Azure MFA und Hardwaretoken

In diesem Artikel möchte ich euch zeigen, wie man Azure MFA und Hardwaretoken zusammen nutzen kann.

Zuerst ein paar kleine Hinweise: Für die praktische Umsetzung wird ein Azure Active Directory Plan 1 oder 2 benötigt. Nachdem MFA und der bedingte Zugriff erst im Zusammenspiel ihre ganzen Vorteile ausspielen, sollte das nicht das Problem sein. Weiterhin muss es sich um einen OATH TOTP (Time-based One-time Password) Token handeln. Nur diese werden unterstützt. In meinem Beitrag nutze ich einen Feitian c200.

MFA (Multi-Faktor-Authentifizierung) ist eine super Möglichkeit um einen sicheren Zugriff auf Ressourcen zu ermöglichen. Deshalb ist zumindest die MFA Registrierung in den Sicherheitsstandards in jedem neuen Azure Active Directory standardmäßig aktiv. Durch MFA können eine Vielzahl von Cyberangriffen abgewehrt werden, weil das Password alleine keinen Zugriff ermöglicht. Deshalb auch an dieser Stelle noch einmal der Appell: „Nutzt MFA!“

Azure MFA kann sehr einfach über die Microsoft Authenticator App bereitgestellt werden, was eine sehr einfache Nutzung ermöglicht. Allerdings wird dazu ein Smartphone benötigt. Und das ist der Punkt, der es dann doch nicht ganz so einfach macht. Nicht jeder Mitarbeiter hat ein Firmenhandy und das private Handy möchte auch nicht jeder Mitarbeiter für berufliche Zwecke nutzen. Und jetzt kommen die Hardwaretokens ins Spiel. Man muss also nicht jedem Mitarbeiter zwingend ein Firmenhandy zur Verfügung stellen, sondern es reicht ein Hardwaretoken.

Nun zeige ich euch wie Azure MFA und Hardwaretoken konfiguriert werden. Dazu öffnen wir im Azure Active Directory Admin Center den Bereich Sicherheit.

Dort wählen wir dann den Bereich MFA aus.

Danach müssen wir nur noch die OATH-Token Einstellungen öffnen, schon sind wir am Ziel.

Die eigentliche Zuweisung des Tokens zum Benutzer erfolgt über eine CSV Datei mit folgendem Aufbau (Die Header müssen beibehalten werden!):

upn,serial number,secret key,time interval,manufacturer,model
,2607202100566,SXPGIV3CGUFQSGTBKGK6QX757NPSQ3XP,60,Feitian,c200

Eigentlich dürfte der Aufbau selbsterklärend sein, aber hier noch eine kurze Erklärung zu den einzelnen Eigenschaften.

• upn: UPN des Benutzers dem der Token zugeordnet werden soll.
• number: Seriennummer des Tokens. Dieser wird vom Hersteller/Verkäufer geliefert, oder steht bei meinem genutzten Modell auf der Rückseite.
• secret key: Auch der Schlüssel muss vom Hersteller/Verkäufer geliefert werden. Wichtig ist dabei, dass der geheime Schlüssel in BASE32 kodiert ist. Entweder gleich so anfordern, oder entsprechend konvertieren.
• time interval: Gültigkeitsdauer des Prüfcodes in Sekunden. Dies können entweder 30 oder 60 Sekunden sein. Hier bitte auch die Herstellerangaben beachten.
• manufacturer: Hersteller des Hardwaretokens, kann beliebig angepasst werden.
• model: Model des Hardwaretokens, kann beliebig angepasst werden.

Nachdem wir die CSV Datei hochgeladen haben, wird diese verarbeitet. War die Verarbeitung erfolgreich, können wir durch eine Aktualisierung das Ergebnis sehen.

In der Übersicht kann man die eingetragenen Werte aus der CSV Datei recht einfach wiedererkennen. Nun müssen wir als letzten Schritt den Token noch aktivieren.

Dazu müssen wir den angezeigten Prüfcode von unserem Hardwaretoken eingeben.

Nun ist der Hardwaretoken aktiviert und kann für die Azure MFA genutzt werden.

Wenn sich die Benutzerin Miriam anmelden möchte, wird über eine bedingte Zugriff Regel eine MFA Anforderung durchgeführt, wo der angezeigte Prüfcode vom Hardwaretoken eingegeben werden muss.

Somit kann Miriam Azure MFA und einen Hardwaretoken nutzen, ohne ein Firmenhandy oder eine separate App zu benötigen.

Also aktiviert MFA und macht eure Daten ein „bisschen“ sicherer!