Inhaltsverzeichnis

Multifaktorauthentifizierung (MFA)

Multifaktorauthentifizierung (MFA)

Die Multi-Faktor-Authentifizierung (MFA) ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Im Grundprinzip wird meist darunter verstanden, dass die Benutzer etwas wissen (Passwort / PIN / Passphrase) und etwas besitzen müssen (Authenticator App, Keycard, SmartCard), um Zugang zu erhalten.

Geläufige Abkürzungen sind 2FA für Two Factor Authentication oder auch MFA für Multi Factor Authentication.

Grundeinstellungen MFA Gymnasium Neufeld

Die MFA wird ab Juli 2023 für alle Mailkonten des Gymnasium Neufeld (aktive wie auch ehemalige SuS) benötigt
Eine einmal erfolgte Authentifizierung bleibt auf dem verwendeten Gerät für 10 Tage gültig.
Befindet sich das Gerät im WLAN oder Ethernet der Schule, wird die MFA nicht verlangt.

Weitere Informationen sind zu finden im Dokument Datenschutz & Sicherheit

Kurzanleitung für das Aktivieren der MFA

Variante 1: https://portal.gymneufeld.ch, Menupunkt Sicherheitsinformationen auswählen Oder https://mail.gymneufeld.ch/

Variante 2: https://aka.ms/mfasetup, Menupunkt Sicherheitsinformationen auswählen

 1. Nach dem Login mit dem Mailaccount (vorname.name@gymneufeld.ch) oben Rechts auf den eigenen Namen klicken
 2. "Konto anzeigen" wählen
 3. "Sicherheitsinformationen" wählen
 3. "Zusätzliche Sicherheitsprüfung" wählen

MFA bei der Microsoft Cloud

Einrichtung

Via einen PC,melden Sie sich auf https://aka.ms/mfasetup mit der Mailadresse an, sie gelangen Direkt zum MFA Registrationsportal unter „Meine Anmeldungen“

Wenn Sie MFA erstmalig einrichten, werden Sie vom Assistenten direkt angeleitet, einen ersten Faktor zu registrieren, Sie müssen sich nun für einen solchen entscheiden.

Wahl der Methode

Microsoft bietet mehrere Methoden zur Nutzung der MFA - die Informatikdienste empfehlen die Authenticator-App.

Alternativ sind folgende 2. Faktoren möglich:

Variante 2: Eine andere OTP App statt dem Microsoft Authenticator (zB. 2FAS, andOTP, Google Authenticator, Aegis Authenticator)
Variante 3: SMS-Code

Je nach Präferenz kann diese wie folgt ausgewählt werden.

Microsoft Authenticator

Installieren Sie den Microsoft Authenticator für Android, iOS oder iPadOS:

Mit der App den auf dem PC angezeigten QR-Code scannen.

Wenn Sie die App bereits haben, löschen Sie bitte den „Gymnasium Neufeld“ Account, bevor Sie fortfahren.

Klicken Sie in „Meine Anmeldungen“ auf Sicherheitsinformationen, dann Methode hinzufügen

Wählen Sie als Methode Authenticator-App
Folgen Sie den weiteren Anweisungen, um den Authenticator zu verknüpfen
Beim Hinzufügen eines neuen Kontos wählen Sie bitte im Authenticator Geschäfts- oder Schulkonto
Erhalten Sie die Push-Benachrichtigung, akzeptieren Sie diese bitte, die Verknüpfung ist damit abgeschlossen.

Wenn Sie den Microsoft Authenticator als Standardmethode definieren möchten, klicken Sie bei Standardanmeldemethode auf ändern und wählen dort Microsoft Authenticator - Benachrichtigung

Nur mit dem Microsoft Authenticator sind bequemere Push-Nachrichten möglich Prinzipiell funktioniert jede TOTP App, bei der Sie ein 6-stelliges Einmalpasswort¹⁾ eingeben müssen, das ist allerdings im regelmässigen Einsatz weniger bequem.

