Multi-Faktor-Authentifizierung: Unterschied zwischen den Versionen
[unmarkierte Version] | [gesichtete Version] |
(14 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
− | Um die Sicherheit beim Anmeldevorgang zu erhöhen, kann Multi-Faktor Authentifizierung (MFA) für | + | Um die Sicherheit beim Anmeldevorgang zu erhöhen, kann Multi-Faktor Authentifizierung (MFA) für MailStore-Benutzer aktiviert werden. MailStore unterstützt dafür das Verfahren ''Time-based One-time Password (TOTP)'' nach ''RFC 6238''.<br/><br/> |
+ | Die Benutzer benötigen dafür ein TOTP-fähiges Endgerät, z.B. ein Smartphone mit installierter Authenticator-App.<br/><br/> | ||
+ | Wenn der Benutzer sich per Windows-Authentifizierung (Single Sign-On) oder per OpenID Connect (Microsoft 365, ADFS, Google Workspace) authentifiziert, fragt MailStore nicht nach dem zweiten Faktor.<br/><br/> | ||
+ | Wenn MFA aktiviert ist, können Benutzer, die sich bei einem Verzeichnisdienst authentifizieren, keine Nicht-MFA-fähigen Clients wie Geplante Aufgaben, IMAP-Clients oder die Management API verwenden. Diese Einschränkung besteht aus Sicherheitsgründen. Da App-Kennwörter (die für Nicht-MFA-fähige Clients erforderlich sind) MailStore-intern verwaltet werden, könnte sich ein Benutzer auch dann noch bei MailStore anmelden, wenn er im Verzeichnisdienst blockiert ist. | ||
<p class=msnote>'''Wichtiger Hinweis:''' Damit gültige Einmalkennwörter (TOTP) generiert werden können, müssen die Systemzeiten des MailStore Servers und der Endgeräte synchronisiert sein.</p> | <p class=msnote>'''Wichtiger Hinweis:''' Damit gültige Einmalkennwörter (TOTP) generiert werden können, müssen die Systemzeiten des MailStore Servers und der Endgeräte synchronisiert sein.</p> | ||
Zeile 5: | Zeile 8: | ||
== Verwaltung == | == Verwaltung == | ||
− | Administratoren können in der [[Benutzer,_Archive_und_Berechtigungen|Benutzerverwaltung]] die Multi-Faktor-Authentifizierung für Benutzer | + | Administratoren können in der [[Benutzer,_Archive_und_Berechtigungen|Benutzerverwaltung]] die Multi-Faktor-Authentifizierung für ihre Benutzer verwalten. |
Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf ''Verwaltung'' > ''Benutzer und Archive'' und dann auf ''Benutzer''. | Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf ''Verwaltung'' > ''Benutzer und Archive'' und dann auf ''Benutzer''. | ||
Zeile 12: | Zeile 15: | ||
* Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA aktivieren möchten. | * Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA aktivieren möchten. | ||
− | * | + | * Aktivieren Sie die Option "Multi-Faktor Authentifizierung". |
* Bestätigen Sie mit ''OK''. | * Bestätigen Sie mit ''OK''. | ||
− | * | + | * Beim nächsten [[Multi-Faktor-Authentifizierung#Anmeldung|Anmeldevorgang]] mit einem MFA-fähigen Client (MailStore Client, MailStore Outlook Add-In, Web Access), wird der Benutzer aufgefordert, einen QR-Code mit einer TOTP-fähigen Authenticator-App (z.B. Google Authenticator) zu scannen, anschließend einen MFA-Code einzugeben und die MFA-Konfiguration damit abzuschließen. |
[[File:umgm_users_02_mfa.png|center|400px]] | [[File:umgm_users_02_mfa.png|center|400px]] | ||
Zeile 21: | Zeile 24: | ||
* Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA deaktivieren möchten. | * Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA deaktivieren möchten. | ||
− | * | + | * Deaktivieren Sie die Option "Multi-Faktor Authentifizierung". |
* Bestätigen Sie mit OK. | * Bestätigen Sie mit OK. | ||
− | * | + | * Gegebenenfalls angelegte App-Kennwörter bleiben bestehen und behalten ihre Gültigkeit. |
[[File:umgm_users_02.png|center|400px]] | [[File:umgm_users_02.png|center|400px]] | ||
Zeile 30: | Zeile 33: | ||
