20
Self-Hosted MFA Server
Hallo zusammen,
Microsoft 365 setzt ja ab Januar 2023 die MFA vorraus.
In unserem Unternehmen (Autohaus) gibt es aktuell 365 User in Office 365.
Nicht jeder Mitarbeiter hat ein Firmenhandy und möchte auch nicht sein privates für diese MFA verwenden, was auch verständlich ist.
Nun sind wir auf der Suche nach einer Lösung, über eine solche MFA/2FA alternativ darzustellen.
Als Idee kam da, das Ganze über unser Webhosting umzusetzen.
Kennt ihr solche Alternativen? Vielleicht auch was für Wordpress o.ä.?
Plan wäre, dass der MA dann über die Webadresse die MFA durchführen kann.
DANKE
Microsoft 365 setzt ja ab Januar 2023 die MFA vorraus.
In unserem Unternehmen (Autohaus) gibt es aktuell 365 User in Office 365.
Nicht jeder Mitarbeiter hat ein Firmenhandy und möchte auch nicht sein privates für diese MFA verwenden, was auch verständlich ist.
Nun sind wir auf der Suche nach einer Lösung, über eine solche MFA/2FA alternativ darzustellen.
Als Idee kam da, das Ganze über unser Webhosting umzusetzen.
Kennt ihr solche Alternativen? Vielleicht auch was für Wordpress o.ä.?
Plan wäre, dass der MA dann über die Webadresse die MFA durchführen kann.
DANKE
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4342392435
Url: https://administrator.de/contentid/4342392435
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
20 Kommentare
Neuester Kommentar
Moin,
@kpunkt
Mal die Frage komplett lesen (und verstehen) wäre auch toll :D
@Server2503
Wie stellst du dir das vor? Wo soll der 2te Faktor denn herkommen außer von einem User-Owned-Device?
lg,
Slainte
@kpunkt
Mal die Frage komplett lesen (und verstehen) wäre auch toll :D
@Server2503
Wie stellst du dir das vor? Wo soll der 2te Faktor denn herkommen außer von einem User-Owned-Device?
lg,
Slainte
Moin,
![rhfk58u[1]](/images/c/2022/10/20/e5f2b903b77751fb7c43e79d5d7fca2e.jpg "rhfk58u[1] - e5f2b903b77751fb7c43e79d5d7fca2e - Klicke auf das Bild, um es zu vergrößern")
Das sind eure Möglichkeiten. Alles hat sein Für und Wider und muss entsprechend abgewägt werden.
LG
Das sind eure Möglichkeiten. Alles hat sein Für und Wider und muss entsprechend abgewägt werden.
LG
Wordpress mit Sicherheit beauftragen?
Morgen ist Freitag.
Morgen ist Freitag.
Dann nennt doch mal vernünftige Lösungen?!
Falls es bei euch auch O365 gibt - wie löst ihr das?
Falls es bei euch auch O365 gibt - wie löst ihr das?
Wir haben einer Person, die sich hier bei uns geweigert hat, dabei mitzuspielen, den Authenticator von ReinerSCT verpasst.
Hi,
Dawnbreaker hat dir alle Varianten aufgezeigt; Wenn man kein Telefon nutzen möchte bleiben die diversen Hardwaretoken
Als Idee kam da, das Ganze über unser Webhosting umzusetzen.
Unmöglich, das widerspricht dem Konzept von 2FADawnbreaker hat dir alle Varianten aufgezeigt; Wenn man kein Telefon nutzen möchte bleiben die diversen Hardwaretoken
Ist mir neu. Woher hast du die Info?
Zitat von @Server2503:
Dann nennt doch mal vernünftige Lösungen?!
Falls es bei euch auch O365 gibt - wie löst ihr das?
Dann nennt doch mal vernünftige Lösungen?!
Falls es bei euch auch O365 gibt - wie löst ihr das?
Ich persönlich bin großer Freund von FIDO2 aufgrund der kryptographischen Sicherheit.
Allerdings ist das Ganze in Relation zu bereits vorhandener Hardware im Unternehmen etc. und auch Zuverlässigkeit der Endnutzer zu betrachten. Was bringt dir eine 2FA mit einem USB-Stick, wenn der USB-Stick geklaut wird ?
FIDO2 im Zusammenspiel mit eingebauten TPM-Chips ist eine angenehme Variante. Dann muss wenigstens der ganze Rechner geklaut werden. ;)
LG
Info vom MS Support
Ja, aber nur wenn du noch Basic Auth benutzt! Mit Modern Auth ist MFA kein Muss, steht ja auch drin.
Hallo,
wie die Sparkasse: TAN-Generator.
Oder wie oben schon geschrieben, der Authenticator von Reiner SC.
Ein altes Smartphone mit WLAN reicht auch.
Jürgen
wie die Sparkasse: TAN-Generator.
Oder wie oben schon geschrieben, der Authenticator von Reiner SC.
Ein altes Smartphone mit WLAN reicht auch.
Jürgen
Und mal wieder: Modern Auth != MFA.
1
Brauchen wir jetzt zwingend den 2. Faktor oder nicht?
Nein.
Zitat von @Server2503:
Nicht jeder Mitarbeiter hat ein Firmenhandy und möchte auch nicht sein privates für diese MFA verwenden, was auch verständlich ist.
Nicht jeder Mitarbeiter hat ein Firmenhandy und möchte auch nicht sein privates für diese MFA verwenden, was auch verständlich ist.
