cse
Goto Top

MFA mit MS - beim Entsperren

Hi,

wir haben selber leider keinen Zugriff auf die Einstellungsmöglichkeiten der folgenden Anfrage, das mal vorab.

Bedingt durch eine Auditierung (und sicherlich der Drang nach Sicherheit ;D) wird verlangt dass wir MFA nutzen. Dies tun wir aktuell auch, an den Clients via Swivel OTC und zusätzlich ist der via Azure MS Authenticator im Einsatz. Ziel muss sein dass wir bei jedem Login/Anmelden (nach Sperren) am PC MFA nutzen. Mit Swivel ist das gewährleistet, bei jedem Login am PC wird er OTC verlangt.

Unsere Ansprechpartner teilen mit dass MS eine seltsame Linie fährt, wo am Ende nur noch passswortlos gearbeitet werden soll. Einen MFA Zwang bei jedem Login gibt es wohl seitens MS nicht.

Swivel ist mehr oder weniger recht anstrengend und ich/wir lokal im Werk würden das gern durch Hardware-Token (mit Fingerabdruck) ersetzen. Nun wird aber mitgeteilt dass wir das dann nicht mehr so nutzen können wir Swivel bisher hatten.

Ich verstehe das ehrlich gesagt nicht, MS sitzt an der Quelle und soll nicht können was diverse andere Anbieter in Windows einbetten können?

Sorry ist noch früh am Morgen, hoffe mein Text ist nicht zu blöd geschrieben.

VG
CSE

Content-ID: 4416237880

Url: https://administrator.de/forum/mfa-mit-ms-beim-entsperren-4416237880.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 27.10.2022 um 09:49:52 Uhr
Goto Top
Moin,

ein Erzwungenes MFA per Azure/Intune würde mich auch brennend interessieren.
Das ist gerade die einzige Hürde um ein Altsystem abzulösen.
Zukünftig soll genau diese Geschichte mit dem MFA über Azure Unternehmens weit ausgerollt werden.

Die passwortlose Geschichte ist Allerdings Windows Hello und hat damit weniger zu tun 😉

Gruß
Spirit
DerWoWusste
Lösung DerWoWusste 27.10.2022 um 12:15:52 Uhr
Goto Top
Seit Ewigkeiten bietet MS SmartCard+PIN Authentifizierung für Windowsdomänen an. Unbedingt ansehen.
https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ...
https://download.microsoft.com/download/5/A/B/5ABDDED2-F56E-427D-88C1-41 ...
https://www.experts-exchange.com/articles/36692/Going-passwordless.html

Passwortlos kannst Du schonmal streichen: keine Lösung ist passwortlos! Es bleibt immer ein Kennwort im Hintergrund, selbst wenn der Nutzer es nicht kennt/nutzt.
cse
cse 02.11.2022 um 15:28:44 Uhr
Goto Top
Hi Leute,

sorry hatte das hier glatt vergessen. danke für euer Feedback!

also für mich/uns ist es wichtig dass wir 2 Faktoren haben: Passwort und was auch immer (Biometrisch, OTC oder es gibt ja auch Token zusätzlich mit biometrisch).

@DerWoWusste: ja das ist bekannt. Allerdings wäre eine Lösung via OTC oder biometrisch weit aus einfacher. auch haben nicht alle Geräte die Möglichkeit Smartcards zu nutzen.
ja PW los isses nicht, man kann sich immer noch mit PW anmelden, aber es wird halt nicht beides zur gleichen Zeit abverlangt. Das macht MS dann außerhalb von Smartcard nur bei 365 Anwendungen was ziemlich dünn ist meine ich, gerade weil es andere schaffen.

VG
CSE
DerWoWusste
Lösung DerWoWusste 02.11.2022 um 16:06:58 Uhr
Goto Top
Mit "weitaus einfacher" wäre ich vorsichtig - Biometrie kann auch viele Probleme bereiten.
auch haben nicht alle Geräte die Möglichkeit Smartcards zu nutzen
Warum nicht? ein SmartCard-Reader kann per USB doch überall angeschlossen werden?
cse
cse 02.11.2022 um 16:08:43 Uhr
Goto Top
das schon, aber dann muss man das auch mitbuckeln. was ich mein, ein kleiner stick ist da weit aus einfacher. oder man nutzt die internen fingerscanner.

am liebsten wäre mir PW+OTC, dann muss man gar nichts mitschleppen und wir erfüllen die bedingungen die an uns gestellt werden.
DerWoWusste
Lösung DerWoWusste 02.11.2022 um 16:12:22 Uhr
Goto Top
Yubikeys sind sehr klein, gut mitbuckelbar.
Wenn das vernünftige Geräte sind, haben sie einen TPM-Chip - schon kannste virtuelle SmartCards nutzen - gar nichts mehr mitbuckeln.
cse
cse 07.11.2022 um 08:44:32 Uhr
Goto Top
jepp, yubikeys haben wir grade in mind (mit fingerprint).

danke dir für dein input, bist hier echt eine institution seit viele jahren face-smile

DANKE!
DerWoWusste
DerWoWusste 07.11.2022 um 09:33:23 Uhr
Goto Top
Gerne!