Zeigt auf wie Azure MFA eingerichtet und verwaltet werden kann,


<-- zu allen Artikeln rund um O365 / Azure AD



Wann braucht es MFA und wie funktioniert das?


Um die Sicherheit zu erhöhen, setzen wir jetzt alle 90 Tage die Verwendung eines zweiten Authentifizierungsfaktors voraus. Alle Dienste in Office 365 werden mit einem zweiten Faktor zusätzlich gesichert. Das heisst zum Beispiel für eine «Outlook im Web» oder Teams Anmeldung.

Folgende Optionen stehen zu dem zweiten Faktor zur Verfügung:

-          Microsoft Authenticator-App

-          SMS

-          Anruf

-          OATH-Hardwaretoken

Wir empfehlen das Microsoft Authenticator-App auf ihrem Smartphone.

Das Einrichten erfolgt automatisch durch einen Assistenten von Microsoft und wird im folgenden Abschnitt kurz beschrieben. Der Assistent steht aktuell nur in der Sprache English zur Verfügung (Stand Mai 2020).

Genauer Infos dazu, können dem folgenden Link entnommen werden:

https://docs.microsoft.com/de-ch/azure/active-directory/authentication/concept-mfa-howitworks


Wie kann ich MFA Einrichten?


Es wird empfohlen die einmalige Registration von MFA in einem separaten Browserfenster zu machen und nicht in einem Office 365 App wie Teams.

Beim Anmelden in Office 365 wird man automatisch aufgefordert, dass es noch zusätzliche Informationen benötigt, um das Konto zu schützen.

Mit dem Klick auf «Weiter» wird man aufgefordert den zweiten Faktor festzulegen.

Der Faktor Microsoft Authenticator-App ist standardmässig bereits festgelegt. Wenn man einen anderen Faktor oder ein andres Authenticator App verwenden will kann man das über folgende Optionen machen:

-          Anderes Authenticator App (Bsp. von Google) kann man das via «I want do use a different authenticator app»

-          Wenn man einen anderen Faktor (Bsp. Anruf) definieren will, kann man das via «I want to set up a different methode»

Wir fokussieren in der Anleitung auf das Microsoft Authenticator App. Das Einrichten eines anderen Faktors folgt nach dem gleichen Schema.

Als ersten Schritt müssen Sie das Microsoft Authenticator App auf ihrem Smartphone installieren. Sie finden dies im App Store des Smartphone Herstellers. Nach der Installation auf dem Smartphone können sie mit «Next» den Dialog im Browser bestätigen.

Sie werden nun aufgefordert auf im kürzlich installieren Microsoft Authenticator App einen neuen Account hinzuzufügen. Wählen Sie dafür «Work or school account» aus.

Nun können Sie den QR code scannen, welchem im Browser angezeigt wird.

Browser Sicht                                                                                                  Smartphone Sicht

Mit dem Klick auf «Next» im Browser können Sie zum Ersten Mal den zweiten Faktor über das Microsoft Authenticator App bestätigen. Der Dialog sieht wie folgt aus:

Browser Sicht                                                                                                          Smartphone Sicht

Mit dem Klick auf «Approve» auf Ihrem Smartphone haben Sie die Einrichtung von zweiten Faktor abgeschlossen.


Wie kann ich die MFA Faktoren verwalten?


Die Verwaltung erfolgt über folgende URL: https://mysignins.microsoft.com

Darin können Sie unter «Security info» die erfassten Faktoren von Ihrem Account verwalten. So können Sie aus beispielsweise bei einem neuen Smartphone das Microsoft Authenticator App neu registrieren lassen.

Weitere Fragen rund um MFA

1. Kann ich alternative MFA Apps nutzen?

Ja, es können auch alternative MFA Apps verwendet werden (z. B. Authy).

2. IMAP und SMTP wird nicht mehr unterstützt. Wie konfiguriere ich zukünftig mein Linux-System damit es Mails versenden und empfangen kann.

