Multi-Faktor-Authentifizierung
Um die IT-Sicherheit an der Universität weiter zu stärken, wird schrittweise die Multi-Faktor-Authentifizierung (MFA) für die Anmeldung an zentralen IT-Diensten eingeführt. Dieses Verfahren bietet einen zusätzlichen Schutz vor unbefugtem Zugriff und Datenmissbrauch, indem es neben dem Passwort eine zweite Sicherheitskomponente erfordert.
Dies betrifft alle Dienste, die über WueLogin genutzt werden – darunter Outlook im Web, VPN, WueStudy, WueCampus, WebShop, Zoom, Lecuture etc.
Direkter Link zu Microsoft-Konto - MFA einrichten
Microsoft Authenticator App
- App auf Smartphone oder Tablet
- für alle vom RZ empfohlen:
Mitarbeitende, Studis, Gasthörer, Frühstudis/Unitag, UKW, LehrKH
YubiKey
- Hardware Sicherheitsschlüssel
- USB-Anschluss (USB-A, USB-C, USB-Ci)
TOTP
- 6-stelliger Sicherheitscode
- mit einer App Ihrer Wahl auf Smarphone, Tablet
- Apps auch für PC oder Laptop verfügbar
Hinweise und Tipps
Wir empfehlen dringend, den zweiten Faktor zusätzlich auf mindestens einem weiteren Gerät (z. B. Tablet, älteres Smartphone oder auch YubiKey) einzurichten. So stellen Sie sicher, dass Sie im Falle eines Geräteverlusts, -defekts oder -Reset den Zugang zu Ihrem Account behalten.
Falls kein weiteres Gerät verfügbar ist, können Sie alternativ ein TOTP-Client auf einem persönlichen Laptop oder PC einrichten. Weiter Infos erhalten Sie auf Anfrage per Mail vom IT-Support.
---------- Altes Handy nicht zurückzurücksetzen, bevor MFA auf dem neuen Handy eingerichtet ist ----------
Der zweite Faktor ist gerätespezifisch und funktioniert nur auf dem Gerät, auf dem er eingerichtet wurde. Bei Datentransfers (z. B. iOS Schnellstart, Samsung Smart Switch oder Google-Backup) wird die App zwar übertragen, die Authentifizierung über das neue Gerät funktioniert aber nicht.
Die App MUSS auf dem neuen Gerät neu eingerichtet werden. Dazu brauchen Sie unbedingt Zugriff auf die Authenticator-App auf Ihrem alten Handy. Anleitung zum MFA Einrichten.
Ist das alte Handy bereits zurückgesetzt, ist kein Kontozugriff mehr möglich. Der IT-Support kann MFA nach erfolgreicher Identitätsprüfung zurücksetzen. Kontaktieren Sie dazu bitte den IT-Support. Erst nach dem Zurücksetzen durch den IT-Support können Sie die MFA neu einrichten.
Durch die Deinstallation der Authenticator App wird der zweite Faktor auf dem Gerät unbrauchbar und MUSS neu eingerichtet werden. Sollten Sie den zweiten Faktor auf nur einem Gerät installiert haben und die App von diesem deinstallieren, sind Sie effektiv aus Ihrem Account ausgesperrt.
In diesem Fall muss der IT-Support MFA für Sie zurücksetzen – das ist jedoch erst nach einer erfolgreichen Identitätsprüfung möglich. Setzen Sie sich dazu mit dem IT-Support in Verbindung. Erst danach können Sie MFA neu einrichten.
FAQ - Überblick & Fragen
Sie können die MFA nicht selbst auf dem neuen Handy einrichten, wenn die Authenticator App nur auf dem alten Handy eingerichtet war und
- das Handy schon zurückgesetzt oder die App gelöscht ist oder
- das alte Handy defekt ist oder gestohlen/verloren wurde.
Um die MFA auf Ihrem neuen Handy wieder einzurichten, muss diese zunächst durch den IT-Support zurückgesetzt werden. Bitte kommen Sie dafür persönlich beim IT-Support vorbei und bringen Sie Ihren Personalausweis mit. Nach dem Zurücksetzen können Sie die MFA direkt wieder auf Ihrem neuen Handy einrichten – auf Wunsch auch gemeinsam mit uns vor Ort.
Falls Sie aus wichtigen Gründen nicht persönlich vorbeikommen können, kontaktieren Sie bitte telefonisch den IT-Support.
Sie können die MFA selbst auf dem neuen Handy einrichten, wenn
- die Authenticator App auf dem alten Handy noch funktioniert oder
- Sie die Authenticator App auf einem weiteren (Ersatz-)Gerät eingerichtet haben.
Melden Sie sich bei https://aka.ms/mysecurityinfo mit MFA über das Ersatz-/Altgerät an und fügen die Authenticator App als Anmeldemethode für das neue Handy hinzu.
