leo-le
Goto Top

Frage zur MFA Organisation in Unternehmen

Hallo Forum,

wir, KMU < 100, sind gerade dabei, MFA weitestgehend auszurollen. Ca. 70% wurden schon länger über O365 (Business Standard Legacy MFA) ausgerollt, da diese Mitarbeiter Diensthandys haben. Für die restlichen Kollegen ziehen wir OTP Hardware Token in die nähere Betrachtung. (Feitian)
Unsere Idee ist, dass wir zukünftig unsere 3 - 4 Anwendungen (bspw. HTML5 Portal, VPN Client) über M365 SAML Authentifizieren, so dass die Kollegen wie gehabt über ihr Firmensmartphone oder eben über den OTP Hardware Token den M365 Token bekommen.

Ich sah nun, dass MS zukünftig ihre MFA umstellt und man dazu scheinbar eine Entra P1 Lizenz benötigt.
D.h., dass wir wohl die MFA in Gänze wieder umstellen müssten und mich würde interessieren, wie ihr die MFA bei euch organisiert? Macht es Sinn, alles über SAML abzuwickeln? Es wäre doch sonst sehr Nutzerunfreundlich, wenn mehrere MFA Profile benutzt werden? ( Bei den Hardware Token wäre generell nur ein Profil möglich)

Es wäre schön, wenn ihr mir ein paar Tipps geben könntet, wie ihr MFA bei euch umsetzt.

Vielen Dank im Voraus!

Content-ID: 52558053329

Url: https://administrator.de/forum/frage-zur-mfa-organisation-in-unternehmen-52558053329.html

Ausgedruckt am: 21.12.2024 um 14:12 Uhr

nachgefragt
nachgefragt 28.06.2024 aktualisiert um 12:41:34 Uhr
Goto Top
Ich klink mich hier mit ein.
Nebenbei gibt es noch viel Unsicherheit bei einigen Unternehmen, ob oder ob sie nicht wegen NIS2 MFA einführen müssen, und in welchem Bereich bzw. Umfang.
C.R.S.
C.R.S. 28.06.2024 um 14:45:10 Uhr
Goto Top
Zitat von @Leo-le:

Ich sah nun, dass MS zukünftig ihre MFA umstellt und man dazu scheinbar eine Entra P1 Lizenz benötigt.
D.h., dass wir wohl die MFA in Gänze wieder umstellen müssten und mich würde interessieren, wie ihr die MFA bei euch organisiert? Macht es Sinn, alles über SAML abzuwickeln? Es wäre doch sonst sehr Nutzerunfreundlich, wenn mehrere MFA Profile benutzt werden? ( Bei den Hardware Token wäre generell nur ein Profil möglich)

Auf eine Lösung, die nur ein Profil unterstützt, würde ich nicht setzen, da zu unflexibel. Gerade bei SSO-Integrationen von Anwendungen höherer Sicherheitsstufen (Passwortmanager, PAM, Zertifikatverwaltung etc.) bietet sich MFA als Hebel zur Abgrenzung ggü. den sonstigen Authentifizierungsvorgängen im Unternehmen an, indem SSO mit einer anwendungsnativen MFA-Methode kombiniert wird und nicht die SSO-Sitzung per MFA erneuert wird. Dadurch sind zwangsläufig mehrere Profile erforderlich, ebenso wie in vielen anderen Fällen, an die man im Vorhinein nicht unbedingt denkt.

Aufgrund der Zahl der integrierten Anwendungen und dem Zielkonflikt zwischen SSO und ständiger MFA-Erneuerung der Sitzung, kann ansonsten eigentlich nur eine niedrigschwellige Methode verwendet werden, typischerweise Push-Confirmation. Dies schließt für sich genommen schon den Einsatz antiquierter Display-Token aus.

Grüße
Richard
Dirmhirn
Lösung Dirmhirn 28.06.2024 um 14:52:10 Uhr
Goto Top
Hi,

Interessiert mich auch, wie ihr das macht. Bin zwar nicht so tief im Thema, aber bei uns wurde den Usern ohne Firmenhandy gesagt, dass sie die App am privaten installieren sollen...
Das gefällt nicht allen.

Sg Dirm
Mr-Gustav
Lösung Mr-Gustav 28.06.2024 um 15:00:12 Uhr
Goto Top
Ich kann euch ja mal erzählen wir ich das bei einem meiner Privatkunden umgesetzt habe.

