Microsoft stellt auf Multifaktorauthentifizierung (MFA) um!

Ab Ende November 2023 führt Microsoft für seine Unternehmens- und Bildungskunden neue Richtlinien für den bedingten Zugriff ein. Sie sollen langfristig die MFA durchsetzen. Auf automatisch eingerichtete Conditional-Access-Richtlinien wird Microsoft seine Entra-Kunden ab dieser Woche umstellen. Ziel des Konzerns ist, die Zugangssicherheit zu erhöhen, indem er eine Multifaktorauthentifizierung (MFA) bei seinen Nutzern durchsetzt. Bei dieser müssen Anwender bei der Anmeldung neben dem Passwort zum Beispiel einen an eine zuvor hinterlegte E-Mail-Adresse oder Mobilnummer verschickten PIN eingeben.

Drei Richtlinien für die meisten Fälle

Zum Start sieht Microsoft drei Richtlinien vor, die sich an unterschiedliche Anwendergruppen richten. Die erste setzt eine MFA bei Admin-Portalen des Anbieters voraus und ist für alle Firmenkunden gedacht. So lässt sich sicherstellen, dass Angreifer Zugänge mit erhöhten Rechten nicht missbrauchen.

Wer eine MFA auf individueller Nutzerbasis einsetzt, kann diese jetzt für alle Cloud-Applikationen vorschreiben. Ziel ist, dass Organisationen so langfristig leichter auf Entra Conditional Access umsteigen können.

Die dritte Richtlinie setzt die Lizenz Entra ID Premium P2 voraus und soll Anmeldungen aller Nutzer absichern, bei denen die Software ein erhöhtes Risiko erkannt hat. Administratoren können die Auswirkungen aller dieser Richtlinien zentral überwachen und sie bei Bedarf kopieren und anpassen, um zum Beispiel bestimmte Anwender als Ausnahmen hinzuzufügen.

In letzterem Punkt unterscheidet sich Conditional Access von den Security Defaults. Sind sie aktiviert, schreibt Microsoft in jedem Fall eine MFA vor. Zwar verteilt der Anbieter auch die Security Defaults an neue und seit 2022 auch an ausgewählte Kunden, kann so aber nicht genug Einstellungen für die Administratoren insbesondere in grossen Umgebungen bieten.

90 Tage Testing möglich

Die ersten Entra-Kunden sollen bereits ab dieser Woche die neuen Conditional-Access-Richtlinien erhalten, zuvor erhalten sie eine Benachrichtigung. 90 Tage lang können Nutzer sie testen und anpassen, bevor Microsoft sie und somit die MFA standardmäßig aktiviert.

Microsoft hat angekündigt, dass es ab Ende November 2023 alle Kunden mit Entra ID (früher: Azure Active Directory [Azure AD]) automatisch auf Conditional Access (CA) Richtlinien umstellen wird. CA ist ein Sicherheitsfeature, das den Zugriff auf Cloud-Ressourcen basierend auf verschiedenen Faktoren wie Standort, Gerät oder Anwendung steuert. Microsoft will damit die Sicherheit und Compliance seiner Cloud-Dienste erhöhen.

Die Umstellung betrifft alle Entra Unternehmens- und Bildungskunden, die Conditional Access noch nicht aktiviert haben oder die nur die Standardrichtlinien verwenden. Sie werden auf die neuen Baseline-Richtlinien umgestellt, die Microsoft als „Best Practices“ empfiehlt. Die Baseline-Richtlinien umfassen unter anderem die Anforderung einer Multi-Faktor-Authentifizierung (MFA) für alle Administratoren, die Blockierung von Legacy-Authentifizierungsprotokollen und die Anwendung von CA auf alle Cloud-Apps.

Falls Sie Fragen zum Thema haben oder wir Sie in der Erarbeitung von für Sie geeigneten Lösungen unterstützen dürfen, wenden Sie sich an unseren Support (support@netree.ch).

Quelle: Heise News