====== Multifaktorauthentifizierung (MFA) ======

Die Multi-Faktor-Authentifizierung (MFA) ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Im Grundprinzip wird meist darunter verstanden, dass die Benutzer etwas wissen (Passwort / PIN / Passphrase) und etwas besitzen müssen (Authenticator App, Keycard, SmartCard), um Zugang zu erhalten.

Geläufige Abkürzungen sind **2FA** für Two Factor Authentication oder auch **MFA** für Multi Factor Authentication.

===== Grundeinstellungen MFA Gymnasium Neufeld =====

  * Die MFA wird ab Juli 2023 für alle Mailkonten des Gymnasium Neufeld (aktive wie auch ehemalige SuS) benötigt
  * Eine einmal erfolgte Authentifizierung bleibt auf dem verwendeten Gerät für 10 Tage gültig. 
  * Befindet sich das Gerät im WLAN oder Ethernet der Schule, wird die MFA nicht verlangt.

Weitere Informationen sind zu finden im Dokument [[users:datenschutz_sicherheit]]
===== Kurzanleitung für das Aktivieren der MFA =====

Variante 1: 
[[https://portal.gymneufeld.ch]], Menupunkt Sicherheitsinformationen auswählen
Oder [[https://mail.gymneufeld.ch/]] 

Variante 2: 
[[https://aka.ms/mfasetup]], Menupunkt Sicherheitsinformationen auswählen

<file>
 1. Nach dem Login mit dem Mailaccount (vorname.name@gymneufeld.ch) oben Rechts auf den eigenen Namen klicken
 2. "Konto anzeigen" wählen
 3. "Sicherheitsinformationen" wählen
 3. "Zusätzliche Sicherheitsprüfung" wählen
</file>

===== MFA bei der Microsoft Cloud =====

==== Einrichtung ====

Via einen PC,melden Sie sich auf https://aka.ms/mfasetup mit der [[users:public:account|Mailadresse]] an, sie gelangen Direkt zum MFA Registrationsportal unter "Meine Anmeldungen"

{{:users:mfa:screen1s.png?nolink&400|}}

Wenn Sie MFA erstmalig einrichten, werden Sie vom Assistenten direkt angeleitet, einen ersten Faktor zu registrieren, Sie müssen sich nun für einen solchen entscheiden.

==== Wahl der Methode ====

{{:users:mfa:screen2s.png?nolink&400|}}

Microsoft bietet mehrere Methoden zur Nutzung der MFA - die Informatikdienste empfehlen die [[#microsoft_authenticator|Authenticator-App]]. 

Alternativ sind folgende 2. Faktoren möglich:

  * Variante 2: Eine andere OTP App statt dem Microsoft Authenticator (zB. 2FAS, andOTP, Google Authenticator, Aegis Authenticator) 
  * Variante 3: SMS-Code

Je nach Präferenz kann diese wie folgt ausgewählt werden.

{{:users:mfa:screen3.png?nolink&700|}}

==== Microsoft Authenticator ====

Installieren Sie den Microsoft Authenticator für Android, iOS oder iPadOS:
    * [[https://play.google.com/store/apps/details?id=com.azure.authenticator|Play Store]]
    * [[https://apps.apple.com/ch/app/microsoft-authenticator/id983156458|Apple App Store]]
Mit der App den auf dem PC angezeigten QR-Code scannen. 

<note tip>Wenn Sie die App bereits haben, löschen Sie bitte den "Gymnasium Neufeld" Account, bevor Sie fortfahren.</note>

Klicken Sie in "Meine Anmeldungen" auf **Sicherheitsinformationen**, dann **Methode hinzufügen**
  * Wählen Sie als Methode **Authenticator-App**
  * Folgen Sie den weiteren Anweisungen, um den Authenticator zu verknüpfen
  * Beim Hinzufügen eines neuen Kontos wählen Sie bitte im Authenticator **Geschäfts- oder Schulkonto**
  * Erhalten Sie die Push-Benachrichtigung, akzeptieren Sie diese bitte, die Verknüpfung ist damit abgeschlossen.

Wenn Sie den Microsoft Authenticator als Standardmethode definieren möchten, klicken Sie bei **Standardanmeldemethode** auf ändern und wählen dort **Microsoft Authenticator - Benachrichtigung**

Nur mit dem **Microsoft Authenticator sind bequemere Push-Nachrichten möglich** Prinzipiell funktioniert jede [[https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus|TOTP]] App, bei der Sie ein 6-stelliges Einmalpasswort((OTP: One Time Password)) eingeben müssen, das ist allerdings im regelmässigen Einsatz weniger bequem.

