leowolfert - Fotolia

Azure MFA und NPS: Multifaktor-Authentifizierung nachrüsten

Mit Multifaktor-Authentifizierung lassen sich Nutzerkonten besser absichern. Mit einer Erweiterung kann man dies über Azure MFA für bestehende Umgebungen einrichten.

Sie können Ihrer vorhandenen RADIUS-Infrastruktur mit etwas Unterstützung aus der Cloud durchaus wieder neues Leben einhauchen und gleichzeitig für den Einstieg in eine moderne Multifaktor-Authentifizierung (MFA) sorgen.

Microsoft erleichtert die Nutzung eines MFA-Dienstes über den eigenen Azure-Service. Er kann nur in der Cloud oder auch On-Premises verwendet werden. Unternehmen, die Cloud-basierte MFA-Fähigkeiten in ihre lokale Infrastruktur einfügen wollen, können dafür die Erweiterung Network Policy Server (NPS) von Microsoft einsetzen. Sie fungiert als Schnittstelle zwischen Azure-Active-Directory-MFA und Anfragen über RADIUS (Remote Authentication Dial-In User Service).

Die Azure-MFA-NPS-Erweiterung integriert Telefonanrufe, Textnachrichten oder Verifikationsdienste für Apps direkt in die für die Authentifizierungen genutzte Infrastruktur eines Unternehmens, ohne dass dafür ein neuer On-Premises-Server eingerichtet werden muss. Diese Lösung kann damit moderne Authentifizierungen in bestehende Umgebungen bringen. Allerdings sollten ein paar Punkte beachtet werden, wenn eine lokale Infrastruktur mit der Cloud verbunden werden soll.

Voraussetzungen und Kosten für Azure MFA NPS

Azure MFA verknüpft den zweiten für eine Authentifizierung benötigten Faktor entweder mit einem Cloud-Account oder mit einem synchronisierten Account innerhalb von Azure AD. Auch wenn der Dienst recht einfach zu nutzen und zu implementieren ist, fügt die NPS-Erweiterung die Azure-MFA-Fähigkeiten trotzdem in Services wie Microsoft Remote Desktop oder in Virtual Private Networks (VPNs) ein. Dabei wird der Authentifizierungsmechanismus so angepasst, dass er eine Authentifizierung über etwa mobile Apps unterstützt.

Der Einsatz der NPS-Erweiterung in Azure AD MFA setzt allerdings eine passende Lizenz voraus. Die Funktion ist für alle Kunden verfügbar, die über Lizenzen für Azure MFA (erhältlich über Azure AD Premium), Enterprise Mobility and Security oder eine Einzellizenz für MFA verfügen.

Verbrauchsabhängige Lizenzen für MFA, die etwa pro Nutzer oder Authentifizierung abgerechnet werden, sind dagegen nicht kompatibel mit der NPS-Erweiterung. Unternehmen können sie ebenfalls nicht einsetzen, wenn sie nur die kostenlose Azure-AD-Ebene oder Lizenzen für Office 365 beziehungsweise Microsoft 365 nutzen. Microsoft stellt Azure MFA entweder pro Nutzer, Gerät oder Monat in Rechnung. Wenn ein Unternehmen andere Lizenzen verwendet, die nicht pro Benutzer oder pro Gerät gelten, fallen aber keine zusätzlichen Kosten an.

Der On-Premises genutzte Server benötigt Windows Server 2012 oder höher, um die NPS-Erweiterung überhaupt ausführen zu können. Darüber hinaus müssen die Administratoren das Visual C++ Redistributable-Paket sowie das Azure-AD-Modul für die PowerShell installieren, um die Konfiguration der NPS-Erweiterung abschließen zu können. Außerdem benötigt ein NPS Zugang zum Internet, da er über die Ports 80 und 443 Verbindung mit den folgenden URLs aufnehmen will:

  • https://adnotifications.windowsazure.com
  • https://login.microsoftonline.com
  • https://credentials.azure.com

Die Konten von Anwendern, welche die NPS-Erweiterung nutzen sollen, müssen über Azure AD Connect mit Azure AD synchronisiert werden. Das Einspielen und Aktivieren von NPS führt auch dazu, dass künftig alle Authentifizierungen über MFA erfolgen müssen.

Warum Azure MFA einsetzen und keine Plattform eines Drittanbieters?

Auf dem Markt gibt es noch einige andere MFA-Anbieter und -Plattformen, die ähnliche Authentifizierungsmechanismen unterstützen. Viele von ihnen erfordern aber nicht nur eine Lizenz für das eigene Produkt, sondern auch eine für Azure MFA. Die meisten modernen Plattformen von Drittanbietern unterstützen mittlerweile eine Nutzung per bedingtem Zugriff (Conditional Access) im Gegensatz zur direkten Konfiguration pro Benutzer. Das ändert aber nichts daran, dass trotzdem für sie eine doppelte Lizenz benötigt wird.

Der wichtigste Vorteil eines Drittanbieterprodukts ist in der Regel der bessere Support für andere Dienste und Anwendungen sowie eine Unterstützung alternativer Betriebssysteme. Zudem bieten sie oft ein optimiertes Single Sign-On sowie leichter zu bedienende Benutzeroberflächen.

Für die NPS-Erweiterung spricht also, dass eine Multifaktor-Authentifizierung damit mit nur einer einzigen Lizenz umgesetzt werden kann. Außerdem enthält der eingesetzte Server dann auch gleich alle benötigten Rollen.

