8
Wie sind eure Erfahrungen mit 2Faktor im AD Umfeld
Hallo zusammen,
ich bin auf der Suche nach einer Lösung um alle Benutzer- und Administratoren Accounts mit einem zweiten Faktor abzusichern.
Da ich großer Open Source Fan bin und da wo es Sinn macht (wirtschaftlich und technisch) solche Software einzusetzen bin ich irgendwann bei meinen Recherchen auf multiOTP gestoßen. Hat jemand von euch Erfahrungen im produktiven Einsatz?
Hat jemand Alternativen die er/sie im Einsatz hat?
Um eure Erfahrungsberichte wäre ich sehr dankbar. Freue mich auf eure Antworten.
Grüße
keng
ich bin auf der Suche nach einer Lösung um alle Benutzer- und Administratoren Accounts mit einem zweiten Faktor abzusichern.
Da ich großer Open Source Fan bin und da wo es Sinn macht (wirtschaftlich und technisch) solche Software einzusetzen bin ich irgendwann bei meinen Recherchen auf multiOTP gestoßen. Hat jemand von euch Erfahrungen im produktiven Einsatz?
Hat jemand Alternativen die er/sie im Einsatz hat?
Um eure Erfahrungsberichte wäre ich sehr dankbar. Freue mich auf eure Antworten.
Grüße
keng
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4810380580
Url: https://administrator.de/contentid/4810380580
Ausgedruckt am: 04.12.2024 um 19:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
mal unabhängig von der technischen Basis wehren sich irgend Alle, sowohl Mitarbeiter wie auch Chefs, mit Händen und Füßen.
Technisch habe ich hier einen Test mit ESET 2FA am laufen.
Macht einen guten Eindruck.
Für Einzel-PCs habe ich gute Erfahrungen mit saaspass.
Stefan
mal unabhängig von der technischen Basis wehren sich irgend Alle, sowohl Mitarbeiter wie auch Chefs, mit Händen und Füßen.
Technisch habe ich hier einen Test mit ESET 2FA am laufen.
Macht einen guten Eindruck.
Für Einzel-PCs habe ich gute Erfahrungen mit saaspass.
Stefan
2
Moin,
"Am liebsten soll der PC ohne Anmeldung direkt hochfahren" war neulich mein Highlight bei einem Gespräch mit einem Geschäftsführer. Smartcard soll's aber auch nicht sein.
Soviel zur Akzeptanz, IT-Sicherheit und Datenschutz.
Aber vielleicht ist das ja bald auch mit anderen 2FA Apps möglich, beim ESET Protect geht es ja mittlerweile auch schon anders als über die ESET App.
VG
"Am liebsten soll der PC ohne Anmeldung direkt hochfahren" war neulich mein Highlight bei einem Gespräch mit einem Geschäftsführer. Smartcard soll's aber auch nicht sein.
Soviel zur Akzeptanz, IT-Sicherheit und Datenschutz.
Zitat von @StefanKittel:
Technisch habe ich hier einen Test mit ESET 2FA am laufen.
Macht einen guten Eindruck.
Haben wir auch im Einsatz. Was mich daran nervt ist die extra App.Technisch habe ich hier einen Test mit ESET 2FA am laufen.
Macht einen guten Eindruck.
Aber vielleicht ist das ja bald auch mit anderen 2FA Apps möglich, beim ESET Protect geht es ja mittlerweile auch schon anders als über die ESET App.
VG
1
Unabhängig von Software bzw. Dienst, der eingesetzt wird, habe ich alle Admin AD/M365-Accounts über eine Policy zu MFA gezwungen, egal ob gerade Inhouse oder via Web der Zugriff erfolgt. MFA für alle User haben wir noch nicht scharf gestellt, das muss erstmal noch die obere Führung absegnen. Prinzipiell jederzeit einsetzbar mit einer vorgeschalteten Ausnahme für die eigene öffentliche IP-Adresse, damit Webapps wie SharePoint Online nicht nach einer weiteren Authentifizierung fragen.
Wie evtl. erkennbar, setzen wir die M365-Lösung ein.
Wie evtl. erkennbar, setzen wir die M365-Lösung ein.
2
Zitat von @DerMaddin:
Unabhängig von Software bzw. Dienst, der eingesetzt wird, habe ich alle Admin AD/M365-Accounts über eine Policy zu MFA gezwungen, egal ob gerade Inhouse oder via Web der Zugriff erfolgt. MFA für alle User haben wir noch nicht scharf gestellt, das muss erstmal noch die obere Führung absegnen. Prinzipiell jederzeit einsetzbar mit einer vorgeschalteten Ausnahme für die eigene öffentliche IP-Adresse, damit Webapps wie SharePoint Online nicht nach einer weiteren Authentifizierung fragen.
