Frage zur MFA Organisation in Unternehmen
Hallo Forum,
wir, KMU < 100, sind gerade dabei, MFA weitestgehend auszurollen. Ca. 70% wurden schon länger über O365 (Business Standard Legacy MFA) ausgerollt, da diese Mitarbeiter Diensthandys haben. Für die restlichen Kollegen ziehen wir OTP Hardware Token in die nähere Betrachtung. (Feitian)
Unsere Idee ist, dass wir zukünftig unsere 3 - 4 Anwendungen (bspw. HTML5 Portal, VPN Client) über M365 SAML Authentifizieren, so dass die Kollegen wie gehabt über ihr Firmensmartphone oder eben über den OTP Hardware Token den M365 Token bekommen.
Ich sah nun, dass MS zukünftig ihre MFA umstellt und man dazu scheinbar eine Entra P1 Lizenz benötigt.
D.h., dass wir wohl die MFA in Gänze wieder umstellen müssten und mich würde interessieren, wie ihr die MFA bei euch organisiert? Macht es Sinn, alles über SAML abzuwickeln? Es wäre doch sonst sehr Nutzerunfreundlich, wenn mehrere MFA Profile benutzt werden? ( Bei den Hardware Token wäre generell nur ein Profil möglich)
Es wäre schön, wenn ihr mir ein paar Tipps geben könntet, wie ihr MFA bei euch umsetzt.
Vielen Dank im Voraus!
wir, KMU < 100, sind gerade dabei, MFA weitestgehend auszurollen. Ca. 70% wurden schon länger über O365 (Business Standard Legacy MFA) ausgerollt, da diese Mitarbeiter Diensthandys haben. Für die restlichen Kollegen ziehen wir OTP Hardware Token in die nähere Betrachtung. (Feitian)
Unsere Idee ist, dass wir zukünftig unsere 3 - 4 Anwendungen (bspw. HTML5 Portal, VPN Client) über M365 SAML Authentifizieren, so dass die Kollegen wie gehabt über ihr Firmensmartphone oder eben über den OTP Hardware Token den M365 Token bekommen.
Ich sah nun, dass MS zukünftig ihre MFA umstellt und man dazu scheinbar eine Entra P1 Lizenz benötigt.
D.h., dass wir wohl die MFA in Gänze wieder umstellen müssten und mich würde interessieren, wie ihr die MFA bei euch organisiert? Macht es Sinn, alles über SAML abzuwickeln? Es wäre doch sonst sehr Nutzerunfreundlich, wenn mehrere MFA Profile benutzt werden? ( Bei den Hardware Token wäre generell nur ein Profil möglich)
Es wäre schön, wenn ihr mir ein paar Tipps geben könntet, wie ihr MFA bei euch umsetzt.
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52558053329
Url: https://administrator.de/contentid/52558053329
Ausgedruckt am: 19.11.2024 um 02:11 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @Leo-le:
Ich sah nun, dass MS zukünftig ihre MFA umstellt und man dazu scheinbar eine Entra P1 Lizenz benötigt.
D.h., dass wir wohl die MFA in Gänze wieder umstellen müssten und mich würde interessieren, wie ihr die MFA bei euch organisiert? Macht es Sinn, alles über SAML abzuwickeln? Es wäre doch sonst sehr Nutzerunfreundlich, wenn mehrere MFA Profile benutzt werden? ( Bei den Hardware Token wäre generell nur ein Profil möglich)
Ich sah nun, dass MS zukünftig ihre MFA umstellt und man dazu scheinbar eine Entra P1 Lizenz benötigt.
D.h., dass wir wohl die MFA in Gänze wieder umstellen müssten und mich würde interessieren, wie ihr die MFA bei euch organisiert? Macht es Sinn, alles über SAML abzuwickeln? Es wäre doch sonst sehr Nutzerunfreundlich, wenn mehrere MFA Profile benutzt werden? ( Bei den Hardware Token wäre generell nur ein Profil möglich)
Auf eine Lösung, die nur ein Profil unterstützt, würde ich nicht setzen, da zu unflexibel. Gerade bei SSO-Integrationen von Anwendungen höherer Sicherheitsstufen (Passwortmanager, PAM, Zertifikatverwaltung etc.) bietet sich MFA als Hebel zur Abgrenzung ggü. den sonstigen Authentifizierungsvorgängen im Unternehmen an, indem SSO mit einer anwendungsnativen MFA-Methode kombiniert wird und nicht die SSO-Sitzung per MFA erneuert wird. Dadurch sind zwangsläufig mehrere Profile erforderlich, ebenso wie in vielen anderen Fällen, an die man im Vorhinein nicht unbedingt denkt.
