Azure Multi-Factor Authentication

Veröffentlicht: Mai 2013

Letzte Aktualisierung: Juli 2015

Wenn Sie diesen Inhalt kommentieren oder Fragen zu den hier vorgestellten Informationen stellen möchten, stellen Sie bitte Feedback bereit.

Dieses Thema enthält eine Übersicht über die mehrstufige Authentifizierung im Allgemeinen sowie über den Azure Multi-Factor Authentication-Dienst im Besonderen. In diesem Thema wird außerdem beschrieben, wie ein globaler Administrator mehrstufige Authentifizierung in Azure verwenden kann, um die Identitätsdaten seiner Organisation in der Cloud zusätzlich zu schützen. Sie können den Multi-Factor Authentication-Dienst für Azure Active Directory-Benutzer (Azure AD) oder für benutzerdefinierte Anwendungen aktivieren, indem Sie das SDK (Software Development Kit) verwenden. Sie können den Multi-Factor Authentication-Dienst für lokale Anwendungen aktivieren, indem Sie den Azure Multi-Factor Authentication-Server verwenden.

Ein Video zu dieser Übersicht finden Sie unter Video: Multi-Factor Authentication auf Kanal 9.

Was ist mehrstufige Authentifizierung, und wie funktioniert sie?

Die mehrstufige Authentifizierung ist eine Authentifizierungsmethode, die die Nutzung von mehr als einer Verifizierungsmethode erfordert und Benutzeranmeldungen und -transaktionen so eine kritische zweite Sicherheitsebene hinzufügt. Zu diesem Zweck sind mindestens zwei der folgenden Überprüfungsmethoden erforderlich:

  • Etwas, das Sie kennen (normalerweise ein Kennwort)

  • Etwas, das Sie besitzen (ein vertrauenswürdiges Gerät, das nicht auf einfache Weise dupliziert werden kann, z. B. ein Telefon)

  • Etwas, das einzigartig für Sie ist (Biometrie)

Die Sicherheit mehrstufiger Authentifizierung ergibt sich durch den mehrstufigen Ansatz. Die Gefährdung mehrerer Authentifizierungsfaktoren stellt für Angreifer eine erhebliche Herausforderung dar. Selbst wenn ein Angreifer das Kennwort eines Benutzers erfährt, ist dieses nutzlos, wenn er nicht auch im Besitz des vertrauenswürdigen Geräts ist. Umgekehrt gilt: Wenn der Benutzer das Gerät verliert, kann die Person, die das Gerät findet, es nur benutzen, wenn sie auch im Besitz des Kennworts des Benutzers ist.

Was ist Azure Multi-Factor Authentication?

Standardmäßig unterstützt der Azure AD-Dienst die Verwendung von Kennwörtern als einzige Authentifizierungsmethode für Benutzeranmeldungen. Die Azure Multi-Factor Authentication ist der Dienst, durch den der Benutzer aufgefordert wird, seine Anmeldung zusätzlich über eine mobile App, einen Telefonanruf oder eine SMS zu verifizieren. MFA kann mithilfe des SDK zusammen mit Azure AD oder benutzerdefinierten Anwendungen und Verzeichnissen verwendet werden. Sie können MFA auch zusammen mit lokalen Anwendungen verwenden, indem Sie den Multi-Factor Authentication-Server verwenden. Die folgende Abbildung illustriert die Funktionsweise von Azure Multi-Factor Authentication.

Wenn Sie den Dienst zusammen mit Azure AD verwenden, können Administratoren ihn für einen Verzeichnisbenutzer aktivieren. Bei der nächsten Anmeldung wird der Benutzer dann aufgefordert, die Details seiner mehrstufigen Authentifizierung einzurichten. Der Benutzer kann bis zu drei Telefonnummern angeben (mobil, Arbeit und alternativ), die für die Authentifizierung per Telefonanruf oder SMS verwendet werden können. Darüber hinaus muss der Benutzer angeben, ob er die mobile Multi-Factor Authentication-App verwendet, die Optionen wie den Out-of-band-Pushbetrieb oder die Authentifizierung per Einmalkennung bietet.

Weitere Informationen zum Konfigurieren der mehrstufigen Authentifizierung in Ihrer Organisation finden Sie unter Aktivieren von Multi-Factor Authentication für lokale Anwendungen und Windows Server.

Welche Authentifizierungsoptionen sind verfügbar?

