users:mfa

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
users:mfa [2023/07/14 14:36] Admin Schmidusers:mfa [2024/06/20 09:01] (aktuell) – [Microsoft Authenticator] Admin Schmid
Zeile 1: Zeile 1:
 ====== Multifaktorauthentifizierung (MFA) ====== ====== Multifaktorauthentifizierung (MFA) ======
  
-Die Multi-Faktor-Authentifizierung (MFA) ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Im Grundprinzip wird meist darunter verstanden, dass die Benutzer Kenntnis über etwas haben (Passwort / PIN / Passphrase) und etwas besitzen müssen, um Zutritt zu erhalten.+Die Multi-Faktor-Authentifizierung (MFA) ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Im Grundprinzip wird meist darunter verstanden, dass die Benutzer etwas wissen (Passwort / PIN / Passphrase) und etwas besitzen müssen (Authenticator App, Keycard, SmartCard), um Zugang zu erhalten.
  
 Geläufige Abkürzungen sind **2FA** für Two Factor Authentication oder auch **MFA** für Multi Factor Authentication. Geläufige Abkürzungen sind **2FA** für Two Factor Authentication oder auch **MFA** für Multi Factor Authentication.
  
-===== Status Umsetzung von MFA =====+===== Grundeinstellungen MFA Gymnasium Neufeld =====
  
-Ab dem **12. Juli 2023** wird der Einsatz von MFA grundsätzlich von **allen Angehörigen des Gymnasium Neufeld** verlangt. +  Die MFA wird ab Juli 2023 für alle Mailkonten des Gymnasium Neufeld (aktive wie auch ehemalige SuS) benötigt 
- +  * Eine einmal erfolgte Authentifizierung bleibt auf dem verwendeten Gerät für 10 Tage gültig. 
-  * Eine einmal erfolgte Authentifizierung bleibt auf dem verwendeten Gerät für drei Tage gültig. +
   * Befindet sich das Gerät im WLAN oder Ethernet der Schule, wird die MFA nicht verlangt.   * Befindet sich das Gerät im WLAN oder Ethernet der Schule, wird die MFA nicht verlangt.
  
 +Weitere Informationen sind zu finden im Dokument [[users:datenschutz_sicherheit]]
 +===== Kurzanleitung für das Aktivieren der MFA =====
 +
 +Variante 1: 
 +[[https://portal.gymneufeld.ch]], Menupunkt Sicherheitsinformationen auswählen
 +Oder [[https://mail.gymneufeld.ch/]] 
 +
 +Variante 2: 
 +[[https://aka.ms/mfasetup]], Menupunkt Sicherheitsinformationen auswählen
 +
 +<file>
 + 1. Nach dem Login mit dem Mailaccount (vorname.name@gymneufeld.ch) oben Rechts auf den eigenen Namen klicken
 + 2. "Konto anzeigen" wählen
 + 3. "Sicherheitsinformationen" wählen
 + 3. "Zusätzliche Sicherheitsprüfung" wählen
 +</file>
  
 ===== MFA bei der Microsoft Cloud ===== ===== MFA bei der Microsoft Cloud =====
Zeile 17: Zeile 32:
 ==== Einrichtung ==== ==== Einrichtung ====
  
-Melden Sie sich auf https://aka.ms/mfasetup mit der [[users:public:account|Mailadresse]] an, sie gelangen Direkt zum MFA Registrationsportal unter "Meine Anmeldungen"+Via einen PC,melden Sie sich auf https://aka.ms/mfasetup mit der [[users:public:account|Mailadresse]] an, sie gelangen Direkt zum MFA Registrationsportal unter "Meine Anmeldungen"
  
 {{:users:mfa:screen1s.png?nolink&400|}} {{:users:mfa:screen1s.png?nolink&400|}}
Zeile 43: Zeile 58:
     * [[https://play.google.com/store/apps/details?id=com.azure.authenticator|Play Store]]     * [[https://play.google.com/store/apps/details?id=com.azure.authenticator|Play Store]]
     * [[https://apps.apple.com/ch/app/microsoft-authenticator/id983156458|Apple App Store]]     * [[https://apps.apple.com/ch/app/microsoft-authenticator/id983156458|Apple App Store]]
 +Mit der App den auf dem PC angezeigten QR-Code scannen. 
  
-Falls nicht bereits installiert, Klicken Sie in "Meine Anmeldungen" auf **Sicherheitsinformationen**, dann **Methode hinzufügen**+<note tip>Wenn Sie die App bereits habenlöschen Sie bitte den "Gymnasium Neufeld" Account, bevor Sie fortfahren.</note> 
 + 
 +Klicken Sie in "Meine Anmeldungen" auf **Sicherheitsinformationen**, dann **Methode hinzufügen**
   * Wählen Sie als Methode **Authenticator-App**   * Wählen Sie als Methode **Authenticator-App**
   * Folgen Sie den weiteren Anweisungen, um den Authenticator zu verknüpfen   * Folgen Sie den weiteren Anweisungen, um den Authenticator zu verknüpfen
Zeile 53: Zeile 71:
  