Aufgrund der Zahl der integrierten Anwendungen und dem Zielkonflikt zwischen SSO und ständiger MFA-Erneuerung der Sitzung, kann ansonsten eigentlich nur eine niedrigschwellige Methode verwendet werden, typischerweise Push-Confirmation. Dies schließt für sich genommen schon den Einsatz antiquierter Display-Token aus.
Grüße
Richard
Ich kann euch ja mal erzählen wir ich das bei einem meiner Privatkunden umgesetzt habe.
Setup: ( grob )
AAD Sync ( Entra ID Sync )
Office 365 Business Prem / MS 365 E3 Lizenzen und ein paar Business Basic Lizenzen
Größtenteils alles Lokal
In der Cloud wird derzeit genutzt:
Exchange Online
Teams
Sharepoint
Onedrive
Intune in kombi mit SCCM Endpoint Protection.
MS Sentinel + PIM + IDM
Alles für ca 100 User
MFA für alle Pflicht -
Abfederung des MFA durch Conditional Access
1 x Regel das alles was von der FESTEN IP der Standorte ( 3 Standorte / 3 Fixe IP´s ) nach Office / MS 365 Cloud will KEIN MFA braucht weil Aufenthaltsort ja bekannt ist durch die IP des Standortes.
MFA für alle außerhalb der Firma ebenfalls über Conditional Access entsprechend abgemildert - Auf den Intune Managed Devices gibts keine MFA da Intune MDM ja der Vertrauensanker ist aber nur wenn die Geräte Compliant sind. Non Compliant dann das volle Programm.
Homeoffice das selbe - Bekannte Geräte nur ab und zu MFA ( keine Ahnung nach was sich das richtet, sind aber zufrieden wie das läuft )
Einziges Problem waren damals die User die ab und zu mal HO machen wie z.B. die Azubis. Hier wurden dann einfach alte Handys als MFA Token ( MS Authenticator in verbindung mit Intune MDM auf dem Handy ) verwendet für die Anmeldung.
Wenn jemand versucht aus dem Ausland auf MS365 zuzugreifen dann IMMER MFA für alle und jeden.
Dann gibt es noch ein paar Gruppen für die verschiedenen MFA Möglichkeiten denn nicht jeder darf alle MFA Optionen nutzen.
Eine Gruppe z.b. nur den Authenticator als App, andere hingegen SMS und/oder MS Authenticator je nach Standort usw........
Man kann hier durchaus tolle Konstrukte bauen. Als nächstes wird das VPN dann auch in die Azure Cloud verlagert und dann darüber entsprechend die MFA Authentifizierung zu machen je nach dem was gefordert ist.
Das ganze wird durch PIM und MS Sentinel entsprechend Überwacht.
Defender usw. von MS auf den Endgeräten ist auch Pflicht denn ohne Defender = Gerät nicht Compliant und keine Anmeldung möglich AU?ER von der IP´s der Standorte. Ach ja das VPN geht über eine andere Externe IP ins große WWW raus.
ZScaler hängt da seit neustem auch noch mit drinne als Proxy Server / Webfilter usw usf.....
Die Firewalls werden ebenfalls bald getauscht gegen welche die sich in Sentinel einbinden lassen.
Alles was an Mitarbeitern raus fährt bzw. Home Office macht hat sowieso ein Firmenhandy.
Setup: ( grob )
AAD Sync ( Entra ID Sync )
Office 365 Business Prem / MS 365 E3 Lizenzen und ein paar Business Basic Lizenzen
Größtenteils alles Lokal
In der Cloud wird derzeit genutzt:
Exchange Online
Teams
Sharepoint
Onedrive
Intune in kombi mit SCCM Endpoint Protection.
MS Sentinel + PIM + IDM
Alles für ca 100 User
MFA für alle Pflicht -
Abfederung des MFA durch Conditional Access
1 x Regel das alles was von der FESTEN IP der Standorte ( 3 Standorte / 3 Fixe IP´s ) nach Office / MS 365 Cloud will KEIN MFA braucht weil Aufenthaltsort ja bekannt ist durch die IP des Standortes.
MFA für alle außerhalb der Firma ebenfalls über Conditional Access entsprechend abgemildert - Auf den Intune Managed Devices gibts keine MFA da Intune MDM ja der Vertrauensanker ist aber nur wenn die Geräte Compliant sind. Non Compliant dann das volle Programm.
