2-Faktor Authentifizierung Bestätigungscode nur an 1 Gerät senden

Question

2-Faktor Authentifizierung Bestätigungscode nur an 1 Gerät senden

Hallo,

wir haben im Unternehmen mehrere iPads Air2, die mit einer Apple ID verknüpft sind.

Wir möchten nun eigentlich bei allen Geräte die 2 Faktor Authentifizierung aktivieren.

Bei unserem test haben wir jedoch festgestellt, dass der Bestätigungscode an ausnahmslos ALLE Geräte mit dieser Apple ID geschickt wird.

Das möchten wir nicht.

Wir möchten 1 bis 2, idealerweise Handynummern, hinterlegen, an die der Code gesendet werden darf.

Wie können wir das im Detail umsetzten?

Vielen Dank für Antworten.

MfG,

EW Bus

iPad Air, iOS 10.3.2

Gepostet am 19. Juni 2017 15:00

Antworten

Answer 1

21. Juni 2017 15:18 als Antwort auf EW_Bus_GmbH

Hallo EW_Bus_GmbH,

ich verstehe nicht, welcher Use Case Euch Sorgen bereitet. Habt Ihr die Sorge, Mitarbeiter könnten zusätzlich eigene Geräte auf Eure Apple-ID anmelden? Solange sie das Passwort der Apple-ID nicht kennen erhalten sie gar keinen Bestätigungscode. Daher heißt es ja Zwei-Faktor-Authentifizierung und ein Faktor ist das Passwort. Wenn andererseits das Passwort bekannt ist habt Ihr aktuell ohne Zwei-Faktor-Authentifizierung schon dasselbe Problem.

Ihr könnt problemlos in der Zwei-Faktor-Authentifizierung eine Auswahl von Handynummern hinterlegen. Diese kommen aber erst zum Zuge nachdem Ihr auswählt, dass ein Bestätigungscode nicht funktioniert. In der Praxis dürfte das für Euch funktionieren, denn es erfordert ja nur wenige Sekunden. Wirklich sicher ist es aber nicht.

Vielleicht ist auch die zweistufige Bestätigung (siehe Informationen zur zweistufigen Bestätigung per SMS - Apple Support) besser für Euch geeignet? Hier wird der Code immer an eine Handynummer geschickt.

Generell sieht Apple vermutlich den Fall nicht vor, dass Ihr zwar eine Apple-ID für mehrere Geräte verwendet, diesen Geräten aber im Rahmen der Zwei-Faktor-Authentifizierung nicht über den Weg traut. Für mehr als zehn Geräte wird dieser Ansatz übrigens sowieso nicht funktionieren (siehe Verknüpfte Geräte in iTunes anzeigen und entfernen - Apple Support).

-Joscho

Antworten

Answer 2

22. Juni 2017 08:47 als Antwort auf EW_Bus_GmbH

Hallo EW_Bus_GmbH,

Apples Antwort auf die mögliche "Verwirrung und Belästigung" aller Mitarbeiter ist vermutlich einfach: Nutzt eine eigene Apple-ID für jedes Gerät. Dann läuft die 2FA über die hinterlegte Handynummer.

Ich sehe die Verwirrung und Belästigung allerdings auch nicht: Ein Bestätigungscode erscheint ja nur, wenn sich erstmals jemand von einem neuen Gerät aus einloggt. Bei einem festen Gerätepark wird jedes Gerät genau einmal so verifiziert und das war es dann. Sobald der Code von einem Gerät verwendet wurde ist auch auf den anderen Geräten nichts mehr davon sichtbar. Ich habe meinen gesamte Gerätepark in ca. einer halben Stunde einmal verifiziert und seitdem keine Bestätigungscodes mehr benötigt.

Ich denke auch, dass Apple die zweistufige Bestätigung noch eine ganze Weile am Leben halten wird, denn ohne die sind alte Rechner teilweise nicht mehr nutzbar (siehe z.B. Mail unter Mac OS 10.68 ab 15. Juni 2017).

-Joscho

PS: Ein weiteres Risiko der Nutzung einer einizigen Apple-ID für alle Geräte ist übrigens, dass von Apps in iCloud abgelegte Daten von allen Geräten aus verändert werden können. Auch das ist für mit der Materie nicht vertraute Mitarbeiter nicht offensichtlich. Oft ist nicht spontan zu entscheiden, ob mit lokalen Daten oder in iCloud gearbeitet wird. Das dürfte im Alltag wesentlich kritischer sein als das Erscheinen von Bestätigungscodes.

Antworten

Answer 3

22. Juni 2017 08:11 als Antwort auf Joscho

Hallo Joscho,

zuerst einmal danke für deine Antwort.