 Nur mit dem **Microsoft Authenticator sind bequemere Push-Nachrichten möglich** Prinzipiell funktioniert jede [[https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus|TOTP]] App, bei der Sie ein 6-stelliges Einmalpasswort((OTP: One Time Password)) eingeben müssen, das ist allerdings im regelmässigen Einsatz weniger bequem. Nur mit dem **Microsoft Authenticator sind bequemere Push-Nachrichten möglich** Prinzipiell funktioniert jede [[https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus|TOTP]] App, bei der Sie ein 6-stelliges Einmalpasswort((OTP: One Time Password)) eingeben müssen, das ist allerdings im regelmässigen Einsatz weniger bequem.
 +
 +Detaillierte Anleitung zum Aktivieren der Authenticator-App:
 +[[https://support.microsoft.com/de-de/topic/verwenden-von-microsoft-authenticator-mit-microsoft-365-1412611f-ad8d-43ab-807c-7965e5155411#ID0EBBJ=Schritt_2|MS Support - 6 Schritte zum Einrichten der Authenticator-App]]
 +
 +Aktivieren der Authenticator-App im [[https://myaccount.microsoft.com/|Portal "Mein Konto"]]:
 +[[https://support.microsoft.com/de-de/account-billing/einrichten-der-microsoft-authenticator-app-als-%C3%BCberpr%C3%BCfungsmethode-33452159-6af9-438f-8f82-63ce94cf3d29|So richten Sie die Microsoft Authenticator-App ein]]
  
 ==== Andere Sicherheitsmechanismen ==== ==== Andere Sicherheitsmechanismen ====
Zeile 70: Zeile 94:
 //E-Mail// //E-Mail//
  
-Auf eine andere Mailadresse einen einmaligen PIN schicken. Ähnlich wieder Telefonanruf, allerdings brauchen Sie dafür Zugriff auf ein weiteres (meist privates) Mailkonto.+Auf eine andere Mailadresse einen einmaligen PIN schicken. Ähnlich wie der Telefonanruf, allerdings brauchen Sie dafür Zugriff auf ein weiteres (meist privates) Mailkonto.
  
  
Zeile 92: Zeile 116:
  
  
-Ein Sicherheitsschlüssel können erst verknüpft werden, wenn mindestens eine andere Methode vorher eingerichtet ist. Etwa SMS Code oder der Microsoft Authenticator.+Ein Sicherheitsschlüssel kann erst verknüpft werden, wenn mindestens eine andere Methode vorher eingerichtet ist. Etwa SMS Code oder oder Microsoft Authenticator.
  
 Klicken Sie in "Meine Anmeldungen" auf **Sicherheitsinformationen**, dann **Methode hinzufügen** Klicken Sie in "Meine Anmeldungen" auf **Sicherheitsinformationen**, dann **Methode hinzufügen**
Zeile 101: Zeile 125:
  
  
-Ist dies die erste Verwendung Ihres FIDO2 Schlüsselswerden Sie aufgefordert, den PIN festzulegen. Der Schlüssel solte mindestens 6 Zeichen lang sein und idealerweise **nicht** das Passwort Ihres Nutzeraccounts sein.+Ist dies die erste Verwendung Ihres FIDO2 Schlüssels werden Sie aufgefordert, den PIN festzulegen. Der Schlüssel sollte mindestens 6 Zeichen lang sein und idealerweise **nicht** das Passwort Ihres Nutzeraccounts sein.
  
   * PIN eingeben   * PIN eingeben
Zeile 108: Zeile 132:
   * Default sign-in method: -> **Change** -> **Authenticator app or hardware token** -> Confirm   * Default sign-in method: -> **Change** -> **Authenticator app or hardware token** -> Confirm
  
-Wenn Sie den den / die Sicherheitschlüssel als Standardmethode definieren möchten, klicken Sie bei **Standardanmeldemethode** auf ändern und wählen dort **Authenticator-App oder Hardwaretoken**+Wenn Sie den / die Sicherheitschlüssel als Standardmethode definieren möchten, klicken Sie bei **Standardanmeldemethode** auf ändern und wählen dort **Authenticator-App oder Hardwaretoken**
  
  
Zeile 116: Zeile 140:
 {{:users:mfa:fido2.png?250}} {{:users:mfa:fido2.png?250}}
 <note> <note>
-Wenn ein Benutzername eingegeben wird, ist die Anmeldung mit einem FIDO2 Schlüssel genau nicht möglich. (Die Loginmaske ist etwas unglücklich gestaltet bei Microsoft.)+Wenn ein Benutzername eingegeben wird, ist die Anmeldung mit einem FIDO2 Schlüssel nicht möglich. (Die Loginmaske ist etwas unglücklich gestaltet bei Microsoft.)
 </note> </note>
 Auf der folgenden Maske auf **Mit Sicherheitsschlüssel anmelden** klicken. Auf der folgenden Maske auf **Mit Sicherheitsschlüssel anmelden** klicken.
Zeile 122: Zeile 146:
 (Beispiel mit Yubikey 5 NFC und Yubico Security Key NFC) (Beispiel mit Yubikey 5 NFC und Yubico Security Key NFC)
  
-Anschliessend müssen Sie den FIDO2 Schlüssel einstecken, den PIN des Schlüssels (nicht das Passwort des Useraccounts) eingeben und danach auf Anweisung den Stick berühren.+Anschliessend müssen Sie den FIDO2 Schlüssel verbinden, den PIN des Schlüssels (nicht das Passwort des Useraccounts) eingeben und danach auf Anweisung den Stick berühren.
  
  
  
  
  • users/mfa.1689338203.txt.gz
  • Zuletzt geändert: 2023/07/14 14:36
  • von Admin Schmid