8
MFA mit MS - beim Entsperren
Hi,
wir haben selber leider keinen Zugriff auf die Einstellungsmöglichkeiten der folgenden Anfrage, das mal vorab.
Bedingt durch eine Auditierung (und sicherlich der Drang nach Sicherheit ;D) wird verlangt dass wir MFA nutzen. Dies tun wir aktuell auch, an den Clients via Swivel OTC und zusätzlich ist der via Azure MS Authenticator im Einsatz. Ziel muss sein dass wir bei jedem Login/Anmelden (nach Sperren) am PC MFA nutzen. Mit Swivel ist das gewährleistet, bei jedem Login am PC wird er OTC verlangt.
Unsere Ansprechpartner teilen mit dass MS eine seltsame Linie fährt, wo am Ende nur noch passswortlos gearbeitet werden soll. Einen MFA Zwang bei jedem Login gibt es wohl seitens MS nicht.
Swivel ist mehr oder weniger recht anstrengend und ich/wir lokal im Werk würden das gern durch Hardware-Token (mit Fingerabdruck) ersetzen. Nun wird aber mitgeteilt dass wir das dann nicht mehr so nutzen können wir Swivel bisher hatten.
Ich verstehe das ehrlich gesagt nicht, MS sitzt an der Quelle und soll nicht können was diverse andere Anbieter in Windows einbetten können?
Sorry ist noch früh am Morgen, hoffe mein Text ist nicht zu blöd geschrieben.
VG
CSE
wir haben selber leider keinen Zugriff auf die Einstellungsmöglichkeiten der folgenden Anfrage, das mal vorab.
Bedingt durch eine Auditierung (und sicherlich der Drang nach Sicherheit ;D) wird verlangt dass wir MFA nutzen. Dies tun wir aktuell auch, an den Clients via Swivel OTC und zusätzlich ist der via Azure MS Authenticator im Einsatz. Ziel muss sein dass wir bei jedem Login/Anmelden (nach Sperren) am PC MFA nutzen. Mit Swivel ist das gewährleistet, bei jedem Login am PC wird er OTC verlangt.
Unsere Ansprechpartner teilen mit dass MS eine seltsame Linie fährt, wo am Ende nur noch passswortlos gearbeitet werden soll. Einen MFA Zwang bei jedem Login gibt es wohl seitens MS nicht.
Swivel ist mehr oder weniger recht anstrengend und ich/wir lokal im Werk würden das gern durch Hardware-Token (mit Fingerabdruck) ersetzen. Nun wird aber mitgeteilt dass wir das dann nicht mehr so nutzen können wir Swivel bisher hatten.
Ich verstehe das ehrlich gesagt nicht, MS sitzt an der Quelle und soll nicht können was diverse andere Anbieter in Windows einbetten können?
Sorry ist noch früh am Morgen, hoffe mein Text ist nicht zu blöd geschrieben.
VG
CSE
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4416237880
Url: https://administrator.de/contentid/4416237880
Printed on: April 25, 2024 at 04:04 o'clock
8 Comments
Latest comment
Moin,
ein Erzwungenes MFA per Azure/Intune würde mich auch brennend interessieren.
Das ist gerade die einzige Hürde um ein Altsystem abzulösen.
Zukünftig soll genau diese Geschichte mit dem MFA über Azure Unternehmens weit ausgerollt werden.
Die passwortlose Geschichte ist Allerdings Windows Hello und hat damit weniger zu tun 😉
Gruß
Spirit
ein Erzwungenes MFA per Azure/Intune würde mich auch brennend interessieren.
Das ist gerade die einzige Hürde um ein Altsystem abzulösen.
Zukünftig soll genau diese Geschichte mit dem MFA über Azure Unternehmens weit ausgerollt werden.