Wenn ein Benutzer das Gerät, auf dem MFA eingerichtet worden ist, verloren hat, MFA auf einem anderen Gerät eingerichtet werden soll oder MFA aus einem anderen Grund neu eingerichtet werden muss, können Sie MFA neu initialisieren. Dadurch wird ein neues Geheimnis, aus dem sich die Einmalkennwörter ableiten, generiert.<br/> | Wenn ein Benutzer das Gerät, auf dem MFA eingerichtet worden ist, verloren hat, MFA auf einem anderen Gerät eingerichtet werden soll oder MFA aus einem anderen Grund neu eingerichtet werden muss, können Sie MFA neu initialisieren. Dadurch wird ein neues Geheimnis, aus dem sich die Einmalkennwörter ableiten, generiert.<br/> | ||
− | Beim nächsten Anmeldevorgang des Benutzers | + | Beim nächsten Anmeldevorgang des Benutzers wird dieser erneut aufgefordert, die MFA-Konfiguration abzuschließen. |
<br/> | <br/> | ||
Sollte der Benutzer die MFA-Konfiguration mit seinem Endgerät noch nicht abgeschlossen haben, steht diese Funktion nicht zur Verfügung. | Sollte der Benutzer die MFA-Konfiguration mit seinem Endgerät noch nicht abgeschlossen haben, steht diese Funktion nicht zur Verfügung. | ||
Zeile 43: | Zeile 46: | ||
=== App-Kennwörter löschen === | === App-Kennwörter löschen === | ||
− | Wenn ein Benutzer App-Kennwörter angelegt hat, um ''Nicht-MFA-fähige-Clients'' (Geplante Tasks, IMAP, Management API) weiterhin verwenden zu können, können Sie diese löschen. | + | Wenn ein Benutzer App-Kennwörter angelegt hat, um ''Nicht-MFA-fähige-Clients'' (Geplante Tasks, IMAP, Management API) weiterhin verwenden zu können, können Sie diese hier löschen. |
<br/> | <br/> | ||
Wenn der Benutzer keine App-Kennwörter angelegt hat, steht diese Funktion nicht zur Verfügung. | Wenn der Benutzer keine App-Kennwörter angelegt hat, steht diese Funktion nicht zur Verfügung. | ||
Zeile 49: | Zeile 52: | ||
App-Kennwörter können nur in Gänze gelöscht werden. | App-Kennwörter können nur in Gänze gelöscht werden. | ||
− | * Öffnen Sie die Eigenschaften des Benutzer | + | * Öffnen Sie die Eigenschaften des Benutzer dessen App-Kennwörter Sie löschen möchten. |
* Klicken Sie die Schaltfläche ''Befehle''. | * Klicken Sie die Schaltfläche ''Befehle''. | ||
− | * Klicken Sie auf | + | * Klicken Sie auf ''App-Kennwörter löschen''. |
* Bestätigen Sie den Vorgang. | * Bestätigen Sie den Vorgang. | ||
== Anmeldung == | == Anmeldung == | ||
− | Wenn die Multi-Faktor-Authentifizierung für einen Benutzer aktiviert worden ist, wird der Benutzer beim nächsten Anmeldevorgang mit einem MFA-fähigen Client (MailStore Client, MailStore Outlook Add-In, Web Access) aufgefordert, einen QR-Code mit einer TOTP-fähigen Authenticator-App (z.B. Google Authenticator) zu scannen. Dadurch wird das zuvor generierte Geheimnis in der App hinterlegt, und die App ist in der Lage, gültige Einmalkennwörter zu generieren. | + | Wenn die Multi-Faktor-Authentifizierung für einen Benutzer aktiviert worden ist, wird der Benutzer beim nächsten Anmeldevorgang mit einem MFA-fähigen Client (MailStore Client, MailStore Outlook Add-In, Web Access) aufgefordert, einen QR-Code mit einer TOTP-fähigen Authenticator-App (z.B. Google Authenticator) zu scannen. Dadurch wird das zuvor generierte Geheimnis in der App hinterlegt, und die App ist in der Lage, gültige Einmalkennwörter zu generieren.<br/> |
+ | Das Geheimnis wird unterhalb des QR-Codes angezeigt und kann per Doppelklick in die Zwischenablage kopiert werden, um in einer Kennwortverwaltung abgelegt zu werden. | ||
[[File:Mfa_finalize_02.png|center|400px]] | [[File:Mfa_finalize_02.png|center|400px]] | ||
− | |||
− | |||