Setup: ( grob )
AAD Sync ( Entra ID Sync )
Office 365 Business Prem / MS 365 E3 Lizenzen und ein paar Business Basic Lizenzen
Größtenteils alles Lokal
In der Cloud wird derzeit genutzt:
Exchange Online
Teams
Sharepoint
Onedrive
Intune in kombi mit SCCM Endpoint Protection.
MS Sentinel + PIM + IDM
Alles für ca 100 User

MFA für alle Pflicht -
Abfederung des MFA durch Conditional Access
1 x Regel das alles was von der FESTEN IP der Standorte ( 3 Standorte / 3 Fixe IP´s ) nach Office / MS 365 Cloud will KEIN MFA braucht weil Aufenthaltsort ja bekannt ist durch die IP des Standortes.
MFA für alle außerhalb der Firma ebenfalls über Conditional Access entsprechend abgemildert - Auf den Intune Managed Devices gibts keine MFA da Intune MDM ja der Vertrauensanker ist aber nur wenn die Geräte Compliant sind. Non Compliant dann das volle Programm.
Homeoffice das selbe - Bekannte Geräte nur ab und zu MFA ( keine Ahnung nach was sich das richtet, sind aber zufrieden wie das läuft )

Einziges Problem waren damals die User die ab und zu mal HO machen wie z.B. die Azubis. Hier wurden dann einfach alte Handys als MFA Token ( MS Authenticator in verbindung mit Intune MDM auf dem Handy ) verwendet für die Anmeldung.

Wenn jemand versucht aus dem Ausland auf MS365 zuzugreifen dann IMMER MFA für alle und jeden.

Dann gibt es noch ein paar Gruppen für die verschiedenen MFA Möglichkeiten denn nicht jeder darf alle MFA Optionen nutzen.
Eine Gruppe z.b. nur den Authenticator als App, andere hingegen SMS und/oder MS Authenticator je nach Standort usw........

Man kann hier durchaus tolle Konstrukte bauen. Als nächstes wird das VPN dann auch in die Azure Cloud verlagert und dann darüber entsprechend die MFA Authentifizierung zu machen je nach dem was gefordert ist.

Das ganze wird durch PIM und MS Sentinel entsprechend Überwacht.

Defender usw. von MS auf den Endgeräten ist auch Pflicht denn ohne Defender = Gerät nicht Compliant und keine Anmeldung möglich AU?ER von der IP´s der Standorte. Ach ja das VPN geht über eine andere Externe IP ins große WWW raus.
ZScaler hängt da seit neustem auch noch mit drinne als Proxy Server / Webfilter usw usf.....
Die Firewalls werden ebenfalls bald getauscht gegen welche die sich in Sentinel einbinden lassen.


Alles was an Mitarbeitern raus fährt bzw. Home Office macht hat sowieso ein Firmenhandy.
feuerbrand
Lösung feuerbrand 28.06.2024 um 15:23:43 Uhr
Goto Top
Hallo

Wir haben nur ein MS Konto für VLSC.
M365 wird nicht eingesetzt.
Auch sonst keine Cloud, alles läuft auf internen Server.
Um sich vom Homeoffice oder unterwegs mit Citrix zu Verbinden nutzen wir OneSpan (on-premises).
Diese Mitarbeiter müssen auf ihrem persönlichen Smartphone die entsprechende App installieren.

Gruss
Feuerbrand
tech-flare
Lösung tech-flare 29.06.2024 um 08:58:29 Uhr
Goto Top
Hallo,

wir haben derzeit weltweit 3000 User und für nutzen weitestesgehend SAML mit MFA. Für einige Anwendungen ist MFA bei uns seit Jahren Pflicht (VPN, VMware Horizon...) und wir weiten das ganze jetzt auf alle Anwendungen aus, welche mit MS365 und SAML Login funktionieren.

Wir benutzen den Conditional Access, damit MFA aus bestimmten vertrauenwürdigen Netzen nicht notwendig ist.

MFA wird derzeit nur mit mit App oder telefon gereglet. MA, welche kein Firmenhandy besitzen, können sich die App auf Ihr Privatgerät installieren, oder haben "Pech" gehabt.

Weiterhin prüfen wir die Integration von YubiKey 5C NFC (ggf. auch Yubikey mit OTP) und zertifikatbasierte Multi-Faktor-Authentifizierung im Entra / MS
Leo-le
Leo-le 01.07.2024 um 15:07:37 Uhr
Goto Top
Hallo zusammen,

vielen lieben Dank, sehr interessant!
Welche M365 Lizenz nutzt ihr für den Conditional access? Wir nutzen aktuell noch O 365 Std. und ein paar E3 Lizenzen. Da ist meiner Meinung nach gar kein P1 Plan mit dabei?