Multi-Faktor-Authentifizierung: Unterschied zwischen den Versionen

[unmarkierte Version][unmarkierte Version]
Zeile 1: Zeile 1:
Um die Sicherheit beim Anmeldevorgang zu erhöhen, kann Multi-Faktor Authentifizierung (MFA) für Benutzer mit ''MailStore-integrierter''-Authentifizierung aktiviert werden. MailStore unterstützt dafür das Verfahren ''Time-based One-time Password (TOTP)'' nach ''RFC 6238''.<br/><br/>Die Benutzer benötigen dafür ein TOTP fähiges Endgerät, z.B. ein Smartphone mit installierter Authenticator-App.
+
Um die Sicherheit beim Anmeldevorgang zu erhöhen, kann Multi-Faktor Authentifizierung (MFA) für Benutzer mit ''MailStore-integrierter'' Authentifizierung aktiviert werden. MailStore unterstützt dafür das Verfahren ''Time-based One-time Password (TOTP)'' nach ''RFC 6238''.<br/><br/>Die Benutzer benötigen dafür ein TOTP fähiges Endgerät, z.B. ein Smartphone mit installierter Authenticator-App.
  
 
<p class=msnote>'''Wichtiger Hinweis:''' Damit gültige Einmalkennwörter (TOTP) generiert werden können, müssen die Systemzeiten des MailStore Servers und der Endgeräte synchronisiert sein.</p>
 
<p class=msnote>'''Wichtiger Hinweis:''' Damit gültige Einmalkennwörter (TOTP) generiert werden können, müssen die Systemzeiten des MailStore Servers und der Endgeräte synchronisiert sein.</p>
Zeile 5: Zeile 5:
 
== Verwaltung ==
 
== Verwaltung ==
  
Administratoren können in der [[Benutzer,_Archive_und_Berechtigungen|Benutzerverwaltung]] die Multi-Faktor-Authentifizierung für Benutzer mit ''MailStore-integrierter''-Authentifizierung verwalten.
+
Administratoren können in der [[Benutzer,_Archive_und_Berechtigungen|Benutzerverwaltung]] die Multi-Faktor-Authentifizierung für Benutzer mit ''MailStore-integrierter'' Authentifizierung verwalten.
  
 
Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf ''Verwaltung'' > ''Benutzer und Archive'' und dann auf ''Benutzer''.
 
Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf ''Verwaltung'' > ''Benutzer und Archive'' und dann auf ''Benutzer''.
Zeile 14: Zeile 14:
 
* Wählen Sie aus dem ''Authentifizierung''-Auswahlmenü den Eintrag ''MailStore-integriert mit MFA'' aus.
 
* Wählen Sie aus dem ''Authentifizierung''-Auswahlmenü den Eintrag ''MailStore-integriert mit MFA'' aus.
 
* Bestätigen Sie mit ''OK''.
 
* Bestätigen Sie mit ''OK''.
 +
* Bei beim nächsten [[Multi-Faktor-Authentifizierung#Anmeldung|Anmeldevorgang]] des Benutzers mit einem MFA-fähigen Client (MailStore Client, MailStore Outlook Add-In, Web Access), wird dieser aufgefordert, einen QR-Code mit einer TOTP-fähigen Authenticator-App (z.B. Google Authenticator) zu scannen und die MFA-Konfiguration damit zu abzuschließen.
  
 
[[File:umgm_users_02_mfa.png|center|400px]]
 
[[File:umgm_users_02_mfa.png|center|400px]]
Zeile 22: Zeile 23:
 
* Wählen Sie aus dem ''Authentifizierung''-Auswahlmenü den Eintrag ''MailStore-integriert'' aus.
 
* Wählen Sie aus dem ''Authentifizierung''-Auswahlmenü den Eintrag ''MailStore-integriert'' aus.
 
* Bestätigen Sie mit OK.
 
* Bestätigen Sie mit OK.
 +
* Gegebenfalls angelegte App-Kennwörter bleiben bestehen und behalten Ihre Gültigkeit.
  
 
[[File:umgm_users_02.png|center|400px]]
 
[[File:umgm_users_02.png|center|400px]]
Zeile 30: Zeile 32:
 
Beim nächsten Anmeldevorgang des Benutzers, wird dieser erneut aufgefordert, die MFA-Konfiguration abzuschließen.
 
Beim nächsten Anmeldevorgang des Benutzers, wird dieser erneut aufgefordert, die MFA-Konfiguration abzuschließen.
 
<br/>
 
<br/>
Sollte der Benutzer MFA noch nicht konfiguriert haben, steht diese Funktion nicht zur Verfügung.
+
Sollte der Benutzer die MFA-Konfiguration mit seinem Endgerät noch nicht abgeschlossen haben, steht diese Funktion nicht zur Verfügung.
  
 
* Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA neu initialisieren möchten.
 
* Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA neu initialisieren möchten.

Version vom 22. Mai 2023, 10:55 Uhr

Um die Sicherheit beim Anmeldevorgang zu erhöhen, kann Multi-Faktor Authentifizierung (MFA) für Benutzer mit MailStore-integrierter Authentifizierung aktiviert werden. MailStore unterstützt dafür das Verfahren Time-based One-time Password (TOTP) nach RFC 6238.

Die Benutzer benötigen dafür ein TOTP fähiges Endgerät, z.B. ein Smartphone mit installierter Authenticator-App.

Wichtiger Hinweis: Damit gültige Einmalkennwörter (TOTP) generiert werden können, müssen die Systemzeiten des MailStore Servers und der Endgeräte synchronisiert sein.