Wurde der QR-Code gescannt, und ein gültiger MFA-Code eingegeben, wird bei nachfolgenden Anmeldeversuchen nur noch nach dem MFA-Code gefragt. | Wurde der QR-Code gescannt, und ein gültiger MFA-Code eingegeben, wird bei nachfolgenden Anmeldeversuchen nur noch nach dem MFA-Code gefragt. | ||
Zeile 68: | Zeile 70: | ||
=== Vertraute Geräte === | === Vertraute Geräte === | ||
− | Wenn dem Gerät, von dem aus die Anmeldung erfolgt, vertraut wird, kann die Option ''Diesem Gerät für 14 Tage vertrauen.'' gesetzt werden. Beim Setzen dieser Option | + | Wenn dem Gerät, von dem aus die Anmeldung erfolgt, vertraut wird, kann die Option ''Diesem Gerät für 14 Tage vertrauen.'' gesetzt werden. Beim Setzen dieser Option wird ein zusätzliches Token auf dem Endgerät gespeichert, welches bei der Anmeldung mitgesendet wird. |
[[File:Mfa_codeonly_trusted_device_03.png|center|400px]] | [[File:Mfa_codeonly_trusted_device_03.png|center|400px]] | ||
− | Das Token für MailStore Client und das Outlook Add-In wird in der Windows-Anmeldeinformationsverwaltung hinterlegt. Es zieht bei Roaming-Profilen nicht mit um. | + | MailStore Client, Outlook Add-In und Web Access speichern je ein eigenes Token.<br/><br/> |
− | Das Token für den Web Access wird im ''Local Storage'' des Browsers abgelegt. | + | Das Token für MailStore Client und das Outlook Add-In wird in der Windows-Anmeldeinformationsverwaltung hinterlegt. Es zieht bei Roaming-Profilen nicht mit um.<br/><br/> |
+ | Das Token für den Web Access wird im ''Local Storage'' des Browsers abgelegt. Wenn das Token im ''Inkognitomodus'' des Browsers angefordert wird, bleibt es zwischen Browsersitzungen nicht bestehen. | ||
== Verwaltung von App-Kennwörtern == | == Verwaltung von App-Kennwörtern == | ||
Zeile 85: | Zeile 88: | ||
Damit diese Clients dennoch weiterhin genutzt werden können, können Benutzer App-Kennwörter anlegen. Diese Kennwörter werden von MailStore generiert und zeichnen sich durch eine erhöhte Komplexität aus. | Damit diese Clients dennoch weiterhin genutzt werden können, können Benutzer App-Kennwörter anlegen. Diese Kennwörter werden von MailStore generiert und zeichnen sich durch eine erhöhte Komplexität aus. | ||
− | App-Kennwörter können ausschließlich von Benutzern mit ''MailStore-integrierter''-Authentifizierung über den MailStore Client verwaltet werden. | + | App-Kennwörter können ausschließlich von Benutzern mit ''MailStore-integrierter''-Authentifizierung über den MailStore Client verwaltet werden. Darüber hinaus, wird das ''Kennwort ändern''-Recht benötigt.<br/> |
+ | App-Kennwörter funktionieren auch bei deaktiviertem MFA.<br/> | ||
+ | App-Kennwörter können niemals verwendet werden, um sich mit MFA-fähigen Clients anzumelden. | ||
* Melden Sie sich am [[Zugriff_über_die_MailStore_Client-Software|MailStore Client]] an. | * Melden Sie sich am [[Zugriff_über_die_MailStore_Client-Software|MailStore Client]] an. | ||
Zeile 93: | Zeile 98: | ||
* Klicken Sie auf ''Hinzufügen'', um ein neues App-Kennwort hinzuzufügen. | * Klicken Sie auf ''Hinzufügen'', um ein neues App-Kennwort hinzuzufügen. | ||
*: [[File:App_passwords_create.png|center|400px]] | *: [[File:App_passwords_create.png|center|400px]] | ||
+ | * App-Kennwort-Kontextnamen müssen eindeutig sein und dürfen das Kennwort nicht enthalten. | ||
* Markieren Sie einen Namen und klicken Sie auf ''Löschen'', um das App-Kennwort zu löschen. | * Markieren Sie einen Namen und klicken Sie auf ''Löschen'', um das App-Kennwort zu löschen. | ||
+ | |||
+ | [[de:Multi-Faktor-Authentifizierung]] | ||
+ | [[en:Multi-factor_Authentication]] |
Aktuelle Version vom 2. September 2024, 16:18 Uhr
Um die Sicherheit beim Anmeldevorgang zu erhöhen, kann Multi-Faktor Authentifizierung (MFA) für MailStore-Benutzer aktiviert werden. MailStore unterstützt dafür das Verfahren Time-based One-time Password (TOTP) nach RFC 6238.
