2FA-Ausnahme aufgrund IP-Adresse
Ist-Zustand: Wenn ein User 2FA eingestellt hat, gilt das immer.
Soll-Zustand: 2FA ist auf Basis einer Liste von bestimmten Quell-IP-Adressen nicht erforderlich.
Nutzen: Wenn ein User sich mehrfach täglich von immer derselben Quelle aus anmeldet, muss er nicht jedes Mal die 2FA anwenden. Als Quelle gilt hier ein bestimmtes Netzwerk, nicht ein einzelner Rechner.
Hintergrund / Details:
bei uns arbeiten ca. 30 Personen regelmäßig, praktisch ständig mit Teamviewer. Wir sind ein IT-Systemhaus und bedienen damit hunderte Kundenrechner, sowohl technisch als Admins als auch zusammen mit Kunden als Support- oder Consulting-Leistung.
Ein Teil der Kollegen hat als Client "a bunch of VDIs" zur Verfügung. Diese Kollegen erzeugen sich oft mehrere virtuelle Rechner pro Tag und arbeiten mit diesen auch parallel. Es geht hier um "saubere Umgebungen", es ist so schön einfach mit den schnell erstellten VDIs. Andere arbeiten von Terminalservern aus, an denen sie sich immer wieder ab- und anmelden, was zur Folge hat, dass auch hier die TV-Anmeldung immer wieder stattfindet. Das liegt natürlich an unserer Arbeitsweise, die ist aber aus Sicherheitsgründen so aufgebaut.
Sowohl die VDIs als auch die Terminalserver kommen allesamt von insgesamt drei festen, bekannten IP-Adressen aus bei TV an. Die Netze dahinter sind gut abgesichert, da lauert nicht der verkleidete Handwerker im virtuellen oder realen Keller. Wenn die Kollegen von einer dieser drei Quellen aus arbeiten, würde ich ihnen gerne die 2FA ersparen, TeamViewer ist ja nicht das einzige Programm, bei dem 2FA angefordert wird und in der Summe ist das ein zu bedenkender Faktor.