StefanWe 14 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 Hallo, bei uns kam die Frage auf, ob wir mittels MFA die interaktive Anmeldung von kritischen Personen absichern können. Bspw. der HR Abteilung. Dafür müsste es ja einen Credential Provider von MS geben. Ich habe da aber bis jetzt nichts gefunden. Ist euch so etwas bekannt? Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 Gibts doch von diversen Anbietern. Was genau ist denn das Ziel? Absicherung von rdp/lokalen Sessions per MFA oder noch mehr? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 Moin, eine Alternative für on-prem wäre SmartCard oder Windows Hello mit einem Security Key. Das sind auch die einzigen Provider, die out of the box dabei sind. Eine andere Alternative für on-prem wäre zwar für die lokale Anmeldung am Endgerät nicht geeignet, aber wenn auf Terminalserver oder VDI zugegriffen wird, um sensible Daten zu verarbeiten, kann man dort (z.B. am RDG, NetScaler oder UAG, je nach verwendeter Technologie) MFA mit beliebigen Mitteln fordern - RADIUS mit RSA oder LinOTP, Azure MFA, you name it... Ansonsten gibt es 3rd party-Lösungen. Fortinet bringt den FortiAuthenticator mit, mit dem man einen zusätzlichen Provider installiert und eine beliebige Windows-Anmeldung mit MFA versehen kann. Es gibt auch viele andere. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 7. März 2022 Autor Melden Teilen Geschrieben 7. März 2022 Gerade eben schrieb NorbertFe: Gibts doch von diversen Anbietern. Was genau ist denn das Ziel? Absicherung von rdp/lokalen Sessions per MFA oder noch mehr? Genau. Es reicht die lokale, interaktive Anmeldung. Von diversen Anbietern, richtig. Aber durch unseren vorhandenen M365 Vertrag und der bereits im Einsatz befindetn MS MFA Lösung, würden wir diese natürlich auch gerne für die lokale Anmeldung mit nutzen, um nicht noch ein weiteres MFA Produkt kaufen zu müssen. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 vor 1 Minute schrieb StefanWe: Aber durch unseren vorhandenen M365 Vertrag und der bereits im Einsatz befindetn MS MFA Lösung, Tjo, hab ich in der Form nicht im Hirn, ob MS da was anbietet, aber ich vermute nein. Vielleicht weiß ja Evgenij mehr. :) Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 Wie gesagt, Hello for Business. Nur ist "Azure MFA" kein unterstützter Unlock Signal dort: https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/feature-multifactor-unlock Aber vielleicht reicht ja einer der anderen Faktoren 1 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 Moin, vor 9 Minuten schrieb cj_berlin: Unlock Signal puh, ich habe mir die Doku gerade zum ersten Mal angesehen. Gruselig - man würde ja hoffen, dass Microsoft das nicht ernst meint. Logik und Syntax lassen mich vermuten, dass der ganze Aufbau enorm fehlerträchtig ist und wenig "zusätzliche Sicherheit" erzeugt. Schon allein der originelle Umgang mit XML in Example 2 und 3 sorgt für krause Zehennägel. Gruß, Nils Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 vor 4 Minuten schrieb NilsK: Gruselig - man würde ja hoffen, dass Microsoft das nicht ernst meint. Microsoft meint, man soll das mit Intune managen, nicht mit Windows-Bordmitteln. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 Moin, vielleicht meinen sie das, aber implementiert haben sie es trotzdem so ... Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 7. März 2022 Autor Melden Teilen Geschrieben 7. März 2022 Ist ja mit Always On VPN auch genau so mies. Keine schöne Lösung. Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 7. März 2022 Melden Teilen Geschrieben 7. März 2022 Hi, ggfs. dieser Ansatz von James Rankin: Adding Microsoft Authenticator MFA to Windows logon – JAMES-RANKIN.COM HTH Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.