Die Benutzer benötigen dafür ein TOTP-fähiges Endgerät, z.B. ein Smartphone mit installierter Authenticator-App.
Wenn der Benutzer sich per Windows-Authentifizierung (Single Sign-On) oder per OpenID Connect (Microsoft 365, ADFS, Google Workspace) authentifiziert, fragt MailStore nicht nach dem zweiten Faktor.
Wenn MFA aktiviert ist, können Benutzer, die sich bei einem Verzeichnisdienst authentifizieren, keine Nicht-MFA-fähigen Clients wie Geplante Aufgaben, IMAP-Clients oder die Management API verwenden. Diese Einschränkung besteht aus Sicherheitsgründen. Da App-Kennwörter (die für Nicht-MFA-fähige Clients erforderlich sind) MailStore-intern verwaltet werden, könnte sich ein Benutzer auch dann noch bei MailStore anmelden, wenn er im Verzeichnisdienst blockiert ist.
Wichtiger Hinweis: Damit gültige Einmalkennwörter (TOTP) generiert werden können, müssen die Systemzeiten des MailStore Servers und der Endgeräte synchronisiert sein.
Verwaltung
Administratoren können in der Benutzerverwaltung die Multi-Faktor-Authentifizierung für ihre Benutzer verwalten.
Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf Verwaltung > Benutzer und Archive und dann auf Benutzer.
Aktivierung
- Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA aktivieren möchten.
- Aktivieren Sie die Option "Multi-Faktor Authentifizierung".
- Bestätigen Sie mit OK.
- Beim nächsten Anmeldevorgang mit einem MFA-fähigen Client (MailStore Client, MailStore Outlook Add-In, Web Access), wird der Benutzer aufgefordert, einen QR-Code mit einer TOTP-fähigen Authenticator-App (z.B. Google Authenticator) zu scannen, anschließend einen MFA-Code einzugeben und die MFA-Konfiguration damit abzuschließen.
Deaktivieren
- Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA deaktivieren möchten.
- Deaktivieren Sie die Option "Multi-Faktor Authentifizierung".
- Bestätigen Sie mit OK.
- Gegebenenfalls angelegte App-Kennwörter bleiben bestehen und behalten ihre Gültigkeit.
MFA neu initialisieren
Wenn ein Benutzer das Gerät, auf dem MFA eingerichtet worden ist, verloren hat, MFA auf einem anderen Gerät eingerichtet werden soll oder MFA aus einem anderen Grund neu eingerichtet werden muss, können Sie MFA neu initialisieren. Dadurch wird ein neues Geheimnis, aus dem sich die Einmalkennwörter ableiten, generiert.
Beim nächsten Anmeldevorgang des Benutzers wird dieser erneut aufgefordert, die MFA-Konfiguration abzuschließen.
Sollte der Benutzer die MFA-Konfiguration mit seinem Endgerät noch nicht abgeschlossen haben, steht diese Funktion nicht zur Verfügung.
- Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA neu initialisieren möchten.
- Klicken Sie auf die Schaltfläche Befehle.
- Klicken Sie auf MFA neu initialisieren.
- Bestätigen Sie den Vorgang.
