Multi-Faktor Authentifizierung (MFA) ist ein heißes Thema derzeit, aber wie geht man damit richtig um?

MFA auszurollen macht uns Microsoft ganz einfach. Ein paar Klicks im Azure AD und schon ist MFA aktiviert. Nach den ersten größeren Projekten weiß man jedoch, daß dies nicht zum Ziel führt und nicht einmal in die Kategorie „nice try“ fällt.

Der erste Stolperstein, der gerne liebevoll umarmt wird, ist die Auswahl der möglichen Authentifizierungsmethoden. Die Authenticator App am Handy ist da verlockend, bietet sie doch maximalen Komfort für den EndUser. Doch haben alle User ein Smartphone? Achso, die User ohne Smartphone brauchen gar kein MFA? Damit wird das erste Einfalltor mit Leuchtreklame angezeigt. Und dass die Kette nur so stark ist, wie das schwächste Glied, ist auch keine Neuigkeit.

MFA muss im ganzen Unternehmen so konzipiert sein, dass die User darauf vertrauen, nicht dadurch aufgehalten werden und keine Ausnahmen nötig sind.

Keine Ausnahmen? Wie soll denn das mit Service Accounts funktionieren? Dank Conditional Access können Ausnahmen so gebaut werden, dass sie wirklich nur für den Sonderfall gelten und nicht anders ausgenutzt werden können.

Conditional Access (ab Azure Active Directory P1 verfügbar) ist ja ohnehin die Wunderwaffe, um die Balance zwischen Security und Seckier-I-di zu halten. So kann nämlich auch für handy- und telefonlose Mitarbeiter im Unternehmen leicht eine Lösung geschaffen werden, ohne die Sicherheit zu untergraben.

Nehmen Sie sich also auch bei einem scheinbar leichten Projekt wie MFA am Anfang Zeit und die Expertise eines erfahrenen Dienstleisters zur Seite. Alle Beteiligten werden es Ihnen danken! 🙂