Was ist M365?
M365 ist der Ueberbegriff von Microsoft für die Office Cloud-Dienste inklusive e-mail, OneDrive, Teams und vieles mehr. Und das alles erreichbar mit nur einem Passwort. Und zwar von überall auf der Welt. Ganz schön mutig! Interessanterweise empfiehlt sogar Microsoft die Passwörter nicht mehr so oft zu ändern, denn oft ändern heisst vergessen oder aufschreiben. Also besser ein sicheres Passwort, dass wenig geändert wird. Aber noch besser ist ein Passwort, dass ich gar nicht kenne und darum auch nicht weitergeben kann.
Was ist MFA?
Schon mehrfach habe ich bei ClickCoach das Thema MFA (Multi-Faktor Authentifizierung) angesprochen. Du verwendest einen zweiten Faktor neben dem Passwort um sicher zu stellen, dass die eigene Identität im Netz nicht einfach so gestohlen und weiter verwendet werden kann. Das Mobiltelefon bietet sich an, denn das hat heute fast jeder. Damit keiner ausgeschlossen wird können aber auch Telefonanrufe als zweite Methode hinterlegt werden.
Warum wird diese einfache Massnahme (MFA) nicht viel mehr angewendet?
„Historisch bedingt“ wird oft als Argument vorgebracht warum wichtige Dienste über das Internet heute immer noch mit einer einfachen Kombination aus Benutzername und Passwort von überall auf der Welt erreicht werden können. Warum ist es manchmal so schwierig die Sicherheit in Unternehmen (oder auch zu Hause) zu erhöhen? Ja, Passwörter sind bequem und wir haben uns daran gewöhnt. Aber was ist noch bequemer als Passwörter? Keine Passwörter!
Wie nutze ich M365 mit MFA auf einfache Art?
Wie immer gehe ich vom einfachsten Fall aus, das heisst die Identität wird vollständig in der Cloud verwaltet. Es gibt diverse Spielarten bei denen ich die Authentisierung nicht in der Cloud sondern bei mir in der Firma („On Premise“) durchführe. Auf die Unterschiede gehe ich in späteren Beiträgen noch ein.
Bei neuen ‚Tenants‘, d.h. wenn ich mich ganz neu registriere bei M365 gibt es die Möglichkeit „Security Defaults“ zu nutzen. Das würde ich auf jeden Fall empfehlen, denn dann ist MFA einfach von Anfang an da und es muss nicht später dazu geschaltet werden. Die Security Defaults lassen sich auch im Nachhinein aktivieren und zwar hier:
- https://portal.azure.com
- Anmelden mit dem Admin Konto für deinen Tenant (es braucht ‚Global Admin‘ oder vergleichbare Rechte)
- „Azure Active Directory“ anklicken
- Dann ‚Properties‘ wählen
- Dann ganz unten im Menü auf den Link ‚Manage Security Defaults‘ klicken
- Jetzt lassen sich die ‚Security Defaults‘ ein- oder ausschalten.
- Die Security Defaults beinhalten unter anderem MFA für alle M365 User
Was wären denn Gründe die Security Defaults nicht zu nutzen?
Die Sicherheit kann noch detaillierter konfiguriert werden mit zusätzlichen Kriterien. Das nennt sich ‚Conditional Access‘ und ist zu den Security Defaults nicht kompatibel. In diesem Fall müsste ich die Defaults zuerst ausschalten.
Die genauen Unterschiede und Details werden hier erklärt:
Achtung: Die ‚Security Defaults‘ sind bei fast allen Abos schon kostenlos dabei während „Conditional Access“ mit Mehrkosten (Azure AD P1 Lizenz oder vergleichbar) verbunden ist.
Im nächsten Beitrag schreibe ich weiteres zu „Conditional Access“. Einen Vorgeschmack darauf findet ihr schon mal hier:
Was ist Conditional Access (Microsoft)
Aber wieso brauche ich jetzt immer noch ein Passwort?
Ihr habt’s gemerkt. MFA ersetzt das Passwort bei dieser Konfiguration gar nicht sondern ergänzt es. Tatsächlich kann es aber auch so konfiguriert werden, dass das Passwort nicht eingegeben werden muss. Wenn ich eine M365 Website öffne, schickt Microsoft eine Anfrage an mein Mobiltelefon und ich muss die Anmeldung nur noch in der App bestätigen. Wie das geht werde ich in einem späteren Beitrag erklären.
Habt ihr Fragen zu MFA oder M365 oder eigene Erfahrungen damit gemacht? Schreibt mir über den Vorschlaghammer. Das T-Shirt zur Website sollte natürlich auch nicht unerwähnt bleiben.
ClickCoach - Approach the Coach 