Wesentliche Faktoren bei einem Einsatz der Azure-MFA-NPS-Erweiterung

Abhängig vom Umfang des geplanten Einsatzes der NPS-Erweiterung können Unternehmen entweder einen dedizierten Network Policy Server einrichten oder einen bereits vorhandenen Server nehmen. Die am häufigsten zu findenden Umsetzungen greifen auf einen bereits existierenden NPS zurück, der zum Beispiel schon als VPN-Server oder für die Installation der NPS-Erweiterung genutzt wurde. Nach dem Einrichten kümmert sich die NPS-Erweiterung um den Schutz der Verbindungen zwischen lokalen Systemen und der Cloud. Authentifizierungen für Endanwender erfolgen über den primären Authenticator, zum Beispiel ein lokal vorhandenes Active Directory, und von dort aus direkt zum Azure-MFA-Dienst, der sich um den zweiten Faktor kümmert.

Zwei Punkte bestimmen allerdings, welche Authentifizierungsmethoden innerhalb der NPS-Umgebung verfügbar sind. Der erste Punkt betrifft den für den RADIUS- oder einen VPN-Client ausgewählte Passwortalgorithmus. Der zweite Punkt hängt mit der verwendeten Eingabemethode für die Verifikation des zusätzlichen Faktors zusammen.

Die NPS-Erweiterung unterstützt mehrere unterschiedliche Passwortalgorithmen: Password Authentication Protocol (PAP), Challenge-Handshake Authentication Protocol Version 2 (CHAPV2) sowie Extensible Authentication Protocol (EAP). PAP arbeitet mit jeder Authentifizierungsmethode innerhalb von Azure AD MFA zusammen, seien es Telefonanrufe, Einweg-Textnachrichten, Mobile-App-Benachrichtigungen, offene Authentifizierungs-Token auf Hardware-Basis oder von mobilen Apps erstellten Verifikations-Codes. CHAPV2 und EAP unterstützen dagegen nur Telefonanrufe und Mobile-App-Benachrichtigungen.

Troubleshooting und Fehlersuche

Wenn es zu einem Fehler innerhalb der NPS-Erweiterung kommt, kann dadurch der gesamte Authentifizierungs- und Autorisierungsprozess beeinträchtigt werden. Einige häufiger anzutreffende Probleme, die in mehreren NPS-Umgebungen beobachtet wurden, gehen auf den Einsatz von Security-Token zurück, Fehler bei der Authentifizierung oder auf ungültige Zertifikate.

Wenn ein Fehler auftritt, sollten Sie zuerst den Network Policy Server neu starten und dann mehrere Verifikations-Checks durchführen. Testen Sie dabei, ob das System noch wie erwartet arbeitet. Überprüfen Sie die Zertifikate und kontrollieren Sie die Account-Synchronisierung per Azure AD Connect sowie den Internetzugriff der NPS-Erweiterung.

Ebenfalls hilfreich ist beim Troubleshooting ein Blick in die Logs im Event Viewer. Das gilt besonders für alle Azure-MFA-Ereignisse in der Liste. Weitere Details lassen sich über angepasste Ansichten der Logs für die Network Policy and Access Services herausfinden.

Beachten Sie, dass die NPS-Erweiterung keine Änderungen von Passwörtern durch die Endnutzer beim Login unterstützt. Das ist eigentlich kein technisches Problem. Die Einschränkung kann aber zu einem erhöhten Aufwand beim IT-Support führen.

Was passiert, wenn der Azure-Dienst ausfällt?

Mit Ausfällen muss nahezu jedes Unternehmen kämpfen, das auf die Cloud vertraut. Welche Schritte können Sie unternehmen, sobald eine unerwartete Downtime eintritt?

Wenn Sie sowohl die NPS-Erweiterung als auch Azure MFA nutzen, dann können Ihre Endnutzer die für das Login erforderliche Überprüfung des zweiten Faktors nicht mehr durchführen. Das führt abhängig von der Situation und Nutzung vor Ort zu erheblichen oder auch nur zu vergleichsweise geringen Problemen. Eventuell wirkt sich der Ausfall nur auf den VPN-Zugang zum Netzwerk aus. Oder er hindert einen Admin daran, via Remote Desktop aus der Ferne auf die lokalen Server zuzugreifen. Er könnte aber auch den Zugriff auf alle Cloud-Dienste wie zum Beispiel Microsoft 365 unmöglich machen.

Die Administratoren können versuchen, mit Änderungen an der Konfiguration den Fehler zu beheben. Das Nutzen der Multifaktor-Authentifizierung erfordert aber einen Zugriff auf die Cloud, was jedoch eventuell nicht möglich ist. Eine mögliche Abhilfe ist, sicherzustellen, dass die Sicherheitsgruppen die Nutzung von MFA erzwingen. Die IT-Abteilung kann dann bei einem Ausfall der Cloud Nutzer hinzufügen oder entfernen, sofern sie einen zweiten Faktor benötigen, um anschließend eine zweite Gruppe zu aktivieren, bei der das nicht nötig ist. Eine weitere Möglichkeit ist, zwei Network Policy Server aufzusetzen. Einer wird inklusive der NPS-Erweiterung konfiguriert, der andere ohne. Bei einem Ausfall kann dann ein Wechsel zwischen den beiden Maschinen relativ schnell durchgeführt werden.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de
Close