Multi Faktor Authentifizierung in Office 365

Auf der Seite Multi Faktor Authentifizierung habe ich die Grundlagen der Anmeldung mit einem zweiten (oder dritten) Faktor mit Office 365 beschrieben. Auf dieser Seite finden Sie die Schritte zur Einrichtung (Stand Jan 2015) in Office 365, damit Konten, die Dienste in Office 365 nutzen. Bitte stellen Sie sicher, dass Sie die Folgen und Abhängigkeiten dieser Einrichtung verstanden haben.

Sie können die Einstellungen zwar wieder Rückgängig machen, aber wenn Sie die Anmeldung für einen Benutzer einschalten, kann er ohne die entsprechende Einrichtung keine Dienste in der Cloud mehr nutzen.

Schritt 1: Konfiguration der MFA im Office 365 Admin Center aufrufen

Der erste Schritt muss der Office 365 Administrator machen, indem er im Office 365 Admin Center die "Multi-Faktor Authentifizierung" einrichtet. Wobei die Funktion im Prinzip schon immer frei geschaltet ist und im Office 365 Admin Center nur der Link genutzt wird.

Mit dem Klick auf "Setup" springt der Browser auf die Adresse https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx und meldet sich dort in der Regel automatisch mit den gleichen Credentials an. Anhand der URL sehen sie schon, dass Sie die eigentlich "Office 365"-Umgebung verlassen haben und eine Verwaltung nutzen, die eigentlich für das Azure Active Directory genutzt wird. Damit hatten die meisten Office 365 Administratoren vermutlich noch keinen Kontakt. Office 365 nutzt aber als Backend das Azure AD in einer quasi "kostenfreien" beschränkten Version. Aber diese Version reicht aus, um Office 365 zu betreiben und für die Office 365 Anwender und Azure Administratoren eine Multi Faktor Authentifizierung zu erreichen. Dort ist der Link unter "Active Directory" - Firmenname - Konfiguration

Bei einem Klick auf "Manage Service Settings" unter "multi-factor authentication" springt der Browser aber ebenfalls auf

Achtung: Wer dieses Azure AD für erweiterte Dienste aufwertet (z.B. RMS) bekommt auch zusätzliche Funktionen für die Multi Faktor Authentifizierung . Allerdings müssen Sie dann auch für jeden Benutzer eine entsprechende Lizenz einrechnen, denn die in der Basis enthaltene Funktion entfällt dann für alle Benutzer ohne eine Lizenz komplett.

Schritt 2: Den Benutzer als Administrator für MFA aktivieren.

Mit der Aktivierung für den Tenant können sie als Administrator nun im zweiten Schritt die gewünschten Benutzer für die Multi Faktor Authentifizierung  aktivieren. Auch dies erfolgt nicht in bekannten Office 365 Verwaltung (portal.office.com), sondern auf https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx. Aber sollte kein Problem darstellen. Hier gibt es zwei Bereiche: Auf dem ersten Bereich finden Sie die gleiche Benutzerliste, wie Sie diese schon aus der Office 365 Verwaltung können. Es sind sind ja auch die gleichen Objekte nur in einer anderen Verwaltungskonsole. Ich habe hier auf meinen Namen gefiltert und bei dem einen Benutzer aktiviert und beim zweiten sogar erzwungen.

Über den Bereich rechts können Sie den Benutzer deaktivieren oder aktivieren. Beim Aktivieren kommt nur noch eine Sicherheitsabfrage.

Wenn Sie die Verwendung "Erzwingen", dann schaltet Office 365 die App Kennworte für Administratoren ab und die Anwender "müssen" App-Kennworte für alle Programme einrichten, die keine Eingabe eines zweiten Faktors unterstützen.

Wenn Sie schon hier sind, können Sie über den zweiten Bereich "Diensteinstellungen" die Funktion "App-Kennworte" konfigurieren.

Damit ist die Einrichtung in Office 365 schon abgeschlossen.

Benutzer verwalten

An der gleichen Stelle können Sie natürlich später die Benutzer auch bezüglich der Authentifizierung verwalten. Neben dem Deaktivieren und ggfls. neu aktivieren kann der Administrator hier auch die App Kennwörter eines Benutzer löschen etc.

Leider gibt es aber keine Möglichkeit, die Multifaktor-Authentifizierung temporär abzuschalten oder von "Erzwungen" auf "Aktiviert" abzuschwächen. Das geht dann immer nur über das Deaktivieren und neu Aktivieren samt Neueinrichtung durch den Anwender.

Wichtig:
Durch die Änderung eines UPN wird die Anmeldung per MFA ungültig. Die App kann das Konto nicht mehr zuordnen. Der Anwender kann sich aber weiterhin durch manuelle Eingabe der 6-stelligen Nummer anmelden und damit die App neu verbinden ( https://aka.ms/mfasetup

MFA mit OnPremise

Das einfache Office 365 MFA lässt es nicht zu, dass auch lokale Dienste damit abgesichert werden. Technisch ist es aber möglich, z.B.: indem Sie eine Subscription von Azure AD Premium abschließen. Dann können Sie lokale Services mittels der cloudbasierten MFA-Plattform zusätzlich absichern:

Weitere Links