Auswahl einer Office 365 Benutzerauthentifizierungsmethode

Als Office 365-Administrator haben Sie vielleicht das Gefühl, dass die einzige Möglichkeit, Benutzer zu verwalten (manchmal!), die Peitsche ist. Leider ist das nicht mehr erlaubt, daher müssen Sie bei Ihren Management-Fähigkeiten etwas raffinierter werden. Wenn Benutzer auf Office 365 zugreifen möchten, müssen sie authentifiziert werden. Benutzer in Ihrer Organisation haben bereits einen Benutzernamen und ein Passwort, höchstwahrscheinlich bei der Verwendung eines internen Active Directory. Natürlich könnten Sie separate Office 365-Benutzerkonten für Ihre Benutzer erstellen, aber idealerweise würden Sie sie dazu bringen, bestehende lokale Konten „wiederzuverwenden". Ich habe „wiederverwenden" bewusst in Anführungszeichen gesetzt, da dies technisch gesehen nicht für alle möglichen Szenarien völlig zutreffend ist. Mehr dazu später. Die Benutzerverwaltung ist sehr wichtig. Sie möchten nicht, dass die falschen Benutzer Zugriff auf die falschen Ressourcen haben, oder noch schlimmer, dass Hacker durch das Hacken von Benutzerkonten Zugriff auf interne Daten erlangen. Denken Sie also sorgfältig über Authentifizierungs- und Autorisierungsoptionen bei der Verwendung von Office 365 nach.

Single Sign-On mit Ihrem bestehenden Active Directory

Wie oben erwähnt, können Sie Ihr bestehendes Authentifizierungssystem (wie Active Directory) bei der Implementierung der Authentifizierung für Office 365 nutzen. Bevor ich die möglichen Optionen erkläre, müssen Sie wissen, dass Office 365 im Hintergrund Azure AD für die Authentifizierung verwendet. Jeder Office 365-Mandant hat ein separates Azure AD. Es gibt zwei mögliche Optionen:

1. Synchronisierte Identitäten: Konten werden zwischen Azure AD und Ihrem lokalen Verzeichnis synchronisiert. Sie können wählen, ob Sie auch Passwörter synchronisieren oder Benutzer unterschiedliche Passwörter für beide haben lassen möchten.
2. Föderierte Identitäten: In diesem Modell authentifizieren sich Benutzer immer gegen Ihr internes Verzeichnis. Bei der Anmeldung bei Office 365 werden Benutzer zu Ihrem intern gehosteten Identitätsanbieter wie ADFS weitergeleitet. Nach erfolgreicher Anmeldung werden Benutzer zu Office 365 weitergeleitet und sind angemeldet.

Option 2 ist die bevorzugte Option und die einzige Option, die eine nahtlose Single-Sign-On-Erfahrung ermöglicht. Option 2 erfordert jedoch auch zusätzliche lokale Konfiguration für den Identitätsanbieter und ist daher die kompliziertere Option. Option 1 ist die einfachste Lösung zur Einrichtung. In den meisten Fällen beginnen Organisationen mit Option 1 und wechseln schließlich zu Option 2. Siehe diesen ausgezeichneten Office-Artikel für weitere Informationen.

