Microsoft plant, ab dem 01. Januar 2025, die Anmeldung an einem M365 nur noch zuzulassen, sofern ein zweiter Faktor verwendet wird. Im Sinne einer guten Security-Strategie unterstützen wir diesen Schritt. Denn aus unserer Sicht gehört die Multifaktor-Authentifizierung zu den notwendigen Mindest-Maßnahmen für die Absicherung von externen Zugängen. Daher ist sie schon seit einigen Jahren Bestandteil unseres Security-Guides, der die Mindestmaßnahmen übersichtlich darstellt. Das „Warum?“ erläutern wir an dieser Stelle.
Die Ankündigigung klingt in Fachkreisen leider auch wie ein alter Hut. Denn Microsoft hat in den letzten Jahren schon mehrfach versucht, den MFA-Zwang durchzusetzen. Aufgrund von Kundenbeschwerden sind diese Versuche bislang immer im Sande verlaufen. Leider war die begleitende Kommunikation seitens Microsoft irgendwo zwischen nicht vorhanden und mangelhaft. So wurden – und werden aktuell wieder – einzelne Tenants von Microsoft ungefragt und ohne begleitende Kommunikation auf MFA umgestellt.
Davon abgesehen, bleibt die Kernaussage bestehen: Unternehmen, die bislang noch keine MFA für Ihre M365 Accounts – und auch für VPN-Zugänge – eingeführt haben, sollten dies so schnell wie möglich tun. Auch wenn Microsoft wieder zurückrudert und am 01. Januar der MFA-Zwang ausbleibt, ist und bleibt des dennoch eine sinnvolle Maßnahme. Cyberversicherungen setzen diesen Schutz übrigens voraus.
Um eine gewisse Orientierung anzubiehten, greifen wir hier die wichtigsten Fragen auf. Wie das Thema konkret umgesetzt wird, hängt von vielen, kundenspezifischen Faktoren ab. Schon die Frage, ob man die Microsoft Authenticator-App oder auch die von Google verwenden kann, mündet in der Frage, welche Microsoft-Lizenzen ein Unternehmen nutzt. Die Tabelle unten ist daher nur als grober, nicht vollständiger Überblick zu verstehen.
Hier kurz und knapp die wichtigsten Punkte:
Ist die MFA wirklich notwendig?
Ja.
Nur das Passwort als Zugriffsschutz für Logins von außen reicht nicht aus. Zu groß ist die Gefahr, dass ein Passwort in die falschen Hände gelangt. Daher gehört die MFA seit Jahren zu den notwendigen Minimal-Standard in unserem Security-Guide – der auf Quellen wie u.a. dem BSI beruht. Hintergründe zum „Warum?“ hatten wir vor einiger Zeit hier aufbereitet.
Kann der MFA-Zwang umgangen werden?
Nein.
Sofern extern auf M365-Dienste online zugegriffen wird (und Microsoft Ernst macht), gibt es ab dem 01. Januar 2025 keine Umgehungsmöglichkeit mehr. Es sei denn, der externe Zugriff auf die Dienste wird per Shellscript komplett unterbunden. Dann braucht man natürlich auch keine MFA mehr.
Welche MFA-Methoden gibt es?
Einige.
Die gängigsten sind:
- Mobile App auf dem Smartphone: Die verbreitetsten sind die Microsoft oder die Google Authenticator App
- Per SMS versendeter Einmal-Code
- Hardware-Token: Hier gibt es zwei technische Standards: OATH und FIDO2.
- Bei ersterem handelt es sich um einen Code-Generator, der Einmal-Passwörter generiert.
- Bei einem Hardware-Token der die FIDO2-Methode nutzt, muss kein Code eingegeben werden.
Welche Methode ist die richtige für mich?
Kommt darauf an.
Welche Methoden überhaupt zur Auswahl stehen, ist lizenzabhängig. Daneben sind Kosten und Handhabbarkeit zu betrachtende Aspekte. Einen ersten, groben Überblick stellt die in diesem Abschnitt dargestellte Tabelle dar. Dieser Überblick hat keinen Anspruch auch Vollständigkeit, sondern dient nur der Orientierung darüber, welche Aspekte zu beachten sind. Ihr GFAD-Ansprechpartner überlegt gerne gemeinsam mit Ihnen, welche Methode(n) für Sie am passendsten ist.
| Microsoft Authenticator-App | SMS-Versand | Hardware-Token | |
| Vorteile |
|
|
|
| Nachteile |
|
|
|
Muss ich den zweiten Faktor auch bei Anmeldungen eingeben, wenn ich im Büro bin?
Kommt darauf an.
Microsoft bietet mit bestimmten Lizenzen (z.B. Microsoft Business Premium oder Office E3 Plan) die Möglichkeit, User, Orte und Geräte mit individuell bedingtem Zugriffbedingungen zu versehen (z.B. im Büronetzwerk -> nur einmal am Tag, von außerhalb -> immer etc.). Aber auch wenn man im Büro nur die Office-Apps (Outlook, Excel, Teams, usw.) und nicht den Browser nutzt, kann man einmal im Monat zur Eingabe des zweiten Faktors aufgefordert werden. Gegebenenfalls ist dies nicht nötig, wenn der PC einen TPM-Chip hat … Also auch hier gibt es viele mögliche Szenarien.
Können die Methoden für unterschiedliche User gemischt werden?
Ja.
Allerdings unter der Bedingung, eine Lizenz zu nutzen, die mehrere Methoden zulässt. Alle lizenztechnisch möglichen Methoden können – müssen aber nicht – auf User-Ebene angeboten werden.
Ist die MFA nur für Microsoft M365 notwendig?
Ja und Nein.
Ja, den Zwang wird es nur für M365 geben. Aber nein, bei jeglichen Zugängen von außen – d.h. vor allem bei VPN-Zugängen – ist die MFA-Authentifizierung als Minimal-Standard anzusehen, wie im Security-Guide dargestellt.
