Mobile-Menu

Fünf Wege zu MFA in Active Directory im Vergleich
Multifaktor-Authentifizierung für privilegierte Active-Directory-Konten

Von Thomas Joos 8 min Lesedauer

Active Directory bildet den Kern vieler Identitätsinfrastrukturen, stellt aber keine native Multifaktor-Authentifizierung (MFA) für klassische Kenn­wort­an­mel­dungen bereit. Der Schutz privilegierter Konten erfordert alternative Konzepte von Smartcard-Anmeldung über Endpunkt-Erweiterungen bis hin zu vorgelagerten Identitätskontrollen.

Active Directory bietet keine native MFA für Kennwortanmeldungen. Von Smartcard über multiOTP und Duo bis Silverfort gibt es fünf praktikable Alternativen.(Bild: ©  Have a nice day - stock.adobe.com)
Active Directory bietet keine native MFA für Kennwortanmeldungen. Von Smartcard über multiOTP und Duo bis Silverfort gibt es fünf praktikable Alternativen.
(Bild: © Have a nice day - stock.adobe.com)

Active Directory liefert keine Bordmittel, die bei einer klassischen Domänenanmeldung mit Benutzername und Kennwort zusätzlich einen TOTP-Code, Push oder Hardware-Token ab­fragen. Damit bleibt MFA auf Domänenebene ohne zusätzliche Komponenten unerreichbar. Eine vollständige Microsoft-Umsetzung von MFA für interaktive Logons setzt eine An­mel­de­ar­chi­tek­tur voraus, die Entra ID als Kontrollpunkt nutzt. In hybriden Umgebungen laufen I­den­ti­tä­ten weiterhin im lokalen Verzeichnis, die Anmeldeentscheidung und MFA-Durchsetzung wandern jedoch in Entra ID. Ohne diese Verlagerung bleibt nur Smartcard-Logon als Bordmittelpfad oder der Einsatz von Drittprodukten, die außerhalb von Active Directory zusätzliche Prüfungen erzwingen.

Smartcards als Bordmittel-MFA

Smartcard-Logon bildet den einzigen Bordmittelansatz, der eine echte Zwei-Faktor-Logik im Anmeldeprozess abbildet. Der Besitz der Karte oder des USB-Tokens liefert den ersten Faktor, also faktisch ein Zertifikat, das auf einem sicheren Speicher liegt, die PIN liefert den zweiten Faktor. Das Kennwort spielt in diesem Modell keine Rolle, da die Anmeldung auf Zertifikatsbasis erfolgt.