App-Kennwörter löschen
Wenn ein Benutzer App-Kennwörter angelegt hat, um Nicht-MFA-fähige-Clients (Geplante Tasks, IMAP, Management API) weiterhin verwenden zu können, können Sie diese hier löschen.
Wenn der Benutzer keine App-Kennwörter angelegt hat, steht diese Funktion nicht zur Verfügung.
App-Kennwörter können nur in Gänze gelöscht werden.
- Öffnen Sie die Eigenschaften des Benutzer dessen App-Kennwörter Sie löschen möchten.
- Klicken Sie die Schaltfläche Befehle.
- Klicken Sie auf App-Kennwörter löschen.
- Bestätigen Sie den Vorgang.
Anmeldung
Wenn die Multi-Faktor-Authentifizierung für einen Benutzer aktiviert worden ist, wird der Benutzer beim nächsten Anmeldevorgang mit einem MFA-fähigen Client (MailStore Client, MailStore Outlook Add-In, Web Access) aufgefordert, einen QR-Code mit einer TOTP-fähigen Authenticator-App (z.B. Google Authenticator) zu scannen. Dadurch wird das zuvor generierte Geheimnis in der App hinterlegt, und die App ist in der Lage, gültige Einmalkennwörter zu generieren.
Das Geheimnis wird unterhalb des QR-Codes angezeigt und kann per Doppelklick in die Zwischenablage kopiert werden, um in einer Kennwortverwaltung abgelegt zu werden.
Wurde der QR-Code gescannt, und ein gültiger MFA-Code eingegeben, wird bei nachfolgenden Anmeldeversuchen nur noch nach dem MFA-Code gefragt.
Vertraute Geräte
Wenn dem Gerät, von dem aus die Anmeldung erfolgt, vertraut wird, kann die Option Diesem Gerät für 14 Tage vertrauen. gesetzt werden. Beim Setzen dieser Option wird ein zusätzliches Token auf dem Endgerät gespeichert, welches bei der Anmeldung mitgesendet wird.
MailStore Client, Outlook Add-In und Web Access speichern je ein eigenes Token.
Das Token für MailStore Client und das Outlook Add-In wird in der Windows-Anmeldeinformationsverwaltung hinterlegt. Es zieht bei Roaming-Profilen nicht mit um.
Das Token für den Web Access wird im Local Storage des Browsers abgelegt. Wenn das Token im Inkognitomodus des Browsers angefordert wird, bleibt es zwischen Browsersitzungen nicht bestehen.
Verwaltung von App-Kennwörtern
Sobald die Multi-Faktor-Authentifizierung für einen Benutzer aktiviert worden ist, kann das normale Kennwort nicht mehr verwendet werden, um sich mit Nicht-MFA-fähigen-Clients anzumelden.
Zu den Nicht-MFA-fähigen-Clients zählen:
- Geplante Tasks, die den Windows Client im Kommandozeilenmodus nutzen
- IMAP-Clients
- Management-API Clients, wie z.B. der Powershell API-Wrapper und der Python API-Wrapper
Damit diese Clients dennoch weiterhin genutzt werden können, können Benutzer App-Kennwörter anlegen. Diese Kennwörter werden von MailStore generiert und zeichnen sich durch eine erhöhte Komplexität aus.
App-Kennwörter können ausschließlich von Benutzern mit MailStore-integrierter-Authentifizierung über den MailStore Client verwaltet werden. Darüber hinaus, wird das Kennwort ändern-Recht benötigt.
App-Kennwörter funktionieren auch bei deaktiviertem MFA.
App-Kennwörter können niemals verwendet werden, um sich mit MFA-fähigen Clients anzumelden.
- Melden Sie sich am MailStore Client an.
- Klicken Sie auf der Startseite auf Kennwörter verwalten.
- Die Kontextnamen der bisher erstellten App-Kennwörter werden aufgelistet.
- Klicken Sie auf Hinzufügen, um ein neues App-Kennwort hinzuzufügen.
- App-Kennwort-Kontextnamen müssen eindeutig sein und dürfen das Kennwort nicht enthalten.
- Markieren Sie einen Namen und klicken Sie auf Löschen, um das App-Kennwort zu löschen.