Es gibt für Linux die Möglichkeit den Thunderbird Mail Client zu nutzen, um ein Exchange Online Postfach zu nutzen. Dazu muss für Thunderbird das Addon "Owl for Exchange" installiert und eingerichtet werden.

Öffnen Sie dazu Thunderbird und wählen Sie im Menü Extras den Punkt Add-ons.

Suchen Sie anschliessend nach dem "Owl for Exchange" Add-on.

Klicken Sie auf hinzufügen um das Add-on zu installieren.


Nun öffnen Sie erneut die Extras -> Add-ons und öffnen die Add-on Einstellungen.


Klicken Sie auf den Reiter "Einstellungen" und wählen "Neues Konto manuell hinzufügen..."

Tragen Sie jetzt Ihre Login-Daten und die Web-Mail-Adresse nach dem Login (https://outlook.office.com/mail) ein.

Nachdem Sie das Konto erstellt haben, müssen Sie einige Zeit warten, bis da Konto vollständig synchronisiert wurde. Ausserdem wird nach der Synchronisation dringend ein Neustart der Thunderbird Applikation empfohlen.

3. Brauche ich für MFA zwingend ein Handy?

Nein. Es ist möglich als zweiten/dritten Faktor eine Mobilfunknummer hinzuzufügen um entweder einen Authentifizierungsanruf oder einen SMS-Code zu erhalten. Man kann alternativ auch eine weitere E-Mailadresse hinzufügen (nicht die fhnw.ch Adresse) um darüber einen Code zu erhalten.

4. Ist auch im internen Netz der FHNW eine MFA notwendig

Aktuell ist das noch der Fall, allerdings werden die Policy's derzeit überarbeitet um die Anzahl der MFA-Aufforderungen so gering wie möglich zu halten.

5. Für welche Systeme benötige ich den zweiten Faktor

Für alle die eine Anmeldung an einer Microsoft O365 Applikation oder einem Online Dienst (z. B.: https://www.office.com/ ) benötigen.
Beispiele für Anwendungen sind: Outlook, Word, Excel, Powerpoint, OneNote, Visio, Microsoft Teams, ToDo, etc...

6. Wie oft muss ich mich mit MFA authentifizieren

Es gibt während der Anmeldung mit MFA die Möglichkeit ein Gerät als für einen Zeitraum von 90 Tagen zu speichern. Danach muss die MFA für das jeweilige Gerät erneut durchgeführt werden und kann anschliessend wieder gespeichert werden.

7. Warum wird die Umstellung auf MFA vollzogen. Das alte System hat gut funktioniert und war einfacher.

Aufgrund einer immer weiter steigenden Cyber-Kriminalität werden auch immer mehr Accounts gehackt und Daten missbraucht/gestohlen. Das liegt zu einem Grossteil an zu einfachen Passwörtern und nur einer Authentifizierung. Ein zweiter oder dritter Faktor ist natürlich ein kleiner Mehraufwand, dennoch unerlässlich um mehr Sicherheit gewährleisten zu können.

8. Kann ich weiterhin über https://webmail.fhnw.ch/ auf mein E-Mail Posftach zugreifen

Grundsätzlich Ja, da eine Weiterleitung auf die neue Web-Adresse eingerichtet ist. Wenn hierbei doch der Fehler Auftritt "Something went wrong" muss der Browser Cache gelöscht werden oder man benutzt direkt die neue Adresse: https://outlook.office.com/

9. Brauche ich MFA auch für die Anmeldung an meinem Windows / Apple Rechner der FHNW.

Nein, es betrifft nur die Anmeldung an O365 Anwendungen (wie unter Punkt 5. beschrieben).

Sonstiges:

Mit welcher Konfiguration arbeitet unser MFA System / Token?

- Algorithmus: SHA1 / SHA 256

- Digits: 6

- Intervall: 30

Diese Angaben können benötigt werden, wenn alternative MFA Apps (statt dem Microsoft Authenticator) verwendet werden wollen. (z.B. Open Source Clients)


<-- zu allen Artikeln rund um O365 / Azure AD


published: May 20, 2020, 11:02 a.m. Service: S0005 - E-Mail und Groupware