Optional

Office 365 kann jetzt Mehr-Faktor-Authentifizierung

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Office-365-Administratoren können jetzt bei Bedarf auch für normale Nutzer eine Mehr-Faktor-Authentifizierung (MFA) einschalten. Dies war bis dato den Admins selbst vorbehalten.

Bei der Mehr-Faktor-Authentifizierung wird zur Erhöhung der Sicherheit von Office 365 nach der Eingabe von Benutzername und Passwort eine weitere Sicherheitsebene eingezogen - Nutzer müssen dabei zunächst zum Beispiel einen Anruf, eine SMS oder eine App-Benachrichtigung auf ihrem Smartphone bestätigen, um sich bei Office 365 anzumelden. Für 365-Administatoren gibt es diese Möglichkeit seit Sommer vergangenen Jahres, seit dieser Woche kann man sie auch für einfache Nutzer einschalten, wie der technische Produkt-Manager Paul Andrew im Office-Blog ankündigt. MFA funktioniert demnach jetzt auch für Office-365-Nutzer, die gegen einen federated On-premise-Verzeichnisdienst authentifiziert werden.

Dieser Office-365-Nutzer wurde von seinem Admin auserwählt, sich künftig per MFA zu authentifizieren.
Dieser Office-365-Nutzer wurde von seinem Admin auserwählt, sich künftig per MFA zu authentifizieren.
Foto: Microsoft

Ist ein Nutzer vom Admin für Mehr-Faktor-Authentifizierung ausgewählt, dann muss er beim nächsten Login auswählen, welches Verfahren er für den zweiten Faktor wünscht. Fünf stehen zur Auswahl: Anruf auf dem Mobiltelefon (muss mit der Raute-Taste quittiert werden), Einmalcode per SMS, Anruf auf dem Festnetztelefon am Arbeitsplatz, App-Benachrichtigung (für Windows Phone, iOS oder Android) oder Einmal-Code über die App. Bei jeder folgenden Anmeldung ist die MFA dann zwingend und erfordert die Passwort-Eingabe und Bestätigung über das Mobiltelefon. Der gewünschte zweite Faktor lässt sich in den Office-365-Einstellungen wechseln.

Nach der Eingabe des Passworts klingelt das Telefon - quittiert man den Anruf mit der Rautetaste, ist man drin in Office 365.
Nach der Eingabe des Passworts klingelt das Telefon - quittiert man den Anruf mit der Rautetaste, ist man drin in Office 365.
Foto: Microsoft

Die Desktop-Anwendungen aus dem Office-Paket sind allerdings noch nicht entsprechend angepasst, daran arbeitet Microsoft aber laut Andrew bereits. Als Übergangslösung bietet der Konzern sogenannte "App Passwords" an. Der via Mehr-Faktor-Authentifizierung angemeldete Nutzer kann ein oder mehrere davon - es handelt sich um zufällig generierte Passwörter mit 16 Zeichen - generieren und damit die Nutzung der Desktop-Office-Programme freischalten. Für Nutzer mit PowerShell-Zugriff auf Office 365 gibt es die Option nicht; außerdem können Kunden mit besonderen Sicherheitsrichtlinien sie für ihren kompletten Tenant abschalten.

Den gewählten zweiten Faktor für die Authentifizierung kann der Nutzer in den Office-365-Einstellungen ändern.
Den gewählten zweiten Faktor für die Authentifizierung kann der Nutzer in den Office-365-Einstellungen ändern.
Foto: Microsoft

Später in diesem Jahr will Microsoft MFA auch direkt über Desktop-Anwendungen wie Outlook, Lync, Word, Excel, PowerPoint, PoiwerShell sowie OneDrive (so heißt SkyDrive jetzt) for Business anbieten. Dann sollen neben den bisherigen Telefon-Optionen auch Mehr-Faktor-Authentifizierungs-Lösungen von Drittanbietern sowie Smart Cards unterstützt werden - von letzterer Möglichkeit wollen unter anderem das US-Verteidigungsministerium und anderen Behörden Gebrauch machen.

App-Passwörter sind eine Übergangslösung, bis auch die Desktop-Programme von Office 365 MFA draufhaben.
App-Passwörter sind eine Übergangslösung, bis auch die Desktop-Programme von Office 365 MFA draufhaben.
Foto: Microsoft

Weiterführende Informationen zur MFA für Office 365 finden Interessierte in einem TechNet-Artikel.