MFA in Remote Desktop Manager (Standalone) bei AD / Microsoft 365 Hybrid-Umgebung

Ctrl + k

Published 10 days ago

Hallo zusammen,
wir nutzen aktuell Remote Desktop Manager in einer Hybrid-Umgebung mit Active Directory und Microsoft 365 / Entra ID.
Die Benutzer melden sich mit ihren Windows / AD-Accounts an. Zusätzlich ist MFA über Microsoft 365 (Conditional Access) aktiv.
Wir überlegen gerade, ob man zusätzlich eine Authentifizierung direkt in RDM einbauen kann.
Dazu ein paar Fragen:

Gibt es in der Standalone-Version von RDM (ohne Devolutions Server / DVLS) eine Möglichkeit, MFA zu aktivieren?
Kann man eventuell pro Eintrag oder pro Session eine zusätzliche Authentifizierung verlangen, z. B. bevor eine RDP- oder SSH-Session gestartet wird?
Oder geht so etwas nur mit Devolutions Server?

Uns geht es vor allem darum zu verstehen, ob RDM zusätzliche Authentifizierungsschritte über die bereits vorhandene AD / Entra MFA hinaus unterstützen kann.
Danke euch! 👍

Security - Devolutions Documentation

Multifactor authentication - Devolutions Documentation

Apply policies - Devolutions Documentation

All Comments (1)

Stephan Haupt

Published 9 days ago

Hey,

danke dir für die Frage!

In der Standalone-Version von Remote Desktop Manager (ohne Devolutions Server / DVLS) gibt es tatsächlich ein paar Möglichkeiten für zusätzliche Authentifizierungsschritte, allerdings eher auf Applikations- bzw. Datenquellenebene.

Zum Beispiel könnt ihr MFA für die Verbindung zur Datenquelle aktivieren (bei SQL Server oder SQLite). Dadurch müssen sich Benutzer zusätzlich authentifizieren, bevor sie auf die Daten zugreifen können:
https://docs.devolutions.net/rdm/data-sources/multi-factor-authentication/

Außerdem lässt sich beim Start von RDM selbst eine zusätzliche Authentifizierung verlangen, etwa über ein Application Password oder MFA. Das funktioniert unabhängig von der Datenquelle:
https://docs.devolutions.net/rdm/commands/administration/system-settings/application-specific/security/

Was aktuell nicht vorgesehen ist, ist eine separate MFA-Abfrage pro einzelner Verbindung oder Session (z. B. direkt vor dem Start einer RDP- oder SSH-Session) innerhalb von RDM.

Wenn ihr die Client-Einstellungen zentral steuern möchtet, könnt ihr das auch über Group Policies machen – zum Beispiel um das Application Password für alle RDM-Clients zu erzwingen:
https://docs.devolutions.net/rdm/kb/how-to-articles/group-policies/#force-application-password

Ich hoffe, das hilft euch ein bisschen bei der Einordnung der Möglichkeiten.

Gruß
Stephan