Das es solche User gibt, ist klar, aber verständlich ist das keineswegs, das liegt lediglich an Ahnungslosigkeit, wie eine Authenticator App funktioniert, hier wird nur ein Code erzeugt und ansonsten erfolgt keinerlei Datentransfer.
Die Handynummer, die hinterlegt wird, falls man es mit SMS macht, sieht auch nur der Administrator.
Abgesehen davon, kann auch jederzeit ein beliebiges Firmen-Telefon dafür benutzt werden, die Code SMS wird dann halt vorgelesen.
Sicherheitstechnisch auf jeden Fall ja, weil man der Kreativität der User beim Passwort erstellen nie vertrauen sollte, und bis Microsoft sämtliche Zugriffe ohne MFA verbietet, ist auch nur eine Frage der Zeit.
[...} aber verständlich ist das keineswegs, das liegt lediglich an Ahnungslosigkeit, wie eine Authenticator App funktioniert, [...]
Naja, wenn der Ag möchte das ich MFA verwende, soll er auch die Mittal dafür bereitstellen. Auch ich (mit Ahnung von Apps 
) würde nicht mein privates Phone dafür hernehmen.
Wir benutzen Hardwaretoken wo kein Firmenhandy vorhanden ist.
Wo ein Firmenhandy vorhanden ist MUSS die Microsoft Authenticator App genutzt werden.
Für einige Homeoffice User verwenden wir Authenticator von ReinerSCT.
Für die Benutzer mit Notebook ist Smardcard Auth vorgesehn mit Pin.
Bzw. für die IPSec Verbindung dann nochmals ein anderes Zertifikat + Pin
Wo hast du denn die Info her das ab 2023 2 FA Auth. zwingend erforderlich ist ?
MS schafft lediglich die Basic Auth bis zum Ende des Jahres ab. Ab dann nur noch
Modern Auth. Modern Auth setzt aber keine 2 FA Auth vorraus sondern es lediglich
ein Zusatz der Genutzt werden kann wenn man möchte.
Je nach dem kann man auch den SMS 2 FA Auth oder den Telefonanruf wählen
denn man braucht IMMER noch das Passwort
Wenn du einen 2FA Service selber Hosten willst kannst du dir mal das VASCO DIGIPASS Authentication ServerSystem
ansehen wobei ich glaube das die Mitlerweise aufgekauft wurden . Das ist der Server bei dir auf Hardware oder als VM und der Benutzer bekommt einen Token.
Funktioniert mit Office365- hatten wir Testweise im einsatz
Die Überlegung ist aber hier alles zu Sperren und den zugriff nur noch über die
Firewall zuzulassen sodass die Mobile User und die Homeoffice User sich dann erst
per VPN in die Firma Verbinden müssen und dann erst weiter kommen.
Mailzugriff dann über MDM Active Sync Proxy und keinen Direkten Zugriff.
Das ganze ist halt wie alles ein Konzept und nicht in 5 Min umgesetzt.
Alles was in der Firma ist braucht dann aber kein MFA weil das dann über
Conditional Access geregelt wird.
Reiner SCT Auth Token authenticator.reiner-sct.com/de/
Wo ein Firmenhandy vorhanden ist MUSS die Microsoft Authenticator App genutzt werden.
Für einige Homeoffice User verwenden wir Authenticator von ReinerSCT.
Für die Benutzer mit Notebook ist Smardcard Auth vorgesehn mit Pin.
Bzw. für die IPSec Verbindung dann nochmals ein anderes Zertifikat + Pin
Wo hast du denn die Info her das ab 2023 2 FA Auth. zwingend erforderlich ist ?
MS schafft lediglich die Basic Auth bis zum Ende des Jahres ab. Ab dann nur noch
Modern Auth. Modern Auth setzt aber keine 2 FA Auth vorraus sondern es lediglich
ein Zusatz der Genutzt werden kann wenn man möchte.
Je nach dem kann man auch den SMS 2 FA Auth oder den Telefonanruf wählen
denn man braucht IMMER noch das Passwort
Wenn du einen 2FA Service selber Hosten willst kannst du dir mal das VASCO DIGIPASS Authentication ServerSystem
ansehen wobei ich glaube das die Mitlerweise aufgekauft wurden . Das ist der Server bei dir auf Hardware oder als VM und der Benutzer bekommt einen Token.
Funktioniert mit Office365- hatten wir Testweise im einsatz
Die Überlegung ist aber hier alles zu Sperren und den zugriff nur noch über die
Firewall zuzulassen sodass die Mobile User und die Homeoffice User sich dann erst
per VPN in die Firma Verbinden müssen und dann erst weiter kommen.
Mailzugriff dann über MDM Active Sync Proxy und keinen Direkten Zugriff.
Das ganze ist halt wie alles ein Konzept und nicht in 5 Min umgesetzt.
Alles was in der Firma ist braucht dann aber kein MFA weil das dann über
Conditional Access geregelt wird.
Reiner SCT Auth Token authenticator.reiner-sct.com/de/
Sicherheitstechnisch auf jeden Fall ja, weil man der Kreativität der User beim Passwort erstellen nie vertrauen sollte, und bis Microsoft sämtliche Zugriffe ohne MFA verbietet, ist auch nur eine Frage der Zeit.
Dass MFA den Faktor Sicherheit um einiges erhöht steht außer Frage, aber ein expliziter Zwang besteht seitens Microsoft noch nicht. Und wie du schon sagst, ist es nur eine Frage der Zeit, bis Microsoft MFA zwingend voraussetzt.
Also @Server2503:
Nein, du musst nicht, aber du solltest.
