Zwei-Faktor-Authentifizierung (2FA) mit DUO

Allgemeine Informationen zu 2-Faktor-Authentifizierung

Was ist Zwei-Faktor-Authentifizierung überhaupt?

Zwei-Faktor-Authentifizierung, auch 2FA genannt, ist ein Sicherheitsverfahren, das die Anmeldung durch die Kombination von zwei unterschiedlichen, unabhängigen Faktoren absichert. Die Faktoren müssen aus verschiedenen Kategorien stammen z.B. Wissen (Passwort/Pin), Biometrie (Fingerabdruck) oder Besitz (DUO Token). An der TU Braunschweig, werden wir die DUO App für das mobile Endgerät, eine Desktop Anwendung für Laptops/Rechner und DUO Token anbieten.

Wieso wird 2FA an der TU-Braunschweig eingeführt?

In erster Linie wird durch den zweiten Faktor die Sicherheit der IT-Infrastruktur erhöht. Der Schutz der IT-Systeme der TU-Braunschweig soll verbessert werden, sodass die Vertraulichkeit, die Integrität sowie die Verfügbarkeit der Daten erhöht wird. Ziel ist es, unbefugten den Zugriff auf die Benutzerkonten zu erschweren.

Das Präsidium hat sich für die Einführung einer 2-Faktor-Authentifizierungslösung entschieden. Auslöser für die Implementierung sind unter anderem der beobachte Missbrauch des zentralen E-Mail-Systems zur Versendung von Phishing und SPAM durch unbefugten Zugriff auf E-Mail-Konten. Sowie die Verwendung von gestohlenen Zugängen für Online-Betrug. Der Abfluss von Informationen aus Filesystemen und Datenbanken sollen hierdurch verhindert werden.

Wie funktioniert 2FA an der TU-Braunschweig?

Zuerst erfolgt die Freischaltung des Users über "Meine Daten (BDD)", in der freiwilligen Phase für den zweiten Faktor. Nach maximal 45 Minuten kann die Person sich entweder beim OWA anmelden oder klickt in der Aktivierungsmail auf den Link und durchläuft den Prozess der Einrichtung, z.B. für das mobile Endgerät. Für nähere Erklärungen/Beschreibungen gibt es dazu eine Anleitung im books (Zwei-Faktor-Authentifizierung (2FA) mit DUO). Wenn der User diesen Prozess durchlaufen hat, kann der der zweite Faktor benutzt werden bzw. der zweite Faktor ist einsatzbereit.

Ist das mobile Endgerät veraltetet oder sprechen andere Gründe gegen eine Nutzung, kann der User auf die Desktop Anwendung ausweichen. Im Ausnahmefall wird dem User ein Token ausgestellt.

Folgende Systeme sind aktuell durch die 2-Faktor-Authentifizierung abgesichert:

Freischaltung von 2 FA für Mitarbeitende und Studierende der TU Braunschweig

There is also an english version availabe. Click Here.

Um an der Pilotphase für das Projekt 2FA teilzunehmen, müssen die Benutzerkennungen über "Meine Daten (BDD)" freigeschaltet werden. Dafür melden Sie sich beim BDD mit der eigenen TUBS-ID und dem zugehörigen Passwort an und öffnen dann den Reiter 2FA.

Hier klicken Sie auf den Button "Freischaltung durchführen".

bdd neu.jpg

Sie wurden für den zweiten Faktor freigeschaltet.

Onboarding (fertig).png

Nach ungefähr 30 bis 45 Minuten nach der Freischaltung in "Meine Daten (BDD)" wird eine automatisierte Mail an Sie versendet mit dem Hinweis, dass DUO ausgerollt wurde. Die Mail kann über Outlook, Thunderbird oder Mail-Apps auf Mobilgeräten aufgerufen werden.

Falls die Mail nach einer Stunde nicht angekommen ist, melden Sie sich bei OWA oder dem SSO an und folgen Sie den Anleitungen zur Einrichtung der DUO Desktop Anwendung oder der DUO Mobile App. Es ist nicht zwingend Notwendig für das Hinzufügen des zweiten Faktors die Mail zu verwenden.

Um Ihr Device hinzuzufügen, folgen Sie bitte der Anleitung in der E-Mail. Ansonsten finden Sie hier auch weitere Anleitungen.

Zurzeit ist der zweite Faktor bei der Nutzung von OWA (Outlook-Web-Access), VPN und SSO aktiv. Für VPN nutzten sie bitte das VPN Gateway, vpngate.tu-braunschweig.de. Bei der Verbindung der VPN mit der DUO Desktop Anwendung brauchen sie das Gateway: vpngate.tu-braunschweig.de/saml

Der zweite Faktor kann über die Duo Desktop Anwendung, ggf. einen HW Token oder eine App auf dem Mobilgerät erzeugt werden. Wenn Sie ein zentral verwaltetes Gerät besitzen, schreiben Sie für die Desktop Anwendung eine Mail an it-service-desk@tu-braunschweig.de, dann wird Ihnen die Anwendung zur Verfügung gestellt. Die Duo Desktop Anwendung ist am praktikabelsten, da diese im Hintergrund ihres Arbeitsgeräts läuft (welches Sie für die Arbeit oder das Studium sowieso dabei haben sollten) und ist somit immer dabei und kann nicht vergessen werden (wie der Token oder das mobile Endgerät). Deswegen empfehlen wir die Nutzung der Duo Desktop Anwendung auf Windows oder Mac Geräten für Mitarbeiter der TU Braunschweig (die Anwendung ist unter Linux derzeit noch nicht anwendbar). Bei Studenten empfehlen wir DUO Mobile App für das Mobilgerät, da oft Anmeldungen an anderen Geräten stattfinden wobei die DUO Desktop Anwendung nicht funktionieren würde, weil diese für das Gerät und nicht den Account aktiviert wird. Hier finden Sie die Anleitung zur Einrichtung der DUO Desktop Anwendung und hier die Anleitung für die DUO Mobile App.

Wenn sie ein Diensthandy besitzen, können Sie Dieses ohne Probleme als zweiten Faktor nutzen, weswegen Sie keinen Hardware Token zur Verfügung gestellt bekommen.

Sie haben auch die Option einen Token zu  beantragen. Senden Sie dazu bitte eine E-Mail an 2fa@tu-braunschweig.de. Diese Hardware-Token tragen wir nach Anmeldung direkt ein und geben Sie aus. Zