Microsoft 365 beziehungsweise das Azure AD bietet die Möglichkeit anstelle des Authenticator Apps einen Hardware-Token mit dem OATH TOTP Standard für MFA zu nutzen. Ein Hardware-Token ist nur eine alternative Option zum klassischen Popup auf dem Handy. Genauso gibt es die Passwortlose Anmeldung mit einem FIDO Security Key oder der Authenticator App. Hierzu habe ich bereits zwei Beiträge verfasst.

Warum einen OATH Token?

Sehr viele Angriffe werden aufgrund unsicherer oder mehrfach verwendeter Passwörter erfolgreich durchgeführt. Darum ist für mich klar, jedes Konto muss mit MFA oder einer passwortlosen Authentifizierung geschützt werden. Trotzdem stehe ich immer wieder vor der Herausforderung verschiedene Personen und Organisationen davon überzeugen zu müssen. Dabei sind häufige Gegenargumente: "Nicht alle meine Mitarbeiter sind bereit auf ihrem privaten Smartphone eine geschäftliche App zu installieren." oder: ""Einige Mitarbeiter haben kein Smartphone."
Genau in solchen Situationen können die altbekannten, klassischen Hardware-Token wieder Anklang finden.

Setup: OATH TOTP Hardware-Token für with Azure MFA

Voraussetzungen

  • Azure Active Directory Plan 1 oder 2
  • OATH TOTP Token
    • Wichtig ist hier TOTP (Time-based One-time Password), HOTP (Hash-based One-time Password) werden nicht unterstützt
    • Beispiel für Token: Feitian c200 oder Token2 c202

Bestellung eines OATH Token

Bei dem nicht programmierbaren Token muss bei der Bestellung zusätzlich eine Datei mit Seriennummer und Secret Key beantrag werden. Dieses wird in einem zweiten Schritt mit den Benutzern (UPN) in ein CSV abgefüllt und ins Azure AD importieren.
Das CSV schaut dann so aus:

upn,serial number,secret key,time interval,manufacturer,model
michael.scott@scloud.work,1234567891011,ABCBISYZQWERTZUIO,30,Feitian,HardwareKeyCode language: CSS (css)

Import und Zuweisung

Die Zuweisung haben wir faktisch bereits mit dem CSV gemacht. Nun müssen wir dieses noch importieren.

Dazu Navigieren wir im Azure AD in die OATH Settings (Security > MFA > OATH tokens) und laden die Datei hoch. (Nur als Global Administrator möglich.)

OATH TOTP token upload Azure MFA

Nach ein paar Sekunden und einem Refresh ist dann der Benutzer mit dem Token ersichtlich. In der letzten Spalte ist der Link zur Aktivierung. Diese muss pro Benutzer einmalig durchgeführt werden.

Azure MFA OATH token

Wir geben lediglich den Token, welcher uns auf dem Display angezeigt wird, ein und klicken auf OK.

OATH activation, Azure MFA

Daraufhin wird der Status mit einem "Häklein" als aktiv angezeigt:

OATH TOTP token activated in Azure MFA

Login mit dem Hardware-Token

Der Login innerhalb von Microsoft 365 oder einer Azure AD Applikation funktioniert identisch wie mit dem Authenticator App. Der Benutzer gibt seinen Benutzername und Passwort ein und wird anschliessend aufgefordert den Token vom Display einzugeben.

Microsoft 365 Login OATH Hardware token
Microsoft 365 Login OATH Hardware token

Leave a Reply

Your email address will not be published. Required fields are marked *

Florian Salzmann
Senior Workplace Consultant @UMB AG

Stay in the Loop with My Monthly Newsletter!