wechselt aller 30 Sekunden. Ein Zugriff auf Ihr Konto ohne diesen Token ist jetzt nicht mehr möglich!

 

 

 

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.