Microsoft führt eine verpflichtende Multi-Faktor-Authentifizierung auch für Notfalladministratoren (sogenannte Break Glass Accounts) ein. Um weiterhin sicherzustellen, dass im Notfall ein Zugriff auf M365 mit diesen Konten erfolgen kann, ist es notwendig für die Break Glass Accounts eine Multi-Faktor-Authentifizierung einzurichten. Diese sollte nicht von einer Einzelperson abhängig sein. Empfohlen wird die Nutzung eines FIDO2-Keys.
Ab dem 15. Oktober 2024 führt Microsoft eine verpflichtende Multi-Faktor-Authentifizierung für die Anmeldung bei bestimmten Diensten ein.
Betroffen sind Kunden, die über einen eigenen M365-Tenant, also eine eigene Instanz der M365-Umgebung verfügen.
Einen Tenant hat Ihre Organisation zum Beispiel dann, wenn Sie aktiv Anwendungen aus M365 nutzen (z.B. Teams, Office 365, Exchange Online), ebenso verfügen aber auch Kunden die früher Lizenzen über das VLSC (Volume Licensing Service Center) bezogen haben über einen M365-Tenant, da nach der Ablösung des VLSC die Lizenzverwaltung über das Microsoft M365 Admin Center erfolgt.
Um die Sicherheit in der M365-Umgebung zu erhöhen, setzt Microsoft nun eine verpflichtende Multi-Faktor-Authentifizierung für die Anmeldung bei bestimmten Portalen durch.
Bei einer Multi-Faktor-Authentifizierung wird die klassische Anmeldung mit Nutzername und Kennwort um (mindestens) einen zusätzlichen Faktor erweitert. Weit verbreitet ist z.B. die Nutzung einer Authentifizierungsapp auf dem Smartphone mit der die Anmeldung zusätzlich bestätigt werden muss. Ein großer Teil von IT-Angriffen erfolgt gegen die Nutzeridentität, z.B. indem durch Phishing die Nutzerdaten abgegriffen werden. Der zusätzliche Faktor verringert in solchen Fällen das Risiko eines direkten Zugriffs der Angreifenden, da der zusätzliche Faktor weiterhin in der Hand des legitimen Nutzers liegt.
Von der verpflichtenden Multi-Faktor-Authentifizierung sind im ersten Schritt das Azure Portal, das Microsoft Entra Admin Center und das Microsoft Intune Admin Center betroffen, also der administrative Zugriff auf wichtige Teile der M365-Umgebung.
Wenn Sie globaler Administrator in Ihrer Umgebung sind, wurden Sie ggf. bereits seitens Microsoft über diese Änderung informiert.
Sofern Ihr Tenant im Rahmen eines Projekts durch die ITEBO, bzw. gemäß ITEBO-Standard, eingerichtet wurde besteht für die meisten administrativen Konten bereits eine Pflicht zur Nutzung von Multi-Faktor-Authentifizierung bei Zugriff auf M365-Ressourcen.
Für Ihren persönlichen Account und die Accounts Ihrer Mitarbeitenden besteht in diesem Fall also kein Handlungsbedarf.
Wurde Ihr Tenant durch Sie selbst oder durch einen anderen Dienstleister eingerichtet, oder verfügen Sie nur aufgrund der VLSC-Ablösung über einen Tenant, sollten Sie Ihre aktuellen Einstellungen individuell prüfen.
Von der verpflichtenden Multi-Faktor-Authentifizierung im ITEBO-Standard bislang ausgenommen sind die sogenannten Break Glass Accounts.
Break Glass Accounts sind administrative Konten, die einen Notfallzugriff auf den Tenant sicherstellen sollen, wenn eine normale Administration z.B. aufgrund von technischen Problemen oder einer Fehlkonfiguration der Zugriffsbeschränkungen nicht mehr möglich sein sollte. Bislang hat Microsoft empfohlen, diese Accounts von allen Richtlinien zur Zugriffsbeschränkung auszunehmen, um die Wahrscheinlichkeit zu senken, dass mögliche Fehler in diesem Bereich auch den Zugriff der Notfalladministratoren behindern.
Die von Microsoft gesteuerte Richtlinie zur verpflichtenden Multi-Faktor-Authentifizierung wird nun keine solche Ausnahme mehr beinhalten.
Um auch weiter einen Notfallzugriff mit den Break Glass Accounts zu ermöglichen, muss für diese daher eine Methode zur Multi-Faktor-Authentifizierung eingerichtet werden.
Dabei ist zu beachten, dass es sich bei Break Glass Accounts um nicht personalisierte Accounts handelt und daher nicht alle Methoden zur Multi-Faktor-Authentifizierung für diese Accounts sinnvoll sind. Eine Authentifizierungsapp auf einem Smartphone ist beispielsweise nicht zu empfehlen, da in der Regel kein durchgehender Zugriff darauf möglich ist (z.B. BesitzerIn des Smartphones ist zum Zeitpunkt eines Notfalls zufällig im Urlaub).
Wir empfehlen die Nutzung eines FIDO2-Keys.
Bei einem FIDO2-Key handelt es sich um einen kleinen Hardware-Token für kryptographische Schlüssel, der für einen Nutzer (bzw. hier einen Break Glass Account) im Mandanten registriert wird und mit dem sich danach authentifiziert werden kann.
Das Verfahren ist Phishing-resistent und bietet ein hohes Schutzniveau.
FIDO-Keys sind in unterschiedlichen Ausführungen erhältlich, für den vorliegenden Anwendungsfall ist ein Basismodell ausreichend.
Weiterführende Informationen des Herstellers finden Sie unter https://learn.microsoft.com/de-de/entra/identity/authentication/concept-mandatory-multifactor-authentication
Bei Rückfragen oder um ein Angebot für eine FIDO2-Key zu erhalten, wenden Sie sich gerne unter dem
Betreff "Verpflichtende Multi-Faktor-Authentifizierung in Microsoft 365"
