Enterprise Zwei-Faktor-Authentifizierung (2FA) – Admin-Leitfaden

Relevant für: Enterprise-Preisplan
Einrichtung durch: Unternehmens-Admins

Zwei-Faktor-Authentifizierung (2FA) für Organisationen

Mit der Zwei-Faktor-Authentifizierung bietet 2FA für Online-Profile über den Nutzernamen und das Passwort hinaus eine zusätzliche Sicherheitsebene. Unternehmens-Admins im Enterprise-Preisplan können von Nutzern, die auf das Miro-Abo ihres Unternehmens zugreifen, einen zusätzlichen Identitätsnachweis verlangen. Diese Anforderung gilt für alle Anmeldungen mit E-Mail-Adresse und Passwort. Für Unternehmen, die Single Sign-on (SSO) nutzen, bezieht 2FA ausdrücklich externe Mitwirkende ein; für Organisationen ohne SSO erstreckt es sich auf alle Nutzer.

✏️ Dieser Artikel erklärt die Zwei-Faktor-Authentifizierung (2FA) für Enterprise-Preispläne. Für alle anderen Preispläne siehe Zwei-Faktor-Authentifizierung (2FA) in der Verwaltung.

Einrichten einer erzwungenen 2FA für deine Organisation

✏️ Vor der Aktivierung der Zwei-Faktor-Authentifizierung (2FA) ist es wichtig, alle betroffenen Nutzer zu informieren, sowohl Mitglieder deines Unternehmens als auch externe Mitwirkende. Um einen reibungslosen Übergang zu gewährleisten, empfehlen wir, unser 2FA-Nutzerleitfaden zu teilen, um sie bei diesem Prozess zu unterstützen.

2FA für deine Nutzer aktivieren

1. Gehe zu Admin-Konsole > Sicherheit > Authentifizierung.
2. Schalte 2FA für Nutzer erzwingen, die nicht SSO nutzen ein.

Erzwingen der Zwei-Faktor-Authentifizierung für Nutzer, die SSO nicht verwenden

Vertrauenswürdige 2FA-Geräte

Wenn aktiviert, wird deinen 2FA-Nutzern ein Kästchen angezeigt, mit dem sie 2FA jedes Mal überspringen können, wenn sie sich auf diesem Gerät innerhalb der nächsten X Tage anmelden, wobei "X" der vom Admin festgelegte Zeitraum ist. Du kannst Nutzergeräten erlauben, als vertrauenswürdig eingestuft zu werden, für 7 bis 90 Tage. Standardmäßig ist das Vertrauen von 2FA-Geräten aktiviert, obwohl du die Funktion in deiner Admin-Konsole deaktivieren kannst.

⚠️ Wenn das Vertrauen von 2FA-Geräten deaktiviert ist, müssen Nutzer bei jeder Anmeldung einen 2FA-Code eingeben. Dies wird die Anmeldungserfahrung verlangsamen.

2FA wird nach Ablauf des Vertrauenszeitraums erneut erforderlich sein.

2FA wird nicht übersprungen, wenn sich Nutzer auf einem neuen Gerät oder in einem neuen Browser anmelden oder wenn sie ihre Browser-Cookies löschen.

Zurücksetzen der 2FA für Nutzer

Wenn ein Nutzer den Zugang zu seiner 2FA-Methode verliert, können Admins seine 2FA zurücksetzen. Sobald ein Nutzer anfragt, seine 2FA-Methode zurückzusetzen, erhält der zuständige Admin eine E-Mail-Benachrichtigung. 

Um die 2FA-Methode für den Nutzer zurückzusetzen:

1. Gehe zu Admin-Konsole > Nutzer > Aktive Nutzer Tab.
2. Finde den Nutzer, der seine 2FA-Methode zurücksetzen muss.
3. Klicke auf das Symbol mit den drei Punkten (...) in der Zeile des Nutzers.
   
   Zurücksetzen der Zwei-Faktor-Authentifizierung in der Admin-Konsole
4. Klicke auf Zwei-Faktor-Authentifizierung zurücksetzen.
   Ein Dialog wird geöffnet und bittet um Bestätigung.
5. Klicke im Dialog auf die Schaltfläche 2FA zurücksetzen.
6. Eine Bestätigungsnachricht erscheint oben auf deinem Bildschirm und bestätigt, dass die Rücksetz-Anweisungen an den Nutzer gesendet wurden.

Auswirkungen auf die Nutzererfahrung

• Nutzer, die SSO nicht verwenden, werden beim nächsten Login aufgefordert, ihren zweiten Faktor einzurichten. Bei diesem Vorgang werden sie nicht von laufenden Sitzungen abgemeldet.
• Die Nutzer müssen 2FA mit ihrem mobilen Gerät und einer zeitbasierten Einmal-Passwort-App (TOTP) wie Microsoft Authenticator, Google Authenticator oder Authy konfigurieren.
• Nutzer, die 2FA verwenden, haben ein Limit von 3 Versuchen, um einen gültigen TOTP-Code einzugeben. Wenn dieses Limit überschritten wird, müssen sie den Authentifizierungsprozess erneut starten.
• Obwohl die 2FA-Anmeldung in mobilen und Tablet-Apps verfügbar ist, wird der erste Registrierungsprozess ausschließlich in Browser- und Desktop-Anwendungen unterstützt.

Wichtig zu wissen

Die Durchsetzung von 2FA gilt nur für Nutzer, die sich mit ihrer E-Mail-Adresse und ihrem Passwort authentifizieren oder über magische Links (per E-Mail versendet) anmelden.

• Wenn sich ein externer Mitwirkender deiner Enterprise-Organisation bereits über Single Sign-on (SSO) von seiner Heimatorganisation aus authentifiziert, kann er weiterhin über SSO auf alle Teams und Boards in Miro zugreifen.
• Wenn sich ein Nutzer über eine Anmeldeintegration eines Drittanbieters (z. B. Google, Microsoft, Slack) authentifiziert, behält er Zugriff auf alle Miro-Teams und Boards über diese Anmeldemethode. Admins haben die Möglichkeit, diese Nutzer dazu zu ermutigen, innerhalb ihrer jeweiligen Anmeldeintegration einen zweiten Faktor einzurichten. Der Authentifizierungsfluss von Miro fordert diese Nutzer jedoch nicht auf, einen zweiten Faktor einzurichten.

Audit-Protokolle

Admins können Nutzer, die 2FA eingerichtet haben, sowie erfolgreiche und fehlgeschlagene 2FA-Anmeldungen anhand der folgenden Audit-Protokollereignisse verfolgen:

• "mfa_setup_succeeded" – wenn ein Nutzer ihren zweiten Faktor erfolgreich eingerichtet hat
• Aktualisierung des Ereignisses `sign_in_succeeded`, um das Attribut „MfaFactorType“ einzubeziehen, wenn eine erfolgreiche Anmeldung mit 2FA abgeschlossen wurde
• Aktualisierung des Ereignisses `sign_in_failed`, um das Attribut „MfaFactorType“ einzubeziehen, wenn eine Anmeldung mit 2FA nicht erfolgreich war, weil der Nutzer die maximale Anzahl von Versuchen überschritten hat (nicht-technischer Fehler)