Wie evtl. erkennbar, setzen wir die M365-Lösung ein.
Unabhängig von Software bzw. Dienst, der eingesetzt wird, habe ich alle Admin AD/M365-Accounts über eine Policy zu MFA gezwungen, egal ob gerade Inhouse oder via Web der Zugriff erfolgt. MFA für alle User haben wir noch nicht scharf gestellt, das muss erstmal noch die obere Führung absegnen. Prinzipiell jederzeit einsetzbar mit einer vorgeschalteten Ausnahme für die eigene öffentliche IP-Adresse, damit Webapps wie SharePoint Online nicht nach einer weiteren Authentifizierung fragen.
Wie evtl. erkennbar, setzen wir die M365-Lösung ein.
Könntest du mal genauer beschreiben wie Ihr das gelöst habt. Gerade bei den Admin AD Konten.
Wir nutzen SmartCards zur Windowsauthentifizierung und die Akzeptanz ist gut. Keiner kennt mehr sein Kennwort, nur noch die SmartCard-PIN.
Es ist keine externe Software dazu nötig außer dem SmartCardtreiber.
Es ist keine externe Software dazu nötig außer dem SmartCardtreiber.
1
@kengkolomb: ich möchte das 100% richtig stellen.
Die Admin AD-Konten haben innerhalb der lokalen OnPrem AD (Domänen-Computer und Domänen-Server) keine MFA. Also bei Anmeldung (RDP, lokal) reicht nur der Username und Passwort aus. Wir sind nur vier Admins und alle intern, also überschaubar. Von daher wäre eine lokale AD MFA eher von Nachteil kann aber technisch auch, mit etwas Aufwand, umgesetzt werden.
Da unsere Umgebung aber keine reine AAD-verwaltete Domäne ist, sondern nur durch AAD-Connect mit dem Tenant verbunden, ist eine lokale MFA Umsetzung nicht möglich. Zumindest nicht, wenn nicht alle Clients und Server mit AAD "verheiratet" sind.
Die AD-Admin-Konten haben eine @domain.onmicrosoft.com Adresse in M365 und haben dort entsprechende Admin-Rollen. Hier ist für diese Konten MFA durch eine Policy erzwungen. Diese kann man im AAD Admin Center einrichten unter: Azure Active Directory -> Security -> Conditional Access -> Policies
Hoffe, dass diese Beschreibung deutlicher ist.
Die Admin AD-Konten haben innerhalb der lokalen OnPrem AD (Domänen-Computer und Domänen-Server) keine MFA. Also bei Anmeldung (RDP, lokal) reicht nur der Username und Passwort aus. Wir sind nur vier Admins und alle intern, also überschaubar. Von daher wäre eine lokale AD MFA eher von Nachteil kann aber technisch auch, mit etwas Aufwand, umgesetzt werden.
Da unsere Umgebung aber keine reine AAD-verwaltete Domäne ist, sondern nur durch AAD-Connect mit dem Tenant verbunden, ist eine lokale MFA Umsetzung nicht möglich. Zumindest nicht, wenn nicht alle Clients und Server mit AAD "verheiratet" sind.
Die AD-Admin-Konten haben eine @domain.onmicrosoft.com Adresse in M365 und haben dort entsprechende Admin-Rollen. Hier ist für diese Konten MFA durch eine Policy erzwungen. Diese kann man im AAD Admin Center einrichten unter: Azure Active Directory -> Security -> Conditional Access -> Policies
Hoffe, dass diese Beschreibung deutlicher ist.
1
Zitat von @Tezzla:
"Am liebsten soll der PC ohne Anmeldung direkt hochfahren" war neulich mein Highlight bei einem Gespräch mit einem Geschäftsführer. Smartcard soll's aber auch nicht sein.
Das ist soooo ermüdend. Aber am Ende den Schuldigen suchen und finden, wenn die Kacke dampft."Am liebsten soll der PC ohne Anmeldung direkt hochfahren" war neulich mein Highlight bei einem Gespräch mit einem Geschäftsführer. Smartcard soll's aber auch nicht sein.
Moin,
vielen Dank für die bisherigen Infos.
Gibt es denn noch jemand der multiOTP einsetzt? Oder andere Lösungen außer ESET?
vielen Dank für die bisherigen Infos.
Gibt es denn noch jemand der multiOTP einsetzt? Oder andere Lösungen außer ESET?
