Microsoft 2-Faktor-Authentifizierung (2FA)
Die 2-Faktor-Authentifizierung ist bei Microsoft mittlerweile Pflicht für alle neuen Konten. Die Registrierung lässt sich für max. 14 Tage aufschieben.
Auch alle bestehenden Konten werden umgestellt, auch hier muss früher oder später 2FA aktiviert werden.
Wir empfehlen 2FA immer zu aktivieren. Der Sicherheitsgewinn ist enorm.
Die Angst, sich selbst auszusperren, ist bei Befolgen unserer Tipps und Hinweise unbegründet.
Was ist 2-Faktor-Authentifizierung?
Bei der 2-Faktor-Authentifizierung wird zur Anmeldung neben dem Passwort ein weiterer Faktor benötig. Das kann eine App sein, die direkt online die Anmeldung bestätigt oder einen Code ausgibt, der zusätzlich zum Passwort eingegeben wird. Es gibt noch andere Möglichkeiten, z.B. kann auch ein Code auch über SMS oder E-Mail zugestellt werden.
Das Ziel ist es, böswillige Angreifer daran zu hindern, sich anzumelden. Auch mit dem gültigen Passwort ist kein Zugriff möglich. Erst der Zugriff auf den zweiten Faktor gewährleistet einen erfolgreichen Login.
Bei Verwendung der App müsste der Angreifer also nicht nur das Passwort erbeuten, zusätzlich müsste er Zugriff auf das Handy haben (und hier wahrscheinlich noch einen zusätzlichen Code knacken).
Im Sprachgebrauch, insbesonder bei Microsoft, ist mittlerweile meist von MFA – Multi-Faktor-Authentifizierung die Rede. Gemeint ist in der Regel 2FA. Nur bei besonders kritischen Systemen werden mehr als 2 Faktoren verwendet.
Empfehlung zur Einrichtung
Wir empfeheln die Microsoft Authenticator App und zusätzlich min. eine weitere Methode zu nutzen.
Anmerkung: Bei geschäftlichen Konten und vorhandenem Diensthandy können Sie dieses für die App nutzen. Ansonsten ist jedes gängige Smartphone geeignet. Sie können die App auch auf Ihrem privaten Gerät einrichten. Die App ist nicht groß und verfügt über keine zusätzlichen Funktionen ausser dem Anmelden an Ihren Konten.
Als weitere Methoden sind z.B. möglich: Telefonanruf an eine bestimmte Nummer, SMS, E-Mail, App-Kennwort…
Bei geschäftlich genutzten Konten richten wir als zweite Methode immer einen Anruf auf die Firmen-Nummer ein.
So ist die Anmeldung im Büro immer möglich, auch bei Verlust des Handys. Im Bedarfsfall können auch Kollegen im Büro den Anruf entgegennehmen.
Ein neues Handy mit neuer Authenticator-App kann im Büro so auch jederzeit eingerichtet werden.
Eine SMS auf das Handy ist meist wenig sinnvoll. Diese hilft nur dann, wenn die Authenticator-App nicht funktionieren sollte. Bei Versust oder Defekt des Handys kommt keine SMS mehr an.
E-Mails auf einen weitern Account setzen voraus, dass auf diesen Zugriff besteht. Der weiter Account sollte aus Sicherheitsgründen auch 2FA-geschützt sein. D.h. auch hier besteht die Gefahr des Aussperrens.
Einrichtung 2FA-App
Vorbemerkung: Alle Screenshots und Dialoge entsprechem dem Stand auf unserer Schulungs-Umgebung. Die Dialoge können je nach Stand etwas abweichen. Das Grundprinzip bleibt jedoch erhalten.
Die Screenshots des Smartphones stammen von einem iPhone. Auch hier sollte das Grundprinzip auf jedem gängigen Gerät sehr ähnlich sein.
Beim Öffnen von Microsoft-Diensten werden Sie automatisch aufgefordert, in Ihrem Konto 2FA zu aktivieren. Es erscheint ein Hinweisfenster mit einer Information bzgl. Sicherheitsstandards. Bei Firmenkonten erscheint ein Hinweis bzgl. Informationen zum Schutz Ihrer Organisation.
In allen Fällen haben Sie nur die Auswahlmöglichkeit „Weiter“, es folgt dieser Dialog:
Laden Sie an dieser Stelle die Authenticator App herunter. Sie finden diese im Apple App Store oder im Google Play Store. Achten Sie darauf, den originalen Microsoft Authenticator zu verwenden. Es gibt diverse Drittanbieter Apps, teils mit bewusst ähnlichem Aussehen.
Wechseln Sie zurück zu Ihrem PC und klicken Sie auf „Weiter“. Im folgenden Dialog können Sie direkt auf „Weiter“ klicken.
Es erschein ein Dialog mit einem QR-Code
Wechseln Sie zurück zum Smartphone und Öffnen Sie die Authenticator-App. Direkt nach dem Öffnen müssen Sie die Datenschutzbstimmungen annehmen. Bestätigen Sie diese bitte durch Tippen auf „Annehmen“.
Anmerkung: Die App wird Sie an verschiedenen Stellen um Berechtigungen bitten. Unter anderem, Ihnen Mitteilungen zu senden und Ihre Kamera zu verwenden. Bestätigen Sie alle Anfragen bitte jeweils mit OK, Erlauben, Zulassen usw.