Wir haben einfach kein Verständnis, warum alle Mitarbeiter mit diesem Code verwirrt und belästigt werden sollen. Das Kennwort kennt keiner. Es wird sicherlich keiner an der ID manipulieren können oder ähnliches. Aber: Unsere Kollegen werden aufgrund Unwissen in der EDV Abteilung, oder wen Sie gerade ans Telefon bekommen, Sturm klingeln und Fragen, was das soll. Diese Frage wird aber leider nicht einmalig sein, sondern immer wieder auf uns zu kommen. Diese zusätzliche Arbeit möchten wir uns vorher schon sparen. Außerdem muss nicht jeder wissen, dass wieder irgendwo irgendetwas an der AppleID Einstellung verändert wurde.

Eine möglicherweise nicht unwichtige Information dazu fehlt noch: Wir verwenden zum Verwalten der Geräte ein MDM vom Hersteller SOPHOS. Womit ich gleich den letzten Absatz hinterfrage: Wir nutzen kein iTunes, tangiert uns damit diese Begrenzung überhaupt?

Die zweistufige Bestätigung funktioniert im Moment noch, aber die Frage ist wie lange, da Apple diese ja mit der 2-Faktor-Authentifizierung ablösen und somit abschaffen will. Eine Dauerhafte Lösung wäre das somit keinesfalls. Im schlimmsten Falle müssen wir alle Geräte in einem Zeitraum X, vielleicht einem Jahr, nochmal anfassen und umstellen. Auch diese Zusätzlich Arbeit möchten wir uns gerne sparen. Zudem stünden wir vermutlich dann vor dem Problem wie jetzt auch.

Falls ich hingegen mit meinen Aussagen gänzlich falsch liege, was z.B. die zweistufige Bestätigung anbelangt, so lasse ich mich gern überzeugen, dass dies auch eine zukunftsträchtige, zumindest mit dem heutigen Wissen, Lösung ist.

Es grüßt freundlich

die EW Bus.

Antworten

Answer 4

22. Juni 2017 09:21 als Antwort auf Joscho

Hallo Joscho,

es gibt wichtige Gründe, dass wir eine AppleID für alle Geräte verwenden. Das hat z.B. mit VPP, DEP und den Apps zu tun, die wir für uns entwickeln lassen. Da die iCloud deaktiviert ist und der Zugriff auf die Einstellungen per MDM unterbunden ist, können keine Daten in der iCloud landen, die jemand sieht, der sie nicht sehen kann.

Die zweistufige Authentifizierung ist immer noch kritisch, da es eine Frage der Zeit ist, bis Apple das sterben lässt. Das neuste iOS was veröffentlich wird, wird nicht mehr für ältere Geräte funktionieren. Da lässt Apple nicht mit sich reden, sondern macht es einfach so. Gleiches wird mit der zweistufigen Authentifizierung werden. Apple lässt das einfach sterben. Das wird in dem verlinkten Artikel deutlich, wenn ich mir den letzten Post dort durchlese. Es wird nicht mehr unterstützt. Möglicherweise durch das neue iOS selbst schon fest verankert. Ich halte das weiterhin für keine gute Lösung, da die unser Problem nur verschiebt, aber nicht löst.

Weiterhin ist deine Aussage so nicht richtig ist, dass nach der einmaligen Einrichtung kein Code mehr nötig wäre.

Immer wenn ich mich hier einlogge, um eine Antwort zu schreiben, wird ebenfalls ein Code benötigt. Der wird auf ALLE Geräte übertragen. Es gibt wahrscheinlich mehr Mechanismen und Zustände, die ich aufzählen kann, die zu der Code Anforderung führen.

Die Frage bleibt also: Wie machen wir es, dass nur von uns bestimmte Geräte den Code erhalten.

Antworten

Answer 5

22. Juni 2017 09:33 als Antwort auf EW_Bus_GmbH

Hallo EW_Bus_GmbH,

ich fürchte, dann kann ich beim generellen Problem nicht weiterhelfen. Es gibt offenbar weit mehr Abhängigkeiten als für mich zunächst erkennbar.

Wenn allerdings bei jeder Anmeldung im Support Forum eine Bestätigungsanfrage kommt, dürfte das daran liegen, dass dem Browser nicht vertraut wird. Bei der Bestätigung kann ein entsprechendes Häkchen gesetzt werden und dann sollten keine Bestätigungsanfragen mehr kommen. Zumindest funktioniert das bei mir so.

