Torwächter: MFA-Pflicht in CSP

Vertrauen in die Sicherheit der eigenen Daten ist ein besonders hohes Gut in der IT: Die Kunden müssen sich rundum sicher fühlen, um sich wirklich auf neue Cloud-Services und modernes Arbeiten einlassen zu können. Für Microsoft und alle Partner ist es darum entscheidend, diese Sicherheit durch hohe Standards und geeignete Maßnahmen zu vermitteln und aktiv zu leben. Aus diesem Grund ist mit dem 1. August 2019 die Multifaktoren-Authentifizierung (MFA) im Cloud Solution Provider-Modell verpflichtend und damit feste Voraussetzung, um weiterhin als CSP-Partner agieren zu können. Aber auch für alle Control Panel-Anbieter und Berater gelten diese Regeln. Wir erklären Ihnen, wie Sie geschickt vorgehen und worauf sie unbedingt achten müssen:

• Machen Sie sich mit den neuen Richtlinien vertraut, sie sind im CSP-Programm nachzulesen.
• Planen Sie für die Umstellung genügend Zeit ein und gehen Sie vorausschauend vor, damit Ihre Kunden möglichst wenig von der Umstellung tangiert werden.
• Nehmen Sie Ihre betroffenen Kunden früh mit und machen Sie transparent, wie sich durch die MFA die Sicherheit ihrer Daten erhöht.
• Stellen Sie sicher, dass die MFA bei der Implementierung von Microsoft Entra ID Premium und von Drittanbieter-Lösungen für jeden User durchgesetzt wird. Die Baseline Protection Policies dafür finden Sie hier.
• Für ein nahtloses Deployment identifizieren Sie Nutzer in Microsoft Entra ID, die keine MFA durchführen können, sowie Applikationen und Devices, die in Ihrem Unternehmen eingesetzt werden, aber keine moderne MFA unterstützen.
• Für diese Admin-Rollen gibt es eine besondere Verpflichtung zur MFA: Global Administrator, SharePoint Administrator, Exchange Administrator, Microsoft Entra Conditional Access Administrator, Security Administrator, Helpdesk Administrator / Password Administrator, Billing Administrator, User Administrator.
• Prüfen Sie, ob und wo hinsichtlich MFA noch Handlungsbedarf besteht. Möglich ist dies über die Microsoft Entra ID activity logs und den Microsoft Secure Score.
• Detaillierte Vorgehensweisen finden Sie auf dieser Seite. Erfahrungen und Lösungen anderer Partner können Sie in der Microsoft Partner Community nachlesen und dort auch eigene Beiträge posten oder Fragen stellen.
• Nutzen Sie für die Durchführung die Ressourcen & Supportoptionen zum Thema in der Partner Center Security Guidance Group Community und in den FAQs.

Darauf müssen Sie unbedingt achten:
Bevor Sie die MFA aktiv umsetzen, beantworten Sie sich unbedingt folgende Fragen:

• Gibt es Devices oder Lösungen, die MFA nicht unterstützen? Nutzungsprotokolle wie IMAP, POP3, SMTP etc. werden z.B. bei MFA blockiert. Hier kann das App Passwords-Feature benutzt werden, um weiterhin eine Authentifizierung zu ermöglichen. Ob App Passwords in Ihrem Umfeld eingesetzt werden kann, können Sie hier überprüfen.
• Haben Sie Nutzer, die Office365 über Lizenzen nutzen, die mit Ihrem Partner-Tenant assoziiert sind? Dann klären Sie zunächst, warum Office über Ihren Partner-Tenant genutzt wird. In diesem Szenario besteht die Möglichkeit, dass Ihr Nutzer Verbindungsprobleme hat, wenn er Applikationen wie Outlook verwendet. Bevor Sie hier MFA einführen, stellen sie also sicher, dass die Version Outlook 2013 SP1 oder später verwendet wird und dass Ihr Unternehmen moderne Authentifizierung ermöglicht. Einen Plan für MFA bei O365 finden Sie hier, mehr Details können Sie hier nachlesen.
• Gibt es eine Policy, die irgendeinem Ihrer User untersagt, Mobile Devices während der Arbeitszeit zu verwenden? Es gibt MFA-Optionen, die nur eine Authenticator-App für die Verifizierung nutzen, wie in den Baseline Protection Policies beschrieben. Sollte die Nutzung von Mobile Devices nicht möglich sein, gibt es folgende Optionen: Das Deployment einer Applikation für zeitlich begrenzte, nur einmal nutzbare Base Passwörter (TOTP), die Implementierung einer Drittanbieterlösung, die die MFA für jeden Nutzer im Partner-Tenant ermöglicht, oder der Kauf von Microsoft Entra ID Premium Lizenzen für die betroffenen Nutzer.
• Welche Automation bzw. Integration besitzen Sie, die Nutzerzugänge für die Authentifikation einsetzt? Anwendungen und Dienste, die davon betroffen sein können, sind z.B. Control Panels, Plattformen für Invoicing und Support oder PowerShell-Scripts. Untersuchen Sie deshalb alle Applikationen darauf und implementieren Sie das Secure Application Model Framework wo immer möglich.

Bieten Sie mit der Multifaktoren-Authentifizierung Ihren Kunden also die größtmögliche Sicherheit bei der Anmeldung und gehen Sie das Thema jetzt aktiv an: So positionieren Sie sich klar als Trusted Advisor!