Bei all den Vorteilen, welche Microsoft 365 allgemein bereits mit sich bringt, muss auch erwähnt werden, dass die Ansprüche an die Zugriffskontrolle deutlich erhöht werden müssen, da die zur Verfügung gestellten Dienste aus dem Internet erreichbar sind und die Identitäten in der Cloud gehostet werden. 

Die Multi-Faktor-Authentifizierung (MFA) stellt hierfür eine passende und sichere Lösung dar. Während Administratoren und IT-Architekten wissen, wie unabdingbar sie für den Betrieb einer sicheren Umgebung ist, sind Endanwender häufig nicht besonders glücklich darüber, sich doppelt authentifizieren zu müssen. „Warum denn so umständlich?“ ist eine Frage, mit der man hier häufig konfrontiert wird. Eine Frage, welche Microsoft mit „Conditional Access“ adressiert und auf geschickte Weise beantwortet.

Grundsätzlich werden Signale anhand von Bedingungen bewertet und darauf basierend der Zugriff auf definierte Ressourcen gewährt, geblockt oder ein weiterer Faktor abgefragt. Als Signale können hierbei viele unterschiedliche Umgebungsvariablen verwendet werden. 

Im Rahmen der Konfiguration sind unter anderem folgende auswählbar:

• User bzw. Gruppenmitgliedschaft
• IP-Standortinformationen
• Geräteinformationen
• Anwendungen

Die Vielzahl an Signalen ermöglicht bei der Zusammenstellung der Bedingungen eine hohe Anzahl an Variationen, um möglichst viele Anwendungsfälle abbilden zu können. So kann für jede Eventualität eine sichere und mit geringem Aufwand verbundene Lösung gefunden werden.

Wie bereits zuvor erwähnt, kann das Ergebnis der Zugriffsprüfung entweder ein „allow“, „require MFA“ oder „block“ sein. Ist das Ergebnis, die Prüfung eines weiteren Faktors, können mehrere sich unterscheidende Lösungen ausgewählt werden. Es stehen neben den Standardmethoden SMS und Authenticator auch noch weitere Optionen wie die Nutzung eines FIDO2-Sticks zur Verfügung. Darüber hinaus können auch Informationen über das Gerät, von welchem der Anwender sich anmeldet, als weiterer Faktor verwendet werden.

Ist eine Richtlinie gebaut, kann sie vorerst als „Report-only“ betrieben werden. Hierbei wird lediglich geprüft, wie oft die Richtlinie angewendet werden würde und was das Ergebnis der Prüfungen wäre. Sehen die Ergebnisse an dieser Stelle gut aus, kann die Richtlinie aktiv gestellt werden. Wichtig hierbei: die Built-In-MFA-Richtlinien müssen deaktiviert sein!

Somit sind wir bei der Frage: „Wie sieht das Zusammenspiel zwischen Built-In-MFA und Conditional Access aus?“. Um es kurz zu fassen – ein wirkliches „Zusammenspiel“ gibt es nicht. Sind die Standard-Sicherheitsrichtlinien noch aktiv, werden diese immer vor den neu erstellten Conditional Access-Richtlinien angewendet werden. Diese werden dadurch nutzlos. Deshalb: auch wenn die eingebauten MFA-Richtlinien stabil funktionieren – stellen Sie sie ab, sobald Sie Conditional Access aktiv haben. Anderenfalls können Sie die vollen Vorteile der neu gebauten Richtlinien nicht nutzen.

Um die Funktionsweise und Nützlichkeit der Lösung zu demonstrieren werden nachfolgend zwei klassische Praxisbeispiele erläutert, wie sie bereits bei vielen unserer Kunden im Einsatz und auch von Microsoft empfohlen sind.

MFA for Admins – Administratorkonten sind wegen ihren erhöhten Berechtigungen besonders schützenswert. Aus diesem Grund muss ein solches Konto angemessenen abgesichert sein. Eine Standard-Policy für Admins lässt deshalb nur Anmeldungen zu, welche mit mindestens einem weiteren Faktor (zusätzlich zum Passwort) abgesichert sind – und das egal von welchem Standort kommend.

MFA for remote Users – Über die letzten Jahre haben sich immer mehr Arbeitsplätze in’s Homeoffice verlagert. Damit die Anwender auch dort eine angenehme Anmeldeerfahrung haben und nicht ständig das Handy zücken müssen, ist auch hier eine spezifische Policy sinnvoll. Typischerweise wird diese so gestaltet, dass Anwender, welche sich außerhalb des Unternehmensnetzwerkes befinden, sich dann ohne die Angabe eines weiteren Faktors anmelden können, wenn sie sich von einem durch Intune verwalteten Gerät anmelden. In diesem Fall dient dieses als zusätzlicher Faktor.

Die Anwendungsbeispiele zeigen es – Conditional Access kann die Sicherheit bei der Zugriffskontrolle innerhalb von Unternehmen auf eine charmante Art und Weise erhöhen, ohne dabei Umstände zu bereiten. Deshalb empfehlen wir stets die Funktion zu nutzen, wenn sie im Lizenzpaket beinhaltet ist. Insbesondere bei Firmen, welche das Passwortrückschreiben aus dem Azure Active Directory aktiviert haben, muss die Nutzung in Betracht gezogen werden.

Wir sind ein führendes mittelständisches IT- und Softwareunternehmen mit langer Erfahrung, State-of-the-art-Technologien, zertifiziertem Qualitätsmanagement und preisgekrönten Innovationen. Der Fokus auf die Bedürfnisse von Kunden ist aus unserer Sicht die Grundlage des Erfolgs – der Kunden und auch unseres eigenen. Gegründet im Jahr 1991, betreuen wir heute Kunden aller Branchen und Größen weltweit.

Wir zeigen Ihnen gerne die Möglichkeiten auf, die sich für Ihr Unternehmen ergeben können. Sprechen Sie uns an, wir freuen uns auf Sie!

Weitere Informationen zu unserem Portfolio finden Sie hier.