Und ja - Apple wird die zweistufige Bestätigung über kurz oder lang abstellen. Offenbar ist sie aber im Moment trotzdem für Euch eine denkabre Lösung. Ob es in der Gesamtabwägung sinnvoll ist könnt nur ihr entscheiden. Umgekehrt halte ich es aber auch nicht für sehr wahrscheinlich, dass Apple die Zwei-Faktor-Authentifizierung Euren Wünschen anpasst.

-Jochen

Antworten

Answer 6

22. Juni 2017 10:46 als Antwort auf Joscho

Den Sinn von nur einer Unternehmensweiter Apple ID kann ich aber trotzdem nicht nachvollziehen da ihr ein MDM habt und die iCloud Sachen eh sperren könnt.

Ich kenne jetzt das MDM von Sophos nicht gut genug. Aber andere und ich das habe ich noch in keinem Whitepaper gelesen das dort nur eine Apple ID verwendet werden kann.

Du bekommst das Profil ja auf das Gerät und die Apple ID ist da ja noch irrelevant.

Bei uns in der Firma hat auch jeder auf seinem Gerät seine eigene Apple ID.

Alle schon für die Apps. Jeder Mitarbeiter nutzt andere Apps und ich hätte keine Lust jedes mal weil irgendwer ein neues App nutzen will das Passwort einzugeben.

Dienstlich Empfohlene Apps können über das MDM fokussiert werden und über die eigene Apple ID "Gekauft" sind bei uns sowieso Gratis Apps.

Firmenapps können genau so per MDM verteilt werden oder über den App Store

Antworten

Answer 7

22. Juni 2017 11:09 als Antwort auf Enfant Terrible

Hallo Enfant Terrible,

der Sinn ist einfach finanziell begründet: Wenn man auf hohem sicherheitstechnischen Niveau arbeitet, wird jede Mail Adresse in einem Mailgateway hinterlegt, dass sicherstellt nur diese sowohl von außen erreichbar sind, aber auch nach außen kommunizieren dürfen und keine anderen Adressen gültig sind. Jede einzelne Adresse in dieser Liste kostet Geld. Da möchten wir ganz einfach vermeiden wegen vieler IDs (die unseres Erachtens rechtlich nicht nötig sind) unnötig Geld auszugeben.

Auf Dienstgeräten ist die private Nutzung untersagt. Das hängt mit steuerlichen Geschichten von wegen geldwerter Vorteil zusammen. Daher darf nicht jeder Nutzer seine private ID nutzen. Das ist auch aus Datenschutzgründen wichtig. Denn wenn ein Mitarbeiter das Unternehmen verlässt, möchten wir keine Schwierigkeiten bekommen, wenn wir das Gerät einem anderen Mitarbeiter in die Hand drücken.

Außerdem ist eine ID einfacher zu verwalten, wenn Änderungen anzupassen sind. Weiterhin muss ich nur einen Sicherheits-Kontakt (Mail Adresse) für die Wiederherstellung des Kennwortes angeben. Sonst muss ich für jede eine andere angeben, da die nicht mehrfach verwendet werden kann. Das haben wir schon erlebt. Dann kommt eben die Meldung: Die Adresse kann nicht verwendet werden, da diese mit einem anderen Apple Account verknüpft ist. Wie sollen wir das denn sonst regeln?

Antworten

Answer 8

22. Juni 2017 11:42 als Antwort auf EW_Bus_GmbH

Die Adressen von euren Mitarbeiten dürfen nicht nach außen Kommunizieren?

Was für Schwierigkeiten? Das Gerät ist Eigentum der Firma, Gerät zurücksetzen und Fertig.

Bei uns ist für die Apple ID ist jeder selber zuständig, da hier auch keine Kennwort Richtlinien gelten wird man von einer Erwachsen Person erwarten können sich ein Passwort zu merken.

Wir sind auch ein Unternehmen mit 700 Leuten wovon fast 500 Leute ein iPhone haben und 50 Leute ein iPad das ist mit einer Apple ID nicht machbar. BTW: Gab/Gibt es noch die 10 Geräte Begrenzung für die Apple ID?

Datenschutz hat nix mit Privater Nutzung zu tun. Es gibt MDM Systeme die Enterprise Relevanten Apps noch mal Sandboxen und somit keine Daten aus dem Enterprise Bereich in den Privatbereich kommen können. Abfotografieren mit einem anderen Gerät kann ich aber immer noch.

In meiner letzten MDM Schulung wurde der nette Satz gesagt: "Alles was ich sehen kann, kann ich nicht schützen"

Antworten

Answer 9

22. Juni 2017 12:57 als Antwort auf Enfant Terrible

Hallo Enfant Terrible,

Thema Kommunikation: Es gibt durchaus Adressen, die einfach nur für interne Zwecke bestimmt sind. Wenn das in anderen Unternehmen offener gestaltet ist, ist das deren Problem.

