Multi-Faktor Authentifizierung (MFA) bietet einen hohen Schutz der eigenen Identität in der Cloud. Der Benutzer muss sich neben dem Kennwort mit einem zweiten Faktor ausweisen können. Ohne diesen zweiten Faktor wird der Zugang zu Cloud Apps unterbunden.

Mit dem Feature “Azure AD Conditional Access” (Bedingter Azure AD-Zugriff) kann die Multi-Faktor Authentifizierung erzwungen werden. Es werden dann mindestens zwei der nachfolgenden Authentifizierungsmethoden obligatorisch:

  • Eine dem Benutzer bekannte Information, zum Beispeil ein Kennwort
  • Ein Gerät im Besitz des Benutzers wie zum Beispiel ein Smartphone oder Security Key
  • Ein biometrisches Merkmal wie Gesichtserkennung oder Fingerabdruck

Die nachfolgende Anleitung zeigt auf, wie die Multi-Faktor Authentifizierung über den Azure AD Conditional Access im eigenen Tenant für alle Benutzer und alle Gast-Benutzer aktiviert wird.

Voraussetzungen und Lizenzierung

Für das Feature “Azure AD Conditional Access” (Bedingter Azure AD-Zugriff) ist folgende Lizenz notwendig:

  • Azure AD Premium P1

Die Lizenz ist unter anderem Bestandteil von “Microsoft 365 Business Premium” und vielen mehr.

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Danke an Aaron Dinnage für diese tolle Übersicht!

Multi-Faktor Authentifizierung für alle Benutzerkonten erzwingen

Unter “Azure AD Conditional Access” wird eine neue Richtlinie erstellt

Die Richtlinie soll auf sämtlichen Benutzer im Tenant angewendet werden

Microsoft empfiehlt, die nachfolgenden Accounts aus der Multi-Faktor Authentifizierung auszuschliessen und stattdessen ein sehr starkes Kennwort (> 24 Zeichen) zu verwenden.

  • Break Glass Accounts / Emergency Accounts
  • Service Accounts
  • Service Principals

Der Ausschluss aus dieser Richtlinie wird wie folgt konfiguriert

Die Richtlinie soll auf allen Cloud Apps angewendet werden, welche sich mit Azure AD authentifizieren. Dies beinhaltet neben Microsoft Cloud Apps (z.B. Microsoft 365 Portal, Azure Portal, outlook.com etc.) auch jene Anwendungen, welche über Azure AD Unternehmensanwendungen eingebunden wurde.

Sollte eine Cloud App ausgeschlossen werden, kann dies ebenfalls konfiguriert werden.

Die Richtlinie soll immer angewendet werden, weshalb es keine Konfiguration der Bedingungen benötigt.

In der Zugriffskontrolle wird nun die Multi-Faktor Authentifizierung erzwungen

Ein Multi-Faktor Authentifizierungs Token hat eine Lifetime von 90 Tagen.
Der Token gilt pro Gerät und muss nach Ablauf der Lifetime erneuert werden. Es empfiehlt sich, diese Lifetime auf 30 Tage zu reduzieren.

Mit der Option “Report-only” (“nur Bericht”) wird die Richtlinie gespeichert, aber die Einstellungen noch nicht aktiviert. Auf diese Weise können die Auswirkungen der Richtlinie zuerst getestet werden.

Die Auswirklungen der Richtlinie können nun im Anmeldeprotokoll von Azure Active Directory ausgewertet werden.

Nach erfolgreicher Prüfung der Richtlinie kann diese aktiviert werden.

Multi-Faktor Authentifizierung für alle Gastkonten erzwingen

Die Konfiguration der Richtlinie für Gastkonten ist weitgehend identisch mit jener der eigenen Benutzerkonten im vorherigen Abschnitt.
Einzige Ausnahme liegt in der Zuweisung der Richtlinie, hier wird explizit “All guest and external users” ausgewählt.

Zuweisungsausschlüsse für folgende Konten hinzufügen

  • Break Glass Accounts
  • Service Accounts
  • Service Principals

Die weitere Konfiguration der Richtlinie ist identisch mit jener der Benutzeraccounts und kann hier eingesehen werden.