Es öffnet sich die Startansicht der App, hier können Sie ein neues Konto hinzufügen
Tippen Sie auf „QR-Code scannen“, scannen Sie den QR-Code auf Ihrem PC.
Sobald das Konto hinzugefügt wurde, wird es in der App angezeigt:
Wechseln Sie zurück zu Ihrem PC, klicken Sie im Dialog mit dem QR-Code auf „Weiter“.
Es erscheint ein Hinweis, dass die App jetzt geprüft wird.
Wechseln Sie zurück zum Smartphone.
Nach wenigen Sekunden sollte die App auf Ihrem Smartphone Sie um Bestätigung der Anmeldung bitten:
Bestätigne Sie mit „Genehmigen“.
Ihr PC sollte jetzt eine Erfolgsmeldung anzeigen, klicken Sie auf „Weiter“.
Sie werden jetzt entweder aufgefordert
- Ein App-Kennwort zu erstellen. App-Kennworte sind nur in Ausnahmefällen erforderlich, trotzdem werden Sie von Microsoft evtl. aufgefordert ein solches zu erstellen. Klicken Sie hier bitte alle Dialoge einfach durch, möglicherweise müssen Sie einen Namen für das App-Kennwort vergeben.
- Es wird eine Liste der eingerichteten 2FA-Anmeldemethoden angezeigt. Hier können Sie einfach auf „Anmeldemethode hinzufügen“ klicken und mit der Einrichtung des Telefonanrufs fortfahren, siehe weiter unten im Text.
- Es erscheint direkt der Dialog für eine weitere 2FA-Anmeldemethode. Hier können Sie direkt wie unten beschrieben fortfahren.
Telefonanruf einichten
Anmerkung: Im weiteren Verlauf wird als zweite Anmeldemethode ein Telefonanruf eingerichtet. Wie oben beschrieben, empfehlen wir hierfür die geschäftliche Telefonnummer zu verwenden. Um die Einrichtung erfolgreich abschliessen zu können, müssen Sie Zugang zum entsprechenden Telefon haben.
Wenn Sie nicht direkt aufgefordert werden, einen weitere 2FA-Anmeldemethode einzurichten, erscheint dieser Dialog:
Klicken Sie auf „Anmeldemethode hinzufügen“.
Die Auswahlmöglichkeiten für eine zustätzliche Anmeldemethode sind unter anderem von der Einrichtung Ihres Kontos und Ihrer zugewiesenen Lizenz abhängig.
Die Auswahl sollte ungefähr so aussehen:
Wählen Sie, wenn vorhanden, „Telefon (geschäftlich)“, ansonsten „Telefon“.
Wählen Sie in der Länderliste das entsprechende aus (i.d.R. Deutschland) und geben Sie Ihre Nummer ein. Verwenden Sie das internationale Format ohne führende 0.
Im unteren Bereich kann der Dialog unterschiedliche Optionen anbieten:
- Es gibt nur die Option "Anruf an mich": Klicken Sie direkt auf "Weiter".
- Es gibt die Optionen "Anruf..." und "SMS...". Wählen Sie Anruf und klicken auf "Weiter".
- Es gibt nur die Option "SMS...". In diesem Fall können Sie Anruf nicht verwenden. Sie können trotzdem die Funktion "SMS..." einrichten. Die weitern Schritte unterscheiden sich nur minimal von den hier beschriebenen und sind weitgehend selbst erklärend.
Nach Klick auf „Weiter“ erscheint eine Meldung, dass Sie in Kürze angerufen werden. Nach wenigen Sekunden sollte Ihr Telefon klingeln. Ein Sprachcomputer erklärt Ihnen, wie Sie die Einrichtung abschliessen können. In der Regel müssen Sie die #-Taste am Telefon drücken.
Nach dem Telefonanruf sollte Ihr PC eine entsprechende Erfolgsmeldung anzeigen:
Nach einem Klick auf „Fertig“ gelangen Sie wieder zur Übersicht der bereits eingerichteten Methoden.
Methoden verwalten, weitere Methoden hinzufügen
Sie können jederzeit die vorhandenen Methoden verwalten, Löschen oder neue hinzufügen. Öffnen Sie dazu in einem Browser die Seite https://office.com und melden Sie sich ggf. an.
Klicken Sie oben rechts auf Ihre Initialen, oder falls eingerichtet, auf Ihr Profilbild. Wählen Sie „Konto anzeigen“
Wählen Sie anschliessend in der linken Leiste den Punkt „Sicherheitsinformationen“.
Sie gelangen wieder zur Übersicht der eingerichteten Methoden.
Ich habe mich ausgesperrt
Wenn Sie sich aus Ihrem Konto ausgesperrt haben, gibt es folgende Optionen:
- Ihr Konto wurde von einem Dienstleister, z.B. von uns eingerichtet: Wenden Sie sich an den Dienstleister, dieser kann die 2FA-Einrichtung i.d.R. zurücksetzen.
- Ihre Lizenzen für das Microsoft Konto sind Business-Lizenzen und wurden von einem offiziellen Reseller, z.B. von uns, gekauft: Wenden Sie sich an den Reseller, dieser kann möglicherweise die 2FA-Einrichtung zurücksetzen.
- In allen anderen Fällen müssen Sie sich an den Microsoft-Support wenden.