MFA in einem Domänennetzwerk

[LynxRK]

Hallo CB-Community,

ich wollte mich mal erkundigen, ob von euch schon mal jemand Erfahrungen mit Multi-Faktor-Authentifizierungen in einem Domänennetzwerk gemacht hat?

Ich habe mir mal die zwei Programme SecurID und UserLock "angeschaut", also die Websites.

Gibt es irgendwas zu beachten?
Ich bin für alle Tipps und Hinweise dankbar

MfG

 

[kartoffelpü]

Gibt es irgendwas zu beachten?

Ja, jede Menge.

Sollen wir dir alles hier auflisten?

Entweder mit einem Dienstleister in Kontakt treten und weiteres besprechen oder in einer separaten Testumgebung selber damit befassen.

 

[FlaTLin3]

"out of th box" kann ein AD (soweit ich weiß) nur PKI mit SmartCard oder kompatiblen (USB-)Dongle (z.B. von YubiKey). Dort ist dann die SmartCard/Dongle (1. Faktor) und eine PIN (2. Faktor) erforderlich. Dazu sollte es Informationen von Microsoft geben.

Ansonsten bietet Microsoft wohl Schnittstellen, welche Drittanbieter nutzen können um eigene Lösungen anzubieten. So werden die von dir genannten Produkte arbeiten. Details dazu wirst du bei den Anbietern in Erfahrung bringen müssen.

 

[wambo12]

Ich arbeite mit yubikey zusammen mit authlite.
Recht simpel in der Implementation und im Großen und Ganzen auch sehr günstig.

 

[blablub1212]

Bei uns in der Firma wurde vor 2 Wochen die Microsoft Authenticator App für die Anmeldung an Azure AD eingeführt: https://docs.microsoft.com/de-de/azure/active-directory/authentication/concept-mfa-howitworks

Funktioniert bis jetzt problemlos.

 

[RalphS]

Per Bordmittel wären wir bei Windows Hello for Business.

Erfordert, wenn sich da nichts geändert hat und ich mich nicht falsch erinnere, eine ADFS Implementierung.

Vorteil ist, daß man dann die üblichen "consumermäßig bekannten" Optionen nutzen kann und das auch zentral steuerbar ist.

Nachteil ist aber ganz klar ADFS.

 

[crashbandicot]

Per Bordmittel wären wir bei Windows Hello for Business.

WHfB geht auch mit Azure AD. Dann spart man sich zwar den ADFS, braucht aber einen Azure AD Connect. Zumindest wenn man sein onPrem AD irgendwie weiternutzen möchte.

ob von euch schon mal jemand Erfahrungen mit Multi-Faktor-Authentifizierungen in einem Domänennetzwerk gemacht hat?

Ja. Was möchtest du denn schützen? Die Windows Anmeldung am Endgerät? Eine Authentifizierung am RDWeb?

 

[RalphS]

WHfB geht auch mit Azure AD.

Na okay, AAD steht bei mir irgendwo ganz am Ende der Liste. Eher noch paar Einträge dahinter.

Für MFA jetzt AAD implementieren klingt mir eher wie Kind mit dem Bad ausschütten, aber wenn man AAD sowieso will, dann kann man das natürlich machen.

 

[LynxRK]

Ja. Was möchtest du denn schützen? Die Windows Anmeldung am Endgerät? Eine Authentifizierung am RDWeb?

Es geht um einige mobile Endgeräte (Laptops) die auch das Haus verlassen. Diese sollen eben per min. 2-Faktor gesichert sein bei der Windows Anmeldung.