Verwaltung

Administratoren können in der Benutzerverwaltung die Multi-Faktor-Authentifizierung für Benutzer mit MailStore-integrierter Authentifizierung verwalten.

Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf Verwaltung > Benutzer und Archive und dann auf Benutzer.

Aktivierung

  • Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA aktivieren möchten.
  • Wählen Sie aus dem Authentifizierung-Auswahlmenü den Eintrag MailStore-integriert mit MFA aus.
  • Bestätigen Sie mit OK.
  • Bei beim nächsten Anmeldevorgang des Benutzers mit einem MFA-fähigen Client (MailStore Client, MailStore Outlook Add-In, Web Access), wird dieser aufgefordert, einen QR-Code mit einer TOTP-fähigen Authenticator-App (z.B. Google Authenticator) zu scannen und die MFA-Konfiguration damit zu abzuschließen.
Umgm users 02 mfa.png

Deaktivieren

  • Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA deaktivieren möchten.
  • Wählen Sie aus dem Authentifizierung-Auswahlmenü den Eintrag MailStore-integriert aus.
  • Bestätigen Sie mit OK.
  • Gegebenfalls angelegte App-Kennwörter bleiben bestehen und behalten Ihre Gültigkeit.
Umgm users 02.png

MFA neu initialisieren

Wenn ein Benutzer das Gerät, auf dem MFA eingerichtet worden ist, verloren hat, MFA auf einem anderen Gerät eingerichtet werden soll oder MFA aus einem anderen Grund neu eingerichtet werden muss, können Sie MFA neu initialisieren. Dadurch wird ein neues Geheimnis, aus dem sich die Einmalkennwörter ableiten, generiert.
Beim nächsten Anmeldevorgang des Benutzers, wird dieser erneut aufgefordert, die MFA-Konfiguration abzuschließen.
Sollte der Benutzer die MFA-Konfiguration mit seinem Endgerät noch nicht abgeschlossen haben, steht diese Funktion nicht zur Verfügung.

  • Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA neu initialisieren möchten.
  • Klicken Sie auf die Schaltfläche Befehle.
  • Klicken Sie auf MFA neu initialisieren.
  • Bestätigen Sie den Vorgang.
Umgm users 02 mfa commands.png

App-Kennwörter löschen

Wenn ein Benutzer App-Kennwörter angelegt hat, um Nicht-MFA-fähige-Clients (Geplante Tasks, IMAP, Management API) weiterhin verwenden zu können, können Sie diese löschen.
Wenn der Benutzer keine App-Kennwörter angelegt hat, steht diese Funktion nicht zur Verfügung.
App-Kennwörter können nur in Gänze gelöscht werden.

  • Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA neu Initialisieren möchten.
  • Klicken Sie die Schaltfläche Befehle.
  • Klicken Sie auf "App-Kennwörter löschen".
  • Bestätigen Sie den Vorgang.

Anmeldung

Wenn die Multi-Faktor-Authentifizierung für einen Benutzer aktiviert worden ist, wird der Benutzer beim nächsten Anmeldevorgang mit einem MFA-fähigen Client (MailStore Client, MailStore Outlook Add-In, Web Access) aufgefordert, einen QR-Code mit einer TOTP-fähigen Authenticator-App (z.B. Google Authenticator) zu scannen. Dadurch wird das zuvor generierte Geheimnis in der App hinterlegt, und die App ist in der Lage, gültige Einmalkennwörter zu generieren.

Mfa finalize 02.png


Wurde der QR-Code gescannt, und ein gültiger MFA-Code eingegeben, wird bei nachfolgenden Anmeldeversuchen nur noch nach dem MFA-Code gefragt.

Mfa codeonly 02.png

Vertraute Geräte

Wenn dem Gerät, von dem aus die Anmeldung erfolgt, vertraut wird, kann die Option Diesem Gerät für 14 Tage vertrauen. gesetzt werden. Beim Setzen dieser Option, wird ein zusätzliches Token auf dem Endgerät gespeichert, welches bei der Anmeldung mitgesendet wird. MailStore Client, Outlook Add-In und Web Access speichern je ein eigenes Token.

Mfa codeonly trusted device 03.png

Das Token für MailStore Client und das Outlook Add-In wird in der Windows-Anmeldeinformationsverwaltung hinterlegt. Es zieht bei Roaming-Profilen nicht mit um. Das Token für den Web Access wird im Local Storage des Browsers abgelegt.

Verwaltung von App-Kennwörtern

Sobald die Multi-Faktor-Authentifizierung für einen Benutzer aktiviert worden ist, kann das normale Kennwort nicht mehr verwendet werden, um sich mit Nicht-MFA-fähigen-Clients anzumelden.

Zu den Nicht-MFA-fähigen-Clients zählen:

Damit diese Clients dennoch weiterhin genutzt werden können, können Benutzer App-Kennwörter anlegen. Diese Kennwörter werden von MailStore generiert und zeichnen sich durch eine erhöhte Komplexität aus.

App-Kennwörter können ausschließlich von Benutzern mit MailStore-integrierter-Authentifizierung über den MailStore Client verwaltet werden.

  • Melden Sie sich am MailStore Client an.
  • Klicken Sie auf der Startseite auf Kennwörter verwalten.
  • Die Kontextnamen der bisher erstellten App-Kennwörter werden aufgelistet.
    App passwords manage.png
  • Klicken Sie auf Hinzufügen, um ein neues App-Kennwort hinzuzufügen.
    App passwords create.png
  • Markieren Sie einen Namen und klicken Sie auf Löschen, um das App-Kennwort zu löschen.