Detaillierte Anleitung zum Aktivieren der Authenticator-App: MS Support - 6 Schritte zum Einrichten der Authenticator-App

Aktivieren der Authenticator-App im Portal "Mein Konto": So richten Sie die Microsoft Authenticator-App ein

Andere Sicherheitsmechanismen

Telefon

Einmaliger PIN per SMS oder Telefonanruf. Für den regelmässigen Einsatz nicht geeignet. Von der Sicherheit her schlechter als die Authenticator App oder FIDO2 Sicherheitsschlüssel, aber gut als Backup geeignet.

Alternative Telefonnummer

Gleich wie Telefon, kann als weiteres Backup eingetragen werden.

E-Mail

Auf eine andere Mailadresse einen einmaligen PIN schicken. Ähnlich wie der Telefonanruf, allerdings brauchen Sie dafür Zugriff auf ein weiteres (meist privates) Mailkonto.

Hinweis zum regelmässigen Einsatz

Keine Push-Benachrichtigungen erhalten? Ist Ihr Smartphone im Standby-Modus, schalten Sie es ein und öffnen den Microsoft Authenticator. Meist kommt wenige Sekunden später die Push-Meldung an, wenn das Gerät eine Internetverbindung hat.

Kein Internet auf dem Smartphone verfügbar? Push-Benachrichtigungen funktionieren weder im Flugmodus, noch wenn Ihr Smartphone keine Internetverbindung hat (Guthaben aufgebraucht, kein Empfang etc.). Bei der Anmeldung können Sie etwa Auf andere Weise anmelden wählen und dart Prüfcode aus mobiler App verwenden.

Dann geben Sie dort den 6-Stelligen TOTP-Code ein, der in der App angezeigt wird.

(FIDO2) Sicherheitsschlüssel

FIDO2-Zertifizierter Sicherheitsschlüssel oder (ungetestet) in vielen Fällen ein Android Smartphone, welches als FIDO2 Sicherheitsschlüssel fungieren kann (über das sichere Element / „secure element“ - in vielen Smartphones).

Wir empfehlen:

Yubico Yubikey 5 NFC
Yubico Security Key NFC
SoloKeys Solo USB-A & USB-C

Ein Sicherheitsschlüssel kann erst verknüpft werden, wenn mindestens eine andere Methode vorher eingerichtet ist. Etwa SMS Code oder oder Microsoft Authenticator.

Klicken Sie in „Meine Anmeldungen“ auf Sicherheitsinformationen, dann Methode hinzufügen

Wählen Sie als Methode Sicherheitsschlüssel
Verbinden Sie den Sicherheitsschlüssel mit Ihrem Gerät
- Falls kein Gerät erscheint, probieren Sie es nochmal mit „Methode hinzufügen“
USB-Gerät auswählen

Ist dies die erste Verwendung Ihres FIDO2 Schlüssels werden Sie aufgefordert, den PIN festzulegen. Der Schlüssel sollte mindestens 6 Zeichen lang sein und idealerweise nicht das Passwort Ihres Nutzeraccounts sein.

PIN eingeben
Schlüssel berühren
Registrierung ist fertiggestellt
Default sign-in method: → Change → Authenticator app or hardware token → Confirm

Wenn Sie den / die Sicherheitschlüssel als Standardmethode definieren möchten, klicken Sie bei Standardanmeldemethode auf ändern und wählen dort Authenticator-App oder Hardwaretoken

Login mit FIDO2

Da Microsoft sog. Passwordless Authentication bei FIDO2 einsetzt, muss man beim Login explizit KEINEN Benutzernamen eingeben, sondern bei der Loginmaske auf Anmeldeoptionen klicken:

Wenn ein Benutzername eingegeben wird, ist die Anmeldung mit einem FIDO2 Schlüssel nicht möglich. (Die Loginmaske ist etwas unglücklich gestaltet bei Microsoft.)

Auf der folgenden Maske auf Mit Sicherheitsschlüssel anmelden klicken.

(Beispiel mit Yubikey 5 NFC und Yubico Security Key NFC)

Anschliessend müssen Sie den FIDO2 Schlüssel verbinden, den PIN des Schlüssels (nicht das Passwort des Useraccounts) eingeben und danach auf Anweisung den Stick berühren.

¹⁾

OTP: One Time Password