Multi Faktor Authentifizierung in Office 365
Auf der Seite Multi Faktor Authentifizierung habe ich die Grundlagen der Anmeldung mit einem zweiten (oder dritten) Faktor mit Office 365 beschrieben. Auf dieser Seite finden Sie die Schritte zur Einrichtung (Stand Jan 2015) in Office 365, damit Konten, die Dienste in Office 365 nutzen. Bitte stellen Sie sicher, dass Sie die Folgen und Abhängigkeiten dieser Einrichtung verstanden haben.
- Azure Multi-Factor Authentication Deployment Guide
http://go.microsoft.com/fwlink/?LinkId=397855
http://msdn.microsoft.com/library/azure/dn249471
Sie können die Einstellungen zwar wieder Rückgängig machen, aber wenn Sie die Anmeldung für einen Benutzer einschalten, kann er ohne die entsprechende Einrichtung keine Dienste in der Cloud mehr nutzen.
Schritt 1: Konfiguration der MFA im Office 365 Admin Center aufrufen
Der erste Schritt muss der Office 365 Administrator machen, indem er im Office 365 Admin Center die "Multi-Faktor Authentifizierung" einrichtet. Wobei die Funktion im Prinzip schon immer frei geschaltet ist und im Office 365 Admin Center nur der Link genutzt wird.
Mit dem Klick auf "Setup" springt der Browser auf die Adresse https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx und meldet sich dort in der Regel automatisch mit den gleichen Credentials an. Anhand der URL sehen sie schon, dass Sie die eigentlich "Office 365"-Umgebung verlassen haben und eine Verwaltung nutzen, die eigentlich für das Azure Active Directory genutzt wird. Damit hatten die meisten Office 365 Administratoren vermutlich noch keinen Kontakt. Office 365 nutzt aber als Backend das Azure AD in einer quasi "kostenfreien" beschränkten Version. Aber diese Version reicht aus, um Office 365 zu betreiben und für die Office 365 Anwender und Azure Administratoren eine Multi Faktor Authentifizierung zu erreichen. Dort ist der Link unter "Active Directory" - Firmenname - Konfiguration
Bei einem Klick auf "Manage Service Settings" unter "multi-factor authentication" springt der Browser aber ebenfalls auf
Achtung: Wer dieses Azure AD für erweiterte Dienste aufwertet (z.B. RMS) bekommt auch zusätzliche Funktionen für die Multi Faktor Authentifizierung . Allerdings müssen Sie dann auch für jeden Benutzer eine entsprechende Lizenz einrechnen, denn die in der Basis enthaltene Funktion entfällt dann für alle Benutzer ohne eine Lizenz komplett.
Schritt 2: Den Benutzer als Administrator für MFA aktivieren.
Mit der Aktivierung für den Tenant können sie als Administrator nun im zweiten Schritt die gewünschten Benutzer für die Multi Faktor Authentifizierung aktivieren. Auch dies erfolgt nicht in bekannten Office 365 Verwaltung (portal.office.com), sondern auf https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx. Aber sollte kein Problem darstellen. Hier gibt es zwei Bereiche: Auf dem ersten Bereich finden Sie die gleiche Benutzerliste, wie Sie diese schon aus der Office 365 Verwaltung können. Es sind sind ja auch die gleichen Objekte nur in einer anderen Verwaltungskonsole. Ich habe hier auf meinen Namen gefiltert und bei dem einen Benutzer aktiviert und beim zweiten sogar erzwungen.
Über den Bereich rechts können Sie den Benutzer deaktivieren oder aktivieren. Beim Aktivieren kommt nur noch eine Sicherheitsabfrage.
Wenn Sie die Verwendung "Erzwingen", dann schaltet Office 365 die App Kennworte für Administratoren ab und die Anwender "müssen" App-Kennworte für alle Programme einrichten, die keine Eingabe eines zweiten Faktors unterstützen.
Wenn Sie schon hier sind, können Sie über den zweiten Bereich "Diensteinstellungen" die Funktion "App-Kennworte" konfigurieren.
Damit ist die Einrichtung in Office 365 schon abgeschlossen.
Benutzer verwalten
An der gleichen Stelle können Sie natürlich später die Benutzer auch bezüglich der Authentifizierung verwalten. Neben dem Deaktivieren und ggfls. neu aktivieren kann der Administrator hier auch die App Kennwörter eines Benutzer löschen etc.
Leider gibt es aber keine Möglichkeit, die Multifaktor-Authentifizierung temporär abzuschalten oder von "Erzwungen" auf "Aktiviert" abzuschwächen. Das geht dann immer nur über das Deaktivieren und neu Aktivieren samt Neueinrichtung durch den Anwender.
Wichtig:
Durch die Änderung eines UPN wird die Anmeldung
per MFA ungültig. Die App kann das Konto nicht
mehr zuordnen. Der Anwender kann sich aber
weiterhin durch manuelle Eingabe der 6-stelligen
Nummer anmelden und damit die App neu verbinden
(
https://aka.ms/mfasetup
MFA mit On-Prem
Das einfache Office 365 MFA lässt es nicht zu, dass auch lokale Dienste damit abgesichert werden. Technisch ist es aber möglich, z.B.: indem Sie eine Subscription von Azure AD Premium abschließen. Dann können Sie lokale Services mittels der cloudbasierten MFA-Plattform zusätzlich absichern:
- Multi Faktor Authentifizierung - Grundlagen
- Using Multi-Factor
Authentication with Windows
Server 2012 R2 AD FS
http://msdn.microsoft.com/en-us/library/azure/dn807157.aspx
Weitere Links
- Multi-Factor Authentication für Office 365
http://blogs.office.com/2014/02/10/multi-factor-authentication-for-office-365/ - Enabling Office 365 multi-factor authentication für online administrators -
Grid User Post
http://community.office365.com/en-us/b/office_365_community_blog/archive/2013/06/19/enabling-office-365-multi-factor-authentication-for-online-administrators-grid-User-post.aspx - Azure Multi-Factor Authentication
http://msdn.microsoft.com/library/azure/dn249471 - Office 365 Multi-Factor Authentication
Part 1: http://www.msexchange.org/articles-tutorials/office-365/exchange-online/office-365-multi-factor-authentication-part1.html
Part 2: http://www.msexchange.org/articles-tutorials/office-365/exchange-online/office-365-multi-factor-authentication-part2.html
Part 3: http://www.msexchange.org/articles-tutorials/office-365/exchange-online/office-365-multi-factor-authentication-part3.html - Office 365 Adds Two-Step Authentication für Every User
http://www.tomsitpro.com/articles/office-365-two-step-authentication-password-paul-andrew,1-1668.html - Plan multi-factor authentication für Outlook 2016 für Windows
https://technet.microsoft.com/en-us/library/mt481448%28v=office.16%29.aspx - PowerShell: Enable/Enforce Multifactor Authentication für All (Bulk) Users in Office 365
https://blogs.technet.microsoft.com/office365/2015/08/25/powershell-enableenforce-multifactor-authentication-for-all-bulk-Users-in-office-365/ - Exchange Online: How to enable your tenant für modern
authentication
http://social.technet.microsoft.com/wiki/contents/articles/32711.exchange-online-how-to-enable-your-tenant-for-modern-authentication.aspx