M365 – Multifaktor ohne Authenticator dank Azure AD Hybrid Join

M365 - Multifaktor ohne Authenticator dank Azure AD Hybrid Join

In den meisten Projekten lege ich mit dem Kunden gemeinsam fest, dass wir zu Beginn mit der klassischen Multifaktor-Authentifizierung via Microsoft Authenticator beginnen. Hierdurch werden die Anwender sensibilisiert und ein Angreifer kann nicht sein Device als MFA-Faktor hinterlegen (so bereits in der Vergangenheit erlebt!).

Authenticator „number matching“ – Quelle: learn.microsoft.com

Die Authentifizierung via Authenticator ist letztlich ein Schutz gegen Password Spray Attacken und wird von den Anwendern oft nicht hinterfragt, ohne „Number-Matching“ wurde es von den meisten Anwendern einfach ungeprüft bestätigt.

Azure AD Hybrid Join – das Unternehmensgerät als sicherer Faktor

Der bessere zweite Faktor ist aus meiner Sicht der „Azure AD Hybrid Join“. Dieser Status beinhaltet einen Active Directory Domain Join, Sync des Computerobjekts nach Azure AD bzw. Entra und eine Registrierung des physischen PCs in das synchronisierte Objekt im Azure AD. Insofern das Active Directory gehärtet wurde, wird dieser Vorgang durch einen Administrator betreut, der Sync nach Azure AD wird in den meisten Fällen durch ein Attribut oder eine Gruppenmitgliedschaft ausgelöst. Es müssen also mindestens zwei Schritte für den Status des Geräts vorgenommen werden, welche nicht durch den Benutzer beeinflusst werden.

Der Azure AD Hybrid Join ist mit Windows Client- und Serverbetriebssystemen möglich.
Durch Conditional Access-Regeln, Richtlinien für den Rollout lässt sich der Zustand als grundsätzliche Bedingung für den Zugriff auf M365-Ressourcen definieren.

Wie sieht ein solches Projekt für den Rollout aus?

In der Regel beginne ich mit der Analyse der Azure AD Connect-Konfiguration. Um Conditional Access nutzen können, müssen im Tenant Azure AD Premium P1-Lizenzen dediziert vorhanden sein oder im Rahmen der M365-Lizenzen (z. B: ab M365 Business Premium) Bestandteil des Pakets sein.

Im nächsten Schritt werden die Signin-Logs hinsichtlich der Clienttypen (Smartphone, Windows, Mac) und Betriebssystem-Versionen ausgewertet. Oftmals sind die Clients nicht homogenisiert und liegen in unterschiedlichsten Buildversionen vor. Hieraus resultiert oftmals ein Clientprojekt für die Planung und den Rollout eines standardisierten Clients.

Das Active Directory wird hinsichtlich der Gruppenrichtlinien für M365 geprüft und Richtlinien für den gezielten Rollout des Hybrid Joins werden konfiguriert. Oftmals ist das Active Directory „historisch gewachsen“ und kaum dokumentiert, ein Review und ein Optimierungsprojekt (auch mit Hinblick neuer Sicherheitsrichtlinien, Rechte/Rollen-Konzept) ist hier oft die Folge. Die Quelle der Identitäten im hybriden Verzeichnis ist immer noch das Active Directory, daher ist diese zentrale Komponente immer noch kritisch.

Sofern Azure AD Connect noch nicht für den Hybrid Join konfiguriert wurde, wird dies nachgeholt.

Azure AD Anmelde-Logbuch zur Auswertung des Hybrid Joins

Nach Testläufen wird der Rollout in Gruppen vorgenommen. Für den Rollout bedarf es keines Zutuns seitens der Benutzer, das Ergebnis kann im Azure Sign-in-Log geprüft werden.

Je nach Komplexität der Umgebung, Dokumentationsaufwand liegen die Projektaufwände zwischen 1 bis fünf Personentage.

 

Active Directory Tiermodell

Active Directory Tiermodell

Was ist das Active Directory Tiermodell? Regelmäßig empfehlen Pentester die Umsetzung des Tiermodells im Active Directory.Es handelt sich um ein Sicherheitsmodell und wurde bereits im

Weiterlesen »

BookStack – einfache moderne Dokumentation

Warum eine Dokumentationsplattform? Viele IT-Mitarbeiter nutzen OneNote als Dokumentationsplattform, manche Word-Dateien, wieder andere Textdateien. Die Lösungen sind oftmals dezentral, mindestens aber nicht zentral verwaltet. Systemdokumentationen

Weiterlesen »

M365 – Multifaktor ohne Authenticator dank Azure AD Hybrid Join

Über den Autor

Kategorien

Neueste Beiträge

Newsletteranmeldung

Sie möchten informiert werden, wenn wir neue Beiträge veröffentlichen?
Melden Sie sich hier für unsere automatische E-Mailbenachrichtigung an:

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzerklärung zu