Zwei-Faktor-Authentifizierung (2FA) (Admin-Leitfaden)

Relevant für: Enterprise-Preisplan
Einrichtung durch: Unternehmens-Admin

Zwei-Faktor-Authentifizierung für Unternehmen 

Mit der Zwei-Faktor-Authentifizierung erhalten Online-Profile über den Nutzernamern und das Passwort hinaus eine weitere Sicherheitsebene. Unternehmens-Admins im Enterprise-Preisplan können von Nutzern, die auf das Miro-Abo ihres Unternehmens zugreifen, einen zusätzlichen Identitätsnachweis verlangen. Diese Anforderung gilt für alle Anmeldungen mit E-Mail-Adresse und Passwort. Für Unternehmen, die SSO verwenden, gilt die Zwei-Faktor-Authentifizierung insbesondere für externe Mitwirkende; für Organisationen ohne SSO erstreckt sich die Anforderung auf alle Nutzer.

Die Zwei-Faktor-Authentifizierung wird bald für lokale/private Arbeitsbereiche verfügbar sein, auch für solche, für die Daten in den USA gespeichert werden müssen. Auch die Sicherheit für externe Mitwirkende wird verbessert, da die Zwei-Faktor-Authentifizierung für Nutzer außerhalb der Domains des Unternehmens unterstützt wird.

Einrichten einer erzwungenen Zwei-Faktor-Authentifizierung für deine Organisation

✏️ Vor der Aktivierung der Zwei-Faktor-Authentifizierung ist es wichtig, alle betroffenen Nutzer zu informieren, sowohl in deinem Unternehmen als auch externe Mitwirkende. Um einen reibungslosen Übergang zu gewährleisten, empfehlen wir dir, diesen Personen zur Unterstützung unseren Nutzerleitfaden für Zwei-Faktor-Authentifizierung/span> zur Verfügung zu stellen.

2FA für deine Nutzer aktivieren

1. Gehe zu Admin-Konsole > Sicherheit > Authentifizierung.
2. Aktiviere die Zwei-Faktor-Authentifizierung für Nutzer erzwingen, die SSO nicht verwenden

Erzwingen der 2FA-Authentifizierung für Nicht-SSO-Nutzer

Vertrauen in 2FA-Geräte

Wenn diese Funktion aktiviert ist, wird deinen Nutzern ein Kästchen angezeigt, mit dem sie die 2FA bei jeder Anmeldung auf diesem Gerät für die nächsten X Tage überspringen können, wobei "X" der vom Administrator festgelegte Rahmen ist. Du kannst den Nutzern erlauben, ihren Geräten für 7 bis 90 Tage zu vertrauen. Standardmäßig ist das Vertrauen in 2FA-Geräte aktiviert, du kannst die Funktion jedoch in deiner Admin-Konsole deaktivieren.

⚠️ Wenn das Vertrauen in 2FA-Geräte deaktiviert ist, müssen die Nutzer bei jeder Anmeldung einen 2FA-Code eingeben. Dadurch wird die Anmeldung verlangsamt.

Nach Ablauf des Vertrauenszeitraums wird 2FA erneut benötigt.

Die 2FA wird nicht übersprungen, wenn Nutzer sich auf einem neuen Gerät oder in einem neuen Browser anmelden oder ihre Browser-Cookies löschen.

2FA für Nutzer zurücksetzen

Wenn ein Nutzer den Zugriff auf seine 2FA-Methode verliert, können Admins seine 2FA zurücksetzen. Sobald ein Nutzer anfragt, ob seine 2FA-Methode zurückgesetzt werden soll, erhält der zuständige Admin eine E-Mail-Benachrichtigung. 

Um die 2FA-Methode für den Nutzer zurückzusetzen:

1. Gehe zu Admin-Konsole > Benutzer > Tab Aktive Nutzer.
2. Finde den Nutzer, der seine 2FA-Methode zurücksetzen muss.
3. Klicke auf das Symbol mit den drei Punkten (...) in der Zeile des Nutzers.
   
   Zurücksetzen der Zwei-Faktor-Authentifizierung in der Admin-Konsole
4. Klicke auf Zwei-Faktor-Authentifizierung zurücksetzen.
   Es öffnet sich ein Dialog, in dem du um Bestätigung gebeten wirst.
5. Klicke in dem Dialog auf die Schaltfläche 2FA zurücksetzen.
6. Am oberen Rand deines Bildschirms wird eine Bestätigungsmeldung angezeigt, die bestätigt, dass die Anweisungen zum Zurücksetzen an den Nutzer gesendet wurden.

Auswirkungen auf die Nutzererfahrung

• Nutzer, die SSO nicht verwenden, werden beim nächsten Login aufgefordert, ihren zweiten Faktor einzurichten. Bei diesem Vorgang werden sie nicht von laufenden Sitzungen abgemeldet.
• Die Zwei-Faktor-Authentifizierung muss mit ihrem mobilen Gerät und einer zeitbasierten App für Einmalpasswörter (TOTP), wie Microsoft Authenticator, Google Authenticator oder Authy, konfiguriert werden.
• Nutzer, die Zwei-Faktor-Authentifizierung verwenden, haben 3 Versuche, einen gültigen TOTP-Code einzugeben. Wenn dieses Limit überschritten wird, müssen sie den Authentifizierungsprozess erneut starten.
• Obwohl die Zwei-Faktor-Authentifizierung in mobilen und Tablet-Apps verfügbar ist, wird der erste Registrierungsprozess ausschließlich in Browser- und Desktop-Anwendungen unterstützt.

Wichtig zu wissen

Die Durchsetzung von 2FA gilt nur für Nutzer, die sich mit ihrer E-Mail und ihrem Passwort oder über magische Links (die per E-Mail verschickt werden) authentifizieren.

• Externe Mitwirkende deiner Enterprise-Organisation, die sich bereits von ihrer eigenen Organisation aus über SSO authentifiziert haben, können weiterhin über SSO auf alle Teams und Boards in Miro zugreifen.
• Wenn sich ein Nutzer über eine Anmeldeintegration eines Drittanbieters authentifiziert (z. B. Google, Microsoft, Slack), behält sie über diese Anmeldeintegration Zugriff auf alle Miro-Teams und Boards. Admins haben die Möglichkeit, solche Nutzer dazu aufzufordern, innerhalb ihrer jeweiligen Anmeldeintegration einen zweiten Faktor einzurichten. Der Authentifizierungsfluss von Miro fordert diese Nutzer jedoch nicht auf, einen zweiten Faktor einzurichten.

Audit-Protokolle

Admins können Nutzer, die 2FA eingerichtet haben, sowie erfolgreiche und fehlgeschlagene 2FA-Anmeldungen anhand der folgenden Auditprotokollereignisse verfolgen:

• `mfa_setup_succeeded` – wenn eine Person ihren zweiten Faktor erfolgreich eingerichtet hat
• Aktualisierung des Ereignisses `sign_in_succeeded`, um das Attribut „MfaFactorType“ einzubeziehen, wenn eine erfolgreiche Anmeldung mit Zwei-Faktor-Authentifizierung abgeschlossen wurde
• Aktualisierung des Ereignisses `sign_in_failed`, um das Attribut „MfaFactorType“ einzubeziehen, wenn eine Anmeldung mit 2FA nicht erfolgreich war, weil der Nutzer die maximale Anzahl von Versuchen überschritten hat (nicht-technischer Fehler)