Sie können die MFA nicht selbst auf dem neuen Handy einrichten, wenn die Authenticator App nur auf dem alten Handy eingerichtet war und
- das Handy schon zurückgesetzt oder die App gelöscht ist oder
- das alte Handy defekt ist oder gestohlen/verloren wurde
- Sie auch keinen YubiKey haben.
Es gibt diese Optionen:
- Wir können Ihnen einen TAP (MFA Einmalkennwort) per Hauspost an Ihre Dienstadresse senden. Damit melden Sie sich bei https://aka.ms/mysecurityinfo an und fügen die Authenticator App als Anmeldemethode für das neue Handy hinzu. Geben Sie dem IT-Support Bescheid, wenn Sie einen TAP benötigen.
- Alternativ kann die MFA auch durch den IT-Support zurückgesetzt werden. Bitte kommen Sie dafür persönlich beim IT-Support vorbei und bringen Sie Ihren Personalausweis mit. Nach dem Zurücksetzen können Sie die MFA direkt wieder auf Ihrem neuen Handy einrichten – auf Wunsch auch gemeinsam mit uns vor Ort.
Setzen Sie das altes Smartphone keinesfalls zurück oder löschen voreilig die App, bevor die App auf dem neuen Smartphone NEU EINGERICHTET ist.
Auch wenn Datentransferanwendungen (iOS Schnellstart, Samsungs Smartswitch, Google-Backup, etc.) die App scheinbar übertragen, ist sie auf dem neuen Smartphone nicht funktionsfähig. MFA muss auf dem neuen Smartphone neu eingerichtet werden – dafür benötigen Sie weiterhin Zugriff auf die App auf dem alten Gerät.
Erst wenn die MFA auf dem neuen Smartphone erfolgreich funktioniert, können Sie das alte Gerät zurücksetzen oder die App dort löschen.
Ja, das ist problemlos möglich.
Sie erhalten auf beiden Geräten die Benachrichtigungen zur Login-Bestätigung und können die Anmeldung auf einem beliebigen Gerät genehmigen.
A)
Wenn Sie keinen weiteren Sicherheitsfaktor hinterlegt haben müssen Sie sich persönlich im IT-Support einen befristeten Zugangspass abholen.
B)
Wenn Sie neben der App noch einen YubiKey eingerichtet haben, müssen Sie folgendermaßen vorgehen:
Bitte verwenden Sie als Browser Google Chrome oder Edge. Unter Linux und macOS wird ausschließlich Google Chrome unterstützt.
- Melden Sie sich wie gewohnt an, bis Sie die Anmeldung bestätigen müssen.
- Wählen Sie hier [Ich kann meine Microsoft-Authenticator-App im Moment nicht verwenden]
- Wählen Sie [Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel]
- Wählen Sie ggf. über [Verwenden eines anderen Geräts] den [Sicherheitsschlüssel] aus
- Geben Sie Ihre Sicherheitschlüssel-PIN ein
- Tippen Sie auf den Sicherheitsschlüssel
Bei der WueLogin Anmeldung merkt sich der Browser über ein Cookie, mit welchem Account Sie angemeldet sind. Wenn Sie sich nun mit dem zweiten Acocunt anmelden wollen, kommt es wegen des Cookies zu Problemen. Sie werden immer mit dem ersten Account angemeldet, der Wechsel zum zweiten Account gelingt nicht.
Lösungen:
- Zwei verschiedene Browser verwenden (z. B. Chrome & Firefox) - parallel für jeden Account einen separaten Browser
- Browser komplett schließen und Cookies löschen
- Für die Anmeldung mit dem zweiten Account ein privates/inkognito Browserfenster verwenden
Vermutlich nutzen Sie als Browser Safari, der unter maOS nicht unterstützt wird. Unter macOS wird nur Google Chrome unterstützt.
Infos zu Browsern finden Sie unter Unterstützung der FIDO2-Authentifizierung mit Microsoft
Fehler treten häufig auf, wenn unter Linux nicht der unterstützte Google Chrome Browser sondern ein anderer verwendet wird.
Unter Linux wird nur Google Chrome vollumfänglich unterstützt.
Infos zu Browsern finden Sie unter Unterstützung der FIDO2-Authentifizierung mit Microsoft
Ja, es muss aber ein Microsoft-kompatibler FIDO2-Sicherheitsschlüssel sein.
Eine Liste der Anbieter finden Sie unter Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel
Der Link zu den Sicherheitsinformationen Ihres Microsoft-Kontos lautet:
Alternativ nach Anmeldung an office.com oder go.uniwue.de/o365 - rechts oben auf Ihr Profil klicken - Konto anzeigen - links im Menü auf Security-Info