Indem Azure Multi-Factor Authentication die folgenden Optionen bereitstellt, bietet es Flexibilität für Benutzer und bei Sicherungsoptionen für den Fall, dass Benutzer nicht in der Lage sind, sich mithilfe der von ihnen bevorzugten Methode zu authentifizieren:

  • Multi-Factor Authentication-Apps sind verfügbar für Windows Phone-, Android- und iOS-Geräte. Benutzer können die kostenlose App aus dem Geräte-Store herunterladen und mithilfe eines Codes aktivieren, der während der Einrichtung bereitgestellt wird. Wenn sich der Benutzer anmeldet, wird eine Pushbenachrichtigung an die App auf seinem mobilen Gerät gesendet. Der Benutzer tippt, um die Authentifizierungsanforderung zu genehmigen oder abzulehnen. Für das Installieren und Einrichten der App wird Mobilfunknetz- oder WLAN-Zugriff benötigt. Nachdem die App installiert ist, kann sie in den folgenden Modi betrieben werden, um die zusätzliche Sicherheit eines mehrstufigen Authentifizierungsdiensts bereitzustellen:

    Wichtig

    Die Multi-Factor Authentication-App-Funktionalität wurde nun der Authentifikator der Azure Authenticator-App für Android-Geräte hinzugefügt. Die alte MFA-App funktioniert auch weiterhin für Android-Geräte. In Zukunft wird jedoch Azure Authenticator diese App ersetzen. Die Windows Phone- und IOS-Versionen befinden sich noch in der Entwicklung und werden in Kürze veröffentlicht.

    • Benachrichtigung. In diesem Modus verhindert die Multi-Factor Authentication-App nicht autorisierten Zugriff auf Konten und stoppt betrügerische Transaktionen. Dies geschieht mithilfe einer Pushbenachrichtigung auf Ihr Telefon oder registriertes Gerät. Der Benutzer zeigt einfach die Benachrichtigung an und wählt Authentifizieren aus, wenn es sich um eine legitime Benachrichtigung handelt. Andernfalls kann der Benutzer die Option „Ablehnen“ oder „Ablehnen und Betrug melden“ auswählen. Weitere Informationen zum melden betrügerischer Benachrichtigungen finden Sie unter How to configure and use Fraud Alert for Azure Multi-Factor Authentication.

    • Einmalkennung. In diesem Modus kann die Multi-Factor Authentication-App als Softwaretoken zum Generieren einer OATH-Kennung (Open Authentication) verwendet werden. Der Benutzer kann dann diese Kennung zusammen mit dem Benutzernamen und Kennwort eingeben, um eine zweite Form der Authentifizierung bereitzustellen. Diese Option eignet sich besonders gut für Fälle mit schlechter Mobilfunknetzabdeckung.

  • Automatische Telefonanrufe können vom Multi-Factor Authentication-Dienst an jedes Telefon, Festnetz und mobil, gesendet werden. Der Benutzer nimmt den Anruf einfach entgegen und drückt die Nummernzeichentaste (#) auf der Telefontastatur, um seine Anmeldung abzuschließen.

  • SMS können vom Multi-Factor Authentication-Dienst an jedes Mobiltelefon gesendet werden. Jede SMS enthält eine Einmalkennung. Der Benutzer wird aufgefordert, entweder auf die SMS mit der Kennung zu antworten oder die Kennung im Anmeldebildschirm einzugeben.

Hinweis

Zurzeit sind für das Multi-Factor Authentication SDK nur die Optionen Telefonanruf und SMS verfügbar.

Welche Lösungen sind verfügbar?

Sie können den Multi-Factor Authentication-Dienst verwenden, um sowohl Cloud- als auch lokale Anwendungen in Verbindung mit den Windows Server Active Directory-Domänendiensten (AD DS) oder Azure AD abzusichern. Zum Absichern von benutzerdefinierten Anwendungen steht auch ein SDK zur Verfügung. Die folgenden Lösungen stehen zur Verwendung mit Azure Multi-Factor Authentication zur Verfügung:

  • Hinzufügen von Multi-Factor Authentication zu Azure Active Directory. Aktivieren Sie mehrstufige Authentifizierung für Azure AD-Identitäten, und Benutzer werden bei der nächsten Anmeldung aufgefordert, eine zusätzliche Überprüfung einzurichten. Verwenden Sie mehrstufige Authentifizierung zum Absichern des Zugriffs auf Azure, Microsoft Online Services wie Microsoft Office 365 und Microsoft Dynamics CRM Online sowie auf nicht von Microsoft bereitgestellte Cloud Services, die mit Azure AD integriert sind, ohne zusätzliche Einrichtung. Die mehrstufige Authentifizierung lässt sich schnell für eine große Anzahl von globalen Benutzern und Anwendungen aktivieren.