Detaillierte Anleitung zum Aktivieren der Authenticator-App:
[[https://support.microsoft.com/de-de/topic/verwenden-von-microsoft-authenticator-mit-microsoft-365-1412611f-ad8d-43ab-807c-7965e5155411#ID0EBBJ=Schritt_2|MS Support - 6 Schritte zum Einrichten der Authenticator-App]]

Aktivieren der Authenticator-App im [[https://myaccount.microsoft.com/|Portal "Mein Konto"]]:
[[https://support.microsoft.com/de-de/account-billing/einrichten-der-microsoft-authenticator-app-als-%C3%BCberpr%C3%BCfungsmethode-33452159-6af9-438f-8f82-63ce94cf3d29|So richten Sie die Microsoft Authenticator-App ein]]

==== Andere Sicherheitsmechanismen ====

=== Telefon ===

{{:users:mfa:screen4s.png?nolink&400|}}

Einmaliger PIN per SMS oder Telefonanruf. Für den regelmässigen Einsatz nicht geeignet. Von der Sicherheit her schlechter als die Authenticator App oder FIDO2 Sicherheitsschlüssel, aber gut als Backup geeignet.

//Alternative Telefonnummer//

Gleich wie Telefon, kann als weiteres Backup eingetragen werden.

{{:users:mfa:screen5s.png?nolink&400|}}

//E-Mail//

Auf eine andere Mailadresse einen einmaligen PIN schicken. Ähnlich wie der Telefonanruf, allerdings brauchen Sie dafür Zugriff auf ein weiteres (meist privates) Mailkonto.


**Hinweis zum regelmässigen Einsatz**

Keine Push-Benachrichtigungen erhalten? Ist Ihr Smartphone im Standby-Modus, schalten Sie es ein und öffnen den Microsoft Authenticator. Meist kommt wenige Sekunden später die Push-Meldung an, wenn das Gerät eine Internetverbindung hat.

Kein Internet auf dem Smartphone verfügbar? Push-Benachrichtigungen funktionieren weder im Flugmodus, noch wenn Ihr Smartphone keine Internetverbindung hat (Guthaben aufgebraucht, kein Empfang etc.). Bei der Anmeldung können Sie etwa **Auf andere Weise anmelden** wählen und dart **Prüfcode aus mobiler App verwenden**. 

Dann geben Sie dort den 6-Stelligen TOTP-Code ein, der in der App angezeigt wird.


=== (FIDO2) Sicherheitsschlüssel ===

FIDO2-Zertifizierter Sicherheitsschlüssel oder (ungetestet) in vielen Fällen ein Android Smartphone, welches als FIDO2 Sicherheitsschlüssel fungieren kann (über das sichere Element / "secure element" - in vielen Smartphones).

Wir empfehlen:
  * Yubico Yubikey 5 NFC
  * Yubico Security Key NFC
  * SoloKeys Solo USB-A & USB-C


Ein Sicherheitsschlüssel kann erst verknüpft werden, wenn mindestens eine andere Methode vorher eingerichtet ist. Etwa SMS Code oder oder Microsoft Authenticator.

Klicken Sie in "Meine Anmeldungen" auf **Sicherheitsinformationen**, dann **Methode hinzufügen**
  * Wählen Sie als Methode **Sicherheitsschlüssel**
  * Verbinden Sie den Sicherheitsschlüssel mit Ihrem Gerät
    * Falls kein Gerät erscheint, probieren Sie es nochmal mit "Methode hinzufügen"
  * **USB-Gerät** auswählen


Ist dies die erste Verwendung Ihres FIDO2 Schlüssels werden Sie aufgefordert, den PIN festzulegen. Der Schlüssel sollte mindestens 6 Zeichen lang sein und idealerweise **nicht** das Passwort Ihres Nutzeraccounts sein.

  * PIN eingeben
  * Schlüssel berühren
  * Registrierung ist fertiggestellt
  * Default sign-in method: -> **Change** -> **Authenticator app or hardware token** -> Confirm

Wenn Sie den / die Sicherheitschlüssel als Standardmethode definieren möchten, klicken Sie bei **Standardanmeldemethode** auf ändern und wählen dort **Authenticator-App oder Hardwaretoken**


=== Login mit FIDO2 ===

Da Microsoft sog. //Passwordless Authentication// bei FIDO2 einsetzt, muss man beim Login explizit KEINEN Benutzernamen eingeben, sondern bei der Loginmaske auf **Anmeldeoptionen** klicken: \\
{{:users:mfa:fido2.png?250}}
<note>
Wenn ein Benutzername eingegeben wird, ist die Anmeldung mit einem FIDO2 Schlüssel nicht möglich. (Die Loginmaske ist etwas unglücklich gestaltet bei Microsoft.)
</note>
Auf der folgenden Maske auf **Mit Sicherheitsschlüssel anmelden** klicken.

(Beispiel mit Yubikey 5 NFC und Yubico Security Key NFC)

Anschliessend müssen Sie den FIDO2 Schlüssel verbinden, den PIN des Schlüssels (nicht das Passwort des Useraccounts) eingeben und danach auf Anweisung den Stick berühren.