MC468492
Der Nummernabgleich der Microsoft Authenticator App ist seit dem 25. Oktober 2022 allgemein verfügbar. Microsoft wird als nächsten Schritt diese wichtige Sicherheitsfunktion ab dem 27. Februar 2023 für alle Benutzer der Microsoft Authenticator App aktivieren.
Was bedeutet das konkret für Ihr Unternehmen?
Um versehentliche Genehmigungen zu verhindern, werden die Nutzer aufgefordert, eine Nummer einzugeben, die auf dem Anmeldebildschirm bei einer entsprechenden Anmeldung angezeigt wird, wenn sie eine MFA-Anfrage in der Microsoft Authenticator App genehmigen. Diese Funktion ist entscheidend für den Schutz vor MFA-Ermüdungsangriffen (sogenannten „wear out attacks“ oder “fatigue attacks”), deren Hauptziel es ist, den Kontoinhaber durch eine endlose Flut von MFA-Push-Benachrichtigungen dazu zu bringen, entweder aus Versehen zu genehmigen oder schlicht um die lästigen Benachrichtigungen zu stoppen.
Was Sie zur Vorbereitung tun können:
Wir empfehlen dringend, den gesteuerten Rollout von Microsoft zu nutzen und die vorhandenen Endbenutzer-Dokumentationen zu aktualisieren, um diese Funktionen (Nummernabgleich und nach Bedarf den zusätzlichen Kontext) für Nutzer der Microsoft Authenticator App reibungslos bereitzustellen.
Ausblick:
Eine weitere Möglichkeit, versehentliche Genehmigungen zu reduzieren, besteht darin, den Nutzern zusätzliche Informationen in Authenticator-Benachrichtigungen anzuzeigen. Administratoren können nun selektiv Folgendes aktivieren:
- Anwendungskontext: Zeigt den Nutzern an, bei welcher Anwendung sie sich gerade anmelden.
- Geografischer Standort-Kontext: Zeigt den Nutzern den Anmeldeort auf der Grundlage der IP-Adresse des Geräts, bei dem sie sich anmelden.
Weitere technische Informationen:
- Der Authentifizierungsablauf verlangt von den Nutzern einen Nummernabgleich, wenn sie die Microsoft Authenticator-App verwenden. Wenn der Nutzer eine Version der Authenticator-App verwendet, die den Nummernabgleich nicht unterstützt, schlägt die Authentifizierung fehl. Bitte stellen Sie sicher, dass Sie auf die neueste Version von Microsoft Authenticator (App Store und Google Play Store) aktualisieren, um sie für die Anmeldung zu verwenden.
- Self Service Password Reset (SSPR) und der kombinierte Registrierungsabläufe erfordern auch eine Nummernübereinstimmung, wenn Nutzer die Microsoft Authenticator-App verwenden.
- Der ADFS-Adapter erfordert den Nummernabgleich in Windows Server-Versionen, die den Nummernabgleich unterstützen. Bei früheren Versionen sehen die Nutzer weiterhin die „Genehmigen/Ablehnen“-Erfahrung und sehen den Nummernabgleich erst, wenn Sie aktualisieren:
- Windows Server 2022 Oktober 26, 2021—KB5006745 (OS Build 20348.320)
- Windows Server 2019 Oktober 19, 2021—KB5006744 (OS Build 17763.2268)
- Windows Server 2016 Oktober 12, 2021—KB5006669 (OS Build 14393.4704)
- Bei NPS-Erweiterungsversionen ab 1.2.2131.2 müssen die Nutzer nach dem 27. Februar 2023 einen Nummernabgleich durchführen. Da die NPS-Erweiterung keine Nummer anzeigen kann, wird der Nutzer aufgefordert, einen One-Time Passcode (OTP) einzugeben. Der Nutzer muss eine OTP-Authentifizierungsmethode (z. B. die Microsoft Authenticator-App, Software-Token usw.) registriert haben, um dieses Verhalten zu sehen. Wenn der Nutzer keine OTP-Methode registriert hat, erhält er weiterhin die Genehmigen/Ablehnen-Funktion. Sie können einen Registrierungsschlüssel erstellen, der dieses Verhalten außer Kraft setzt und die Nutzer mit „Genehmigen/Ablehnen“ auffordert.
- Apple Watch – Die Apple Watch wird für den Nummernabgleich nicht unterstützt. Wir empfehlen Ihnen, die Microsoft Authenticator Apple Watch App zu deinstallieren, da Sie Benachrichtigungen auf Ihrem Telefon genehmigen müssen.
Weiterführende Informationen von Microsoft:
▶ Verwenden des Nummernabgleichs in MFA-Benachrichtigungen
▶ Advanced Microsoft Authenticator security features are now generally available!
Bei Unterstützungsbedarf stehen wir gerne zur Verfügung! Kontaktieren Sie uns einfach unter vertrieb@if-tech.de oder Tel.: 089 2000669-20.
