SSPR sperrt User aus


wie Trusted Locations bei der Multi-Faktor-Authentifizierung
zu Problemen werden können

Die Herausforderungen der Multi-Faktor-Authentifizierung

und wie Du sie meistern kannst

Die Sicherheit von Unternehmensdaten hat höchste Priorität, und die Implementierung von Multi-Faktor-Authentifizierung (MFA) und Self-Service-Passwortzurücksetzung (SSPR) ist ein wesentlicher Schritt in die richtige Richtung.

Allerdings wirft die Kombination von MFA und SSPR einige Fragen auf, insbesondere im Hinblick auf die Kontrolle von Angriffen.

Angreifer könnten versuchen, bei der Ersteinrichtung bösartige Methoden zu hinterlegen, um Konten zu kompromittieren.

bisherige Lösung

Einrichtung von SSPR nur innerhalb der „Trusted Location“ zulassen


Konsequenz

Mitarbeiter:innen können sich nicht mehr anmelden, wenn Sie sich nicht in der „Trusted Location“ aufhalten.

  • Die Standardkonfiguration von MFA in Entra ID erfordert keinen zweiten Faktor bei der initialen Registrierung von Authentifizierungsmethoden.
  • Dies führt zu Sicherheitsrisiken, da Benutzer:innen ohne zweiten Faktor durch Kenntnis des Passworts kompromittiert werden können.
  • Die Einrichtung einer Richtlinie, die die Registrierung einer Methode nur innerhalb einer vertrauenswürdigen Location erlaubt, führt zu operativen Einschränkungen und erhöhtem administrativem Aufwand.
  • Erstellung einer Richtlinie, die eine Bestätigung des zweiten Faktors für Sicherheitsmethode-Änderungen außerhalb der Trusted Location erfordert.
  • Bestätigung der Sicherheitsmethoden nach 180 Tagen außerhalb der Trusted Location möglich, wenn gültige Methode vorhanden ist.
  • Eingriffe wie Handytausch für MFA von zu Hause aus möglich, dann genügt Bestätigung mit gültiger MFA-Methode.
  • Unternehmen ohne Trusted Locations müssen zweiten Faktor für Benutzer:innen voreinrichten.

Luca Kühn
Manager IT-Consulting

Unklarheiten? Neugier entflammt?
Vereinbare jetzt Dein persönliches Gespräch!

Glossar

Dies ist eine Methode zur Verifizierung der Identität eines Benutzers, indem mehr als ein Verifizierungsfaktor verwendet wird. Üblicherweise werden zwei oder mehr der folgenden Faktoren verwendet: etwas, das der Benutzer weiß (z.B. ein Passwort), etwas, das der Benutzer besitzt (z.B. ein Smartphone), oder etwas, das dem Benutzer eindeutig ist (z.B. ein Fingerabdruck). In Azure AD kann MFA dabei helfen, die Sicherheit von Benutzerkonten zu erhöhen und das Risiko von nicht autorisierten Zugriffen zu minimieren.

Dies ist eine Funktion in Azure AD, die es Benutzern ermöglicht, ihr Passwort eigenständig zurückzusetzen, ohne den Support kontaktieren zu müssen. Diese Funktion kann die Produktivität erhöhen und die Kosten senken, da weniger Supportanfragen anfallen. 

Dies ist eine Funktion in Azure AD, die es Administratoren ermöglicht, Zugriffsrichtlinien basierend auf Bedingungen zu definieren. Diese Bedingungen können beispielsweise den Standort des Benutzers, das Gerät, von dem aus auf Ressourcen zugegriffen wird, oder das Risikoniveau des Benutzers umfassen. Basierend auf diesen Bedingungen kann der Zugriff erlaubt, verweigert oder zusätzliche Anforderungen können gestellt werden (z.B. MFA). 

Im Kontext des bedingten Zugriffs ist eine vertrauenswürdige Position eine geografische Lokation oder ein IP-Adressbereich, die/der als sicher eingestuft wurde. Administratoren können Richtlinien erstellen, die auf der Position des Benutzers basieren und den Zugriff von vertrauenswürdigen Positionen aus erleichtern oder von nicht vertrauenswürdigen Positionen aus einschränken.

Ein Temporary Access Pass ist ein zeitlich begrenzter Passcode, den Administratoren Benutzern zur Verfügung stellen können, um sich bei ihrem Konto anzumelden oder Aktionen wie die Registrierung für Multi-Faktor-Authentifizierung oder Self-Service-Passwortzurücksetzung durchzuführen. TAPs können eine Alternative zu herkömmlichen Authentifizierungsmethoden sein und ermöglichen eine sicherere Wiederherstellung von Konten. 

  

Wir haben, was Du brauchst: Maßgeschneiderte Services für Deine Vision

Navigiere durch die digitale Transformation, wir sind Dein Kompass

Strategy Consulting

designing future.

Wir designen und verstehen die zukünftige Strategie unserer Kund:innen und passen unser Handeln darauf an.

Data Intelligence

changing perspective.

Wir schaffen eine Cloud-basierte Dateninfrastruktur, welche die Datenlogistik auch in heterogenen Strukturen sicherstellt und von der jedes Unternehmen profitieren kann.

IT-Consulting

building foundations.

Wir sind Architekten und Umsetzer für die zukünftige IT-Struktur des digitalen Unternehmens, wobei wir gemeinsam mit unseren Kunden das Fundament für die Digitalisierung verantworten.

Business Consulting

delivering growth.

Als digital-first Unternehmen mit viel Erfahrung im Bereich Finance und Controlling geben wir unsere Erfahrungen für die Optimierung der Unternehmenssteuerung weiter.

Organizational Intelligence

empowering people.

Zusammen mit den Mitarbeiter:innen transformieren wir Unternehmen zu selbstlernenden Organisationen und schaffen die Arbeitsplätze der Zukunft.

Business & Process Solutions

bridging gaps.

Mit state-of-the-art Anwendungen schaffen wir datengetriebene und nachhaltige Lösungen, wobei immer der Gesamtkontext und Mehrwert für die strategische Orientierung der Organisation im Fokus stehen.

Cookie Consent with Real Cookie Banner