Nicht schnell eingerichtet, aber sehr hilfreich: App Kennwörter als Ergänzung zur Multi-Faktor Authentifizierung – als Teil von Microsoft 365 ist ein fundamentaler und sehr gut umgesetzer Schutzfaktor für den Zugang.
Der geneigte Microsoft 365 Administrator kann Multi-Faktor Authentifizierung mit wenigen Klicks (oder via PowerShell) für einzelne oder alle Anwender aktivieren. Wie steht es aber um statische App Kennwörter – Wie erstellt man nun für ältere Programme oder SMTP-Clients (Kopierer, Scanner, CNC-Maschinen …) App-Kennwörter?
Limitierungen bei App Kennwörtern
- Pro Benutzer maximal 40 App-Kennwörter
- App-Kennwörter funktionieren nur in Microsoft 365, auch bei Hybrid-Szenarien nicht im lokalen Server
- Funktioniert nicht bei „bedingtem Zugriff“ mit MFA (und modernern Auth)
- App Kennwörter werden generiert (z.B. xmnfgsaofn3DSk) vorgegeben und können nicht geändert werden. Muss ein Kennwort „getauscht“ werden, geht das nur über löschen > Neu
- Bei den „Hohen Sicherheitsstandarts“ muss MFA pri User erzwungen sein
Schritt 1 – App-Kennwörter für Benutzer erlauben
Man kann App Kennwörter nur erlauben, wenn die Azure AD Multi-Factor Authentication für den betreffenden Nutzer aktiviert ist.
- „Mehrstufige Authentifizierung“ Center als Administrator öffnen: https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx
- Ganz Oben (!) unter „diensteinstellungen“ den „Benutzern das Erstellen von App-Kennwörtern zum Anmelden bei nicht browserbasierten Apps gestatten“
Schritt 2 – MFA erzwingen
Ganz oben unter „benutzer“ muss die Verwendung von MFA erzwungen werden, wenn die „Hohen Sicherheitsstandarts“ für das AzureAD eingeschaltet sind (Standard seit 2020).
Die Einstellung wird in aller Regel nicht sofort aktiv, aber man kann die Übernahme erzwingen, indem man als Administrator alle Sitzungen des Nutzers abmeldet und der Nutzer sich neu (in einem Browser) anmeldet
Schritt 2 – App Kennwort erstellen
- Das My-Signins Center als Benutzer (nicht mehr als Administrator) öffnen: https://mysignins.microsoft.com/security-info
- Unter Sicherheitsinformationen > Methode hinzufügen ein App Kennwort einrichten