Multifaktor-Authentifizierung

Neben den beiden Authentifizierungsoptionen für die Identitätsverwaltung ist die dritte Möglichkeit zur Verwaltung Ihrer Benutzer die Multifaktor-Authentifizierung. Die Idee hinter der Multifaktor-Authentifizierung ist, dass bei der Anmeldung ein physischer Gegenstand erforderlich ist. In den meisten Fällen handelt es sich um einen Code, der per SMS oder Telefonanruf gesendet oder von einer mobilen App generiert wird. Bei der Anmeldung mit Ihrem Benutzernamen und Passwort muss auch ein vom Multifaktor-Gerät generierter Schlüssel eingegeben werden. In dem Szenario, in dem ein Hacker den Benutzernamen und das Passwort erlangt, kann er sich immer noch nicht anmelden, es sei denn, er hat Zugriff auf das Telefon des Benutzers. Es ist nicht unmöglich, aber es macht es für Hacker viel schwieriger, Zugriff auf ein Benutzerkonto zu erlangen. In Office 365 können Sie die Multifaktor-Authentifizierung über das Office 365 Admin Center konfigurieren. Sie können wählen, für welche Benutzer Sie sie aktivieren möchten und was zu tun ist, wenn der Client keine Multifaktor-Authentifizierung zulässt. Beispielsweise unterstützen Nicht-Browser-Clients wie Outlook noch keine Multifaktor-Authentifizierung, aber durch die Konfiguration eines sogenannten App-Passworts können Benutzer die Anwendung weiterhin verwenden. Die Office 365-Multifaktor-Authentifizierung basiert wie zuvor erklärt auf Azure AD und verwendet daher auch die Azure-Multifaktor-Authentifizierung. Siehe hier für weitere Informationen.

Optionen, Optionen, Optionen

Wenn es um die Verwaltung Ihrer Office 365-Benutzer geht, haben Sie drei Optionen:

1. Synchronisierte Identitäten: Benutzerkonten werden zwischen Ihrem internen Verzeichnis und Azure Active Directory synchronisiert. Benutzer müssen sich zweimal anmelden: einmal bei Ihren internen Systemen und zweitens bei Office 365. Passwörter können zwischen beiden synchronisiert werden, sodass sich Benutzer nicht zwei separate Passwörter merken müssen.
2. Föderierte Identitäten: Es gibt nur ein Benutzerkonto, das in den meisten Fällen Ihr lokales Verzeichniskonto sein wird. Bei der Anmeldung bei Office 365 wird Ihr Identitätsanbieter (z. B. ADFS) zur Authentifizierung eines Benutzers verwendet. Single Sign-On kann so implementiert werden, dass sich Benutzer nur einmal anmelden müssen.
3. Multifaktor-Authentifizierung: Nach erfolgreicher Anmeldung bei Office 365 erfordert die Multifaktor-Authentifizierung die Eingabe einer Challenge-Response, die ihnen per SMS, Telefonanruf oder von einer mobilen App generiert gesendet wird. Erst nach Eingabe des Codes können sie sich bei Office 365 anmelden.

Es gibt eine vierte Option, die ich früher kurz erwähnt habe - nämlich die Verwendung separater Office 365-Konten (sogenannte "onmicrosoft"-Konten, da das Format benutzername@mandant.onmicrosoft.com ist. Dies ist nur für Demozwecke nützlich oder wenn Sie kein internes Verzeichnis haben, was unwahrscheinlich ist.

Was sollten SIE wählen?

Wie besprochen sind föderierte Identitäten in den meisten Fällen die beste Lösung, aber sie erfordern mehr Konfiguration. Wenn Sie sich anfangs für Office 365 anmelden, möchten Sie vielleicht nicht alles davon sofort machen. Mit synchronisierten Identitäten zu beginnen und in einem zukünftigen Stadium zu föderierten Identitäten zu wechseln, ist ein sehr solider Ansatz. Schließlich ist die Multifaktor-Authentifizierung eine gute Sache, erfordert aber, dass Benutzer jedes Mal einen Code eingeben, wenn sie sich anmelden. Sie möchten dies jedoch möglicherweise nur auf Administratoren beschränken, um das beste Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit zu haben. Office 365 hat großartige Funktionen wie Dokumentenverwaltung, Versionskontrolle, Workflows, Teamseiten, E-Mail, Lync und mehr. Wenn es jedoch niemand nutzt, weil die Authentifizierungsanforderungen zu streng oder zu kompliziert sind, ist es nutzlos. Was verwenden Sie zur Authentifizierung von Office 365-Benutzern?