Die passwortlose Geschichte ist Allerdings Windows Hello und hat damit weniger zu tun 😉
Gruß
Spirit
Seit Ewigkeiten bietet MS SmartCard+PIN Authentifizierung für Windowsdomänen an. Unbedingt ansehen.
https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ...
https://download.microsoft.com/download/5/A/B/5ABDDED2-F56E-427D-88C1-41 ...
https://www.experts-exchange.com/articles/36692/Going-passwordless.html
Passwortlos kannst Du schonmal streichen: keine Lösung ist passwortlos! Es bleibt immer ein Kennwort im Hintergrund, selbst wenn der Nutzer es nicht kennt/nutzt.
https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ...
https://download.microsoft.com/download/5/A/B/5ABDDED2-F56E-427D-88C1-41 ...
https://www.experts-exchange.com/articles/36692/Going-passwordless.html
Passwortlos kannst Du schonmal streichen: keine Lösung ist passwortlos! Es bleibt immer ein Kennwort im Hintergrund, selbst wenn der Nutzer es nicht kennt/nutzt.
Hi Leute,
sorry hatte das hier glatt vergessen. danke für euer Feedback!
also für mich/uns ist es wichtig dass wir 2 Faktoren haben: Passwort und was auch immer (Biometrisch, OTC oder es gibt ja auch Token zusätzlich mit biometrisch).
@DerWoWusste: ja das ist bekannt. Allerdings wäre eine Lösung via OTC oder biometrisch weit aus einfacher. auch haben nicht alle Geräte die Möglichkeit Smartcards zu nutzen.
ja PW los isses nicht, man kann sich immer noch mit PW anmelden, aber es wird halt nicht beides zur gleichen Zeit abverlangt. Das macht MS dann außerhalb von Smartcard nur bei 365 Anwendungen was ziemlich dünn ist meine ich, gerade weil es andere schaffen.
VG
CSE
sorry hatte das hier glatt vergessen. danke für euer Feedback!
also für mich/uns ist es wichtig dass wir 2 Faktoren haben: Passwort und was auch immer (Biometrisch, OTC oder es gibt ja auch Token zusätzlich mit biometrisch).
@DerWoWusste: ja das ist bekannt. Allerdings wäre eine Lösung via OTC oder biometrisch weit aus einfacher. auch haben nicht alle Geräte die Möglichkeit Smartcards zu nutzen.
ja PW los isses nicht, man kann sich immer noch mit PW anmelden, aber es wird halt nicht beides zur gleichen Zeit abverlangt. Das macht MS dann außerhalb von Smartcard nur bei 365 Anwendungen was ziemlich dünn ist meine ich, gerade weil es andere schaffen.
VG
CSE
Mit "weitaus einfacher" wäre ich vorsichtig - Biometrie kann auch viele Probleme bereiten.
auch haben nicht alle Geräte die Möglichkeit Smartcards zu nutzen
Warum nicht? ein SmartCard-Reader kann per USB doch überall angeschlossen werden?
das schon, aber dann muss man das auch mitbuckeln. was ich mein, ein kleiner stick ist da weit aus einfacher. oder man nutzt die internen fingerscanner.
am liebsten wäre mir PW+OTC, dann muss man gar nichts mitschleppen und wir erfüllen die bedingungen die an uns gestellt werden.
am liebsten wäre mir PW+OTC, dann muss man gar nichts mitschleppen und wir erfüllen die bedingungen die an uns gestellt werden.
Yubikeys sind sehr klein, gut mitbuckelbar.
Wenn das vernünftige Geräte sind, haben sie einen TPM-Chip - schon kannste virtuelle SmartCards nutzen - gar nichts mehr mitbuckeln.
Wenn das vernünftige Geräte sind, haben sie einen TPM-Chip - schon kannste virtuelle SmartCards nutzen - gar nichts mehr mitbuckeln.
jepp, yubikeys haben wir grade in mind (mit fingerprint).
danke dir für dein input, bist hier echt eine institution seit viele jahren
DANKE!
danke dir für dein input, bist hier echt eine institution seit viele jahren
DANKE!
Gerne!
1