  • Aktivieren von Multi-Factor Authentication für lokale Anwendungen und Windows Server. Aktivieren Sie die mehrstufige Authentifizierung für Ihre lokalen Ressourcen wie Internetinformationsdienste (IIS) und AD DS mithilfe des Microsoft Azure Multi-Factor Authentication-Servers. Azure Multi-Factor Authentication-Server ermöglicht dem Administrator die Integration von IIS-Authentifizierung, um Microsoft IIS-Webanwendungen abzusichern, sowie von RADIUS-Authentifizierung (Remote Authentication Dial-In User Service), LDAP-Authentifizierung (Lightweight Directory Access Protocol) und Windows-Authentifizierung.

  • Integrieren von Multi-Factor Authentication in benutzerdefinierte Apps (SDK). Ein SDK ermöglicht die direkte Integration in Ihre Clouddienste und lokalen, benutzerdefinierten Anwendungen. Integrieren Sie mehrstufige Authentifizierungsüberprüfung mittels Telefonanruf oder SMS in die Anmelde- oder Transaktionsprozesse Ihrer Anwendung, und verwenden Sie die vorhandene Benutzerdatenbank Ihrer Anwendung.

Multi-Factor Authentication für Office 365

Multi-Factor Authentication für Office 365, unterstützt von Azure Multi-Factor Authentication, arbeitet ausschließlich mit Office 365-Anwendungen und wird über das Office 365-Portal verwaltet. Auf diese Weise können Administratoren ihre Office 365-Ressourcen jetzt auch mithilfe von mehrstufiger Authentifizierung absichern.

Mehrstufige Authentifizierung für Azure-Administratoren

Dieselbe Untermenge von mehrstufigen Authentifizierungsfunktionen für Office 365 steht allen Azure-Administratoren kostenlos zur Verfügung. Jedes Administratorkonto eines Azure-Abonnements kann jetzt zusätzlichen Schutz erhalten, indem diese Kernfunktion der mehrstufigen Authentifizierung aktiviert wird. Somit kann ein Administrator, der auf das Azure-Portal zugreifen möchte, um einen virtuellen Computer oder eine Website zu erstellen, Speicher, Mobile Services oder jeden anderen Azure-Dienst zu verwalten, seinem Administratorkonto mehrstufige Authentifizierung hinzufügen.

Vergleich von Features der mehrstufigen Authentifizierung

Sie können folgende Abbildung verwenden, um zu bestimmen, welcher Typ von mehrstufiger Authentifizierung für Sie geeignet ist.

Kaufen von Azure Multi-Factor Authentication

Wenn Sie Azure Multi-Factor Authentication für alle Ihre Benutzer bereitstellen oder Ihre globalen Administratoren in die Lage versetzen möchten, die Vorteile von Features wie dem Verwaltungsportal, benutzerdefinierten Begrüßungen und Berichten zu nutzen, müssen Sie den Dienst kaufen und konfigurieren.

Um mit der Verwendung der mehrstufigen Authentifizierung beginnen zu können, benötigen Sie zuerst ein Azure-Abonnement. Informationen zum Erhalten eines Azure-Abonnement finden Sie unter Kostenlose Azure-Testversion. Melden Sie sich dann beim Azure-Verwaltungsportal an, und erstellen Sie einfach einen neuen Multi-Factor Authentication-Anbieter. Es gibt zwei Abrechnungsmodelle:

  • Pro Benutzer. Im Allgemeinen für Unternehmen, die die mehrstufige Authentifizierung für eine feste Anzahl von Mitarbeitern aktivieren möchten, die regelmäßig Authentifizierung benötigen.

  • Pro Authentifizierung. Im Allgemeinen für Unternehmen, die die mehrstufige Authentifizierung für eine große Gruppe externer Benutzer aktivieren möchten, die unregelmäßig Authentifizierung benötigen.

Wählen Sie das Modell aus, das den Anforderungen Ihrer Organisation am besten entspricht. Beachten Sie, dass Sie nach dem Erstellen eines Multi-Factor Authentication-Anbieters das Abrechnungsmodell nicht mehr ändern können. Sie können einen neuen Anbieter erstellen, aber die Konfigurations- und Benutzereinstellungen werden nicht übertragen. Weitere Informationen zum Kaufen von Azure Multi-Factor Authentication finden Sie in den detaillierten Preisinformationen zu Azure.

Weitere Detailinformationen zu Azure Multi-Factor Authentication finden Sie in den folgenden Themen: