znarf-bavaria
Goto Top

Tools für Multi-Tenant Verwaltung (Benutzer, MFA)

Hallo zusammen,

mal eine Anfrage an die Kollegen in den Systemhäusern:

Da jetzt in Microsoft Azure die MFA stärker in den Vordergrund rückt, sind wir auf der Suche, nach einem Tool um uns die Benutzerverwaltung zu vereinfachen.

Aktuell haben wir bei jedem Kunden EINEN Admin-Account im Tenant. Das ist per se schon nicht optimal, durch die MFA kommt jetzt aber noch eine zusätzliche Schwierigkeit hinzu: Entweder man hat ein Firmengerät, das die MFA für alle Adminaccounts für die Kunden hält oder der jeweilige Admin, der dazu aufgefordert wird, benutzt sein Mobilgerät für die MFA.

Das zweiteres nicht praktikabel ist, muss ich wahrscheinlich nicht erläutern. Bei dem allgemeinen Firmengerät besteht aber ebenfalls das Problem, dass man sich aussperrt, wenn das Mobiltelefon kaputt geht.

Daher wäre unser Ziel, für jeden unserer Admins einen eigenen Account im Tenant des Kunden anzulegen.
Bei vielen Kunden artet das aber natürlich in Arbeit aus, wenn wir einen neuen Admin bekommen, bzw. einer kündigt.
Dann müsste man jeden Kundentenant anfassen uns den entsprechenden Adminaccount anlegen/sperren.

Daher die Frage, ob es dafür ein Tool gibt, mit welchem ich in allen Kundentenants User anlegen bzw. sperren kann.
Wie handhabt ihr die MFA Geschichte bei euch?

Danke und viele Grüße
Franz

Content-ID: 5400757330

Url: https://administrator.de/contentid/5400757330

Ausgedruckt am: 16.11.2024 um 23:11 Uhr

anteNope
anteNope 16.01.2023 um 10:36:29 Uhr
Goto Top
Wie handhabt ihr die MFA Geschichte bei euch?
MFA wird deaktiviert, eben aus den von dir genannten Gründen. Man stelle sich vor man hat da 30 Accounts mit der Auth-App auf einem Smartphone gekoppelt und das stirbt dann ... neeeeee Danke.

Ein extrem langes Kennwort für den Admin-Account, welches unter Verschluss gehalten wird, sollte absolut ausreichend sein.

Bei den Benutzer hat man ein ähnliches Problem da nicht jeder ein Firmenhandy hat und privat die Teile wie Unterwäsche gewechselt werden. Gut bei Benutzern kann man das als Admin gerade biegen!

Die ganze MFA Geschichte verstehe ich eh nicht. Wenn ein Benutzer so dämlich ist und irgendwo sein Kennwort reinhämmert, was hilft die MFA? Das verhält sich ähnlich wie beim Phishing mit geänderten Überweisungsdaten. Egal ob das Kind Mobile-Tan heißt oder Secure-App-irgendwas; der Nutzer ließt und denkt nicht nach sondern klickt stumpf auf Senden ... ¯\_(ツ)_/¯
Das ist zumindest meine Erfahrung damit ...
Th0mKa
Lösung Th0mKa 16.01.2023 um 10:58:54 Uhr
Goto Top
Zitat von @ZnarF-Bavaria:

Daher wäre unser Ziel, für jeden unserer Admins einen eigenen Account im Tenant des Kunden anzulegen.
Bei vielen Kunden artet das aber natürlich in Arbeit aus, wenn wir einen neuen Admin bekommen, bzw. einer kündigt.

Das was du suchst ist Azure Lighthouse, der Mitarbeiter benutzt bei allen Kunden seinen persönlichen Firmenaccount. Scheidet er aus wird der gesperrt und er verliert automatisch den Zugriff auf alle Kunden.

Aber selbst wenn man Lighthouse nicht verwenden will kann man ja die Firmenaccounts auf den Kundentenants berechtigen, ich sehe keinen Grund für Accounts der Mitarbeiter pro Kunde.

VG,
Thomas
ipzipzap
ipzipzap 16.01.2023 aktualisiert um 15:53:10 Uhr
Goto Top
Hi,

Zitat von @anteNope:
Wie handhabt ihr die MFA Geschichte bei euch?
MFA wird deaktiviert, eben aus den von dir genannten Gründen. Man stelle sich vor man hat da 30 Accounts mit der Auth-App auf einem Smartphone gekoppelt und das stirbt dann ... neeeeee Danke.

sowas macht man ja auch nicht. Wer das an ein einziges Hardware-Gerät koppelt, handelt grob fahrlässig. Du kannst 2FA ohne Probleme in alle bekannten Passwort-Manager einbinden, sei es KeePass, Bitwarden, 1Password, etc. So hat dann auch jeder aus dem Admin-Team Zugriff darauf, wenn man die entsprechenden Rechte hat.

EDIT: Und ich sehe das auch so wie die Kollegen oben, das jeder Mitarbeiter nur mit seinem persönlichen Account Zugriff bekommen bzw. diesem Rechte zugeteilt werden sollte.

cu,
ipzipzap
ZnarF-Bavaria
ZnarF-Bavaria 13.06.2023 um 14:29:19 Uhr
Goto Top
Danke dir. Lighthouse war das was ich gesucht habe face-big-smile