FAQ zum Microsoft-MFA-Zwang

 

Microsoft plant, ab dem 01. Januar 2025, die Anmeldung an einem M365 nur noch zuzulassen, sofern ein zweiter Faktor verwendet wird. Dies nennt man Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA). Für den den zweiten Faktor gibt es verschiedene Möglichkeiten, daher die beiden Bezeichnungen Multi- und Zwei-Faktor-Authentifizierung.

Microsoft hat schon mehrere Male versucht, diese Vorgabe einzuführen. Aufgrund von Kundenbeschwerden wurde dies dann jedes Mal wieder verworfen. Die Wahrscheinlichkeit, dass Microsoft dieses Mal „Ernst macht“ ist jedoch sehr hoch. Daher kommt auf Unternehmen, die bislang auf den die MFA verzichtet haben, im Verlaufe dieses Jahres Entscheidungsbedarf zu. Sie müssen entscheiden, welche Methode(n) in Ihrem Unternehmen eingeführt werden soll. Die Entscheidung ist nicht ganz einfach, da sie bei jedem Kunden individuelle Aspekte hat. Zum Beispiel ist es lizenzabhängig, welche Methoden überhaupt in Frage kommen. Diese FAQ soll daher einen Überblick über die wichtigsten Aspekte geben.

 

Ist die MFA wirklich notwendig?

Ja.

Nur das Passwort als Zugriffsschutz für Logins von außen reicht nicht aus. Zu groß ist die Gefahr, dass ein Passwort in die falschen Hände gelangt. Daher gehört die MFA seit Jahren zu den notwendigen Minimal-Standard in unserem Security-Guide – der auf Quellen wie u.a. dem BSI beruht. Hintergründe zum „Warum?“ hatten wir vor einiger Zeit hier aufbereitet.

 

Kann der MFA-Zwang umgangen werden?

Nein.

Sofern extern auf M365-Dienste online zugegriffen wird (und Microsoft Ernst macht), gibt es ab dem 01. Januar 2025 keine Umgehungsmöglichkeit mehr. Es sei denn, der externe Zugriff auf die Dienste wird per Shellscript komplett unterbunden. Dann braucht man natürlich auch keine MFA mehr.

 

Welche MFA-Methoden gibt es?

Einige.

Die gängigsten sind:

  • Mobile App auf dem Smartphone: Die verbreitetsten sind die Microsoft oder die Google Authenticator App
  • Per SMS versendeter Einmal-Code
  • Hardware-Token: Hier gibt es zwei technische Standards: OATH und FIDO2.
    • Bei ersterem handelt es sich um einen Code-Generator, der Einmal-Passwörter generiert.
    • Bei einem Hardware-Token der die FIDO2-Methode nutzt, muss kein Code eingegeben werden.

 

Welche Methode ist die richtige für mich?

Kommt darauf an.

Welche Methoden überhaupt zur Auswahl stehen, ist lizenzabhängig. Daneben sind Kosten und Handhabbarkeit zu betrachtende Aspekte. Einen ersten, groben Überblick stellt die in diesem Abschnitt dargestellte Tabelle dar. Dieser Überblick hat keinen Anspruch auch Vollständigkeit, sondern dient nur der Orientierung darüber, welche Aspekte zu beachten sind. Ihr GFAD-Ansprechpartner überlegt gerne gemeinsam mit Ihnen, welche Methode(n) für Sie am passendsten ist.

 

  Microsoft Authenticator-App SMS-Versand Hardware-Token
Vorteile
  • Keine zusätzliche Hardware notwendig, da jeder ein Handy hat
  • Wenn die App auch für andere Dienste genutzt wird (z.B. Facebook), hat man alle MFA-Zugänge an einer Stelle
  • Kostengünstige Lösung, da weder zusätzliche Hardware noch spezielle Microsoft-Lizenzen notwendig sind
  • Keine zusätzliche Hardware notwendig, da jeder ein Handy hat
  • Hardware-Token können auch für andere Dinge genutzt werden (z.B. Anmeldung an einem Drucker)
  • Lösung kann ohne „Diskussion“ eingeführt werden
Nachteile
  • Jeder Mitarbeiter muss über ein Smartphone verfügen. Das bedeutet, dass
    • entweder alle Mitarbeiter vom Unternehmen ein Smartphone erhalten
    • oder zustimmen, die Authenticator App auf ihrem privaten Smartphone zu installieren
  • Der SMS-Versand ist im Mobilfunknetz manchmal verzögert
  • Funktioniert in Funklöchern nicht
  • Mitarbeiter kann die Nutzung mit privatem Smartphone verweigern (Mobilfunk-Nr. muss bei MS hinterlegt werde)
  • Ggf. erhöhte Kosten, da bestimmte Microsoft-Lizenzen notwendig sind
  • Die Anschaffungzusätzlicher Hardware ist notwendig
  • Nutzer muss den Hardware-Token immer dabeihaben
  • Der Hardware-Token kann verloren gehen
  • Ggf. erhöhte Kosten, da bestimmte Microsoft-Lizenzen notwendig sind

 

Muss ich den zweiten Faktor auch bei Anmeldungen eingeben, wenn ich im Büro bin?

Kommt darauf an.

Microsoft bietet mit bestimmten Lizenzen (z.B. Microsoft Business Premium oder Office E3 Plan) die Möglichkeit, User, Orte und Geräte mit individuell bedingtem Zugriffbedingungen zu versehen (z.B. im Büronetzwerk -> nur einmal am Tag, von außerhalb -> immer etc.). Aber auch wenn man im Büro nur die Office-Apps (Outlook, Excel, Teams, usw.) und nicht den Browser nutzt, kann man einmal im Monat zur Eingabe des zweiten Faktors aufgefordert werden. Gegebenenfalls ist dies nicht nötig, wenn der PC einen TPM-Chip hat … Also auch hier gibt es viele mögliche Szenarien.

 

Können die Methoden für unterschiedliche User gemischt werden?

Ja.

Allerdings unter der Bedingung, eine Lizenz zu nutzen, die mehrere Methoden zulässt. Alle lizenztechnisch möglichen Methoden können – müssen aber nicht – auf User-Ebene angeboten werden.

 

Ist die MFA nur für Microsoft M365 notwendig?

Ja und Nein.

Ja, den Zwang wird es nur für M365 geben. Aber nein, bei jeglichen Zugängen von außen – d.h. vor allem bei VPN-Zugängen – ist die MFA-Authentifizierung als Minimal-Standard anzusehen, wie im Security-Guide dargestellt.