Schwierigkeit ist, dass keiner unserer Mitarbeiter aus der IT-Abteilung Langeweile hat und ständig die Geräte zurücksetzen will, weil ein Mitarbeiter dachte, diese oder jene App wäre etwas tolles. Damit soll nicht gespielt werden. Doch dazu später noch ein Satz.

Ach dazu kann ich nur sagen: wenn andere Unternehmen das offener gestalten, oder deren ITler den ganzen Tag nichts besseres zu tun haben, als die Geräte den lieben langen Tag neu aufzusetzen: Bitte schön.

Der Sicherheit ist das alles nicht zuträglich, denn die größte Gefahrenquelle für die EDV sitzt nun mal vor dem Bildschirm. Diese Quelle wollen wir gern durch die gewählten Mechanismen so gering wie möglich halten. Das hat nichts mit der Gefahr von Kopieren oder Abfotografieren zu tun. Es hat damit zu tun, dass das Unternehmen gesetzlich dazu verpflichtet ist, die privaten Daten des Nutzers zu schützen, sobald er das Gerät privat nutzen darf. Wahrscheinlich ist das den meisten Unternehmen nicht bewusst, dass sie hier gegen das Gesetz handeln, wenn z.B. ein Gerät, welches der Anwender privat nutzen darf, und sei es nur geduldet, aus der Ferne löscht. Das DARF das Unternehmen einfach nicht.

Es gibt also durchaus wichtige Gründe, warum wir das so machen, wie wir es machen.

Die angesprochene Gerätebegrenzung habe ich bisher immer nur im Zusammenhang mit iTunes gelesen. Da wir das nicht nutzen, bleibt unsere Einschätzung: die Anzahl der Geräte, die ich mit einer AppleID registriere ist egal.

Die Frage bleibt somit immer noch offen.

Antworten

Answer 10

BeK

Stufe 4

1.682 Punkte

22. Juni 2017 13:30 als Antwort auf EW_Bus_GmbH

Kleiner Tipp: Die Secondary wird abgeschafft, Zwei-Stufen-Authentifizierung abschaffen ist bei Weitem schwieriger.

Der Sicherheitscode wird an Geräte gesendet, die vertrauenswürdig sind. Diese nach der Anmeldung von der Liste der vertrauten Geräte entfernen sorgt dafür, dass diese trotz Zwei-Faktor-Authentifizierung einen Code erhalten.

Man kann ein Gerät nur wieder zu einem vertrauten Gerät machen, wenn man es nochmal "anmeldet", indem man in die Einstellungen geht und "Password und Sicherheit" anklickt und dann auf dem bereits vertrauten Gerät den Code erhält und eingibt.

Ich sehe nun bisl Wartungsaufwand, falls man sich mal aus der iCloud auf einemGerät abmelden muss, es wieder anmeldet und vergisst, dieses Gerät von der Liste der vertrauten Geräte zu entfernen.

Antworten

Answer 11

22. Juni 2017 14:25 als Antwort auf EW_Bus_GmbH

Ich wollte da keine Grundsatz Diskussion wer das sicherer Unternehmen hat los treten, es ist mir auch egal. Wir haben unser A+ Rating.

Ich langweile mich in unserer IT Umgebung auch nicht. 1200 Clients & 350 Server.

Nur sprechen wir hier von einem Zurücksetzen des Gerätes wenn der Mitarbeiter das Unternehmen verlässt. Das passiert bei Uns nicht im Minutentakt sondern nur zum Monats-Ende/Anfang und der Aufwand dauert in der Ausführung ein paar Minuten, Ich muss dem Gerät ja nicht zuschauen beim Daten löschen.

Wir haben auch E-Mail Adresse die nur intern erreichbar sind aber das sind irgendwelche Funktionspostfächer. Aber jeder Mitarbeiter hat eine Persönliche E-Mail Adresse und diese ist bei uns von extern erreichbar.

Die Handhabung der Datensicherheit und die der Fernlöschung lässt sich mittels Vereinbarungen zwischen Unternehmen & Mitarbeiter lösen.

Bei 10 Gerätebegrenzung war ich mir auch nicht sicher und darum war es auch nur als Randnotiz gedacht und als Frage formuliert.

Ich bin dann auch mal wieder raus aus dieser Diskussion, da sie mir ein bisschen zu sehr abdriftet in eine Richtung die ich für ein Support Forum wo User - User helfen unangemessen halte.

Antworten