MFA mit Microsoft?

cse
Goto Top
Hi Leute,

ich hoffe ihr könnt mir ein wenig helfen.
Von unserer Gruppe (central IT im Ausland) verlange ich (im Zuge TISAX Audit) auf unseren PCs / für die User MFA bei jeder Anmeldung zu erzwingen.
Soll heiße User + PW + eine weitere Form der Authentifizierung.

Nun soll MS HELLO kommen, nur irgendwie erscheint mir das als pseudo MFA.

Denn selbst wenn das MFA an ist (mit Kamera, Fingerabdruck usw.) ist es für den User ohne weiteres Möglich sich weiterhin nur mit seinem User + PW anzumelden.

Soll heißen MFA kann easy umgangen werden.

Wie löst ihr das bei euch? Kann man Hello beibringen diese Form des Umgehens zu blockieren?
Leider habe ich keinen Zugriff auf die Systeme und kann daher selbst nichts probieren.

VG
CSE

Content-Key: 1744109244

Url: https://administrator.de/contentid/1744109244

Ausgedruckt am: 17.05.2022 um 10:05 Uhr

Mitglied: Th0mKa
Th0mKa 20.01.2022 um 17:24:02 Uhr
Goto Top
Zitat von @cse:
Nun soll MS HELLO kommen, nur irgendwie erscheint mir das als pseudo MFA.
Moin,

Sprichst du von Windows Hello oder von Hello for Business? Ersteres ist ein Convenience Produkt für Consumer, bei letzterem geht es um das was du suchst.

/Thomas
Mitglied: DerWoWusste
DerWoWusste 20.01.2022 um 17:44:04 Uhr
Goto Top
Klassische Smartcard Authentifizierung geht seit vielen Jahren und kann erzwungen werden. Habe ich umgesetzt und kann weiterhelfen.
Mitglied: SeaStorm
SeaStorm 20.01.2022 um 17:46:44 Uhr
Goto Top
Also lokale Anmeldung am Rechner gibts von Haus aus IMHO nur Smartcard und Hello for Business.
Anmeldungen von Extern kann man dann über die SAML Authentifizierung über Azure MFA machen.

Ansonsten ist "DUO" das MFA Produkt der Wahl, mit dem man auch lokal und RDP mit MFA versehen kann
Mitglied: 7Gizmo7
7Gizmo7 20.01.2022 um 17:52:21 Uhr
Goto Top
Hi,

vielleicht stehe ich auf dem Schlauch, aber was hat Windows Hello für Business mit MFA zu tun ?
Windows Hello ist doch nur eine Anmeldemethode mit lokalem Schlüssel im TPM gespeichert unm Pass to Hash vorzubeugen.

Das ist kein zweiter Faktor ?

Mit freundlichen Grüßen
Mitglied: DerWoWusste
DerWoWusste 20.01.2022 um 18:07:56 Uhr
Goto Top
Mitglied: cse
cse 21.01.2022 um 10:02:52 Uhr
Goto Top
Hi zusammen und danke für das Feedback, immer wieder schön hier mit euch!!!

ich gehe davon aus dass es Hello for Business ist, haben ja sonst auch alles von MS Business.

Meine Frage stellte ich deshalb, weil wir neulich schon mal testen sollten und klar man kann sich verschieden Varianten aussuchen (Smartphone via Bluetooth, Finger, PIN, etc). Das Einrichten war soweit auch easy als User...

bspw. Smartphone + 6 stelliger PIN, damit konnte man sich anmelden... oder aber man hat sich einfach mit seinem User+PW angemeldet.

Ist natürlich wenig zielführend was uns die Zentrale zur Verfügung stellen wollte.

Ich hätte mir gewünscht (von HELLO):

1. AD User + PW
2. gefolgt von einer weiteren Methode wie Fingerabdruck, PIN oder Gesichtserkennung

Smartcard kam mir auch schon in den Sinn, ich selbst kann/darf das leider nicht initiieren :/