Homeoffice das selbe - Bekannte Geräte nur ab und zu MFA ( keine Ahnung nach was sich das richtet, sind aber zufrieden wie das läuft )
Einziges Problem waren damals die User die ab und zu mal HO machen wie z.B. die Azubis. Hier wurden dann einfach alte Handys als MFA Token ( MS Authenticator in verbindung mit Intune MDM auf dem Handy ) verwendet für die Anmeldung.
Wenn jemand versucht aus dem Ausland auf MS365 zuzugreifen dann IMMER MFA für alle und jeden.
Dann gibt es noch ein paar Gruppen für die verschiedenen MFA Möglichkeiten denn nicht jeder darf alle MFA Optionen nutzen.
Eine Gruppe z.b. nur den Authenticator als App, andere hingegen SMS und/oder MS Authenticator je nach Standort usw........
Man kann hier durchaus tolle Konstrukte bauen. Als nächstes wird das VPN dann auch in die Azure Cloud verlagert und dann darüber entsprechend die MFA Authentifizierung zu machen je nach dem was gefordert ist.
Das ganze wird durch PIM und MS Sentinel entsprechend Überwacht.
Defender usw. von MS auf den Endgeräten ist auch Pflicht denn ohne Defender = Gerät nicht Compliant und keine Anmeldung möglich AU?ER von der IP´s der Standorte. Ach ja das VPN geht über eine andere Externe IP ins große WWW raus.
ZScaler hängt da seit neustem auch noch mit drinne als Proxy Server / Webfilter usw usf.....
Die Firewalls werden ebenfalls bald getauscht gegen welche die sich in Sentinel einbinden lassen.
Alles was an Mitarbeitern raus fährt bzw. Home Office macht hat sowieso ein Firmenhandy.
Hallo
Wir haben nur ein MS Konto für VLSC.
M365 wird nicht eingesetzt.
Auch sonst keine Cloud, alles läuft auf internen Server.
Um sich vom Homeoffice oder unterwegs mit Citrix zu Verbinden nutzen wir OneSpan (on-premises).
Diese Mitarbeiter müssen auf ihrem persönlichen Smartphone die entsprechende App installieren.
Gruss
Feuerbrand
Wir haben nur ein MS Konto für VLSC.
M365 wird nicht eingesetzt.
Auch sonst keine Cloud, alles läuft auf internen Server.
Um sich vom Homeoffice oder unterwegs mit Citrix zu Verbinden nutzen wir OneSpan (on-premises).
Diese Mitarbeiter müssen auf ihrem persönlichen Smartphone die entsprechende App installieren.
Gruss
Feuerbrand
Hallo,
wir haben derzeit weltweit 3000 User und für nutzen weitestesgehend SAML mit MFA. Für einige Anwendungen ist MFA bei uns seit Jahren Pflicht (VPN, VMware Horizon...) und wir weiten das ganze jetzt auf alle Anwendungen aus, welche mit MS365 und SAML Login funktionieren.
Wir benutzen den Conditional Access, damit MFA aus bestimmten vertrauenwürdigen Netzen nicht notwendig ist.
MFA wird derzeit nur mit mit App oder telefon gereglet. MA, welche kein Firmenhandy besitzen, können sich die App auf Ihr Privatgerät installieren, oder haben "Pech" gehabt.
Weiterhin prüfen wir die Integration von YubiKey 5C NFC (ggf. auch Yubikey mit OTP) und zertifikatbasierte Multi-Faktor-Authentifizierung im Entra / MS
wir haben derzeit weltweit 3000 User und für nutzen weitestesgehend SAML mit MFA. Für einige Anwendungen ist MFA bei uns seit Jahren Pflicht (VPN, VMware Horizon...) und wir weiten das ganze jetzt auf alle Anwendungen aus, welche mit MS365 und SAML Login funktionieren.
Wir benutzen den Conditional Access, damit MFA aus bestimmten vertrauenwürdigen Netzen nicht notwendig ist.
MFA wird derzeit nur mit mit App oder telefon gereglet. MA, welche kein Firmenhandy besitzen, können sich die App auf Ihr Privatgerät installieren, oder haben "Pech" gehabt.
Weiterhin prüfen wir die Integration von YubiKey 5C NFC (ggf. auch Yubikey mit OTP) und zertifikatbasierte Multi-Faktor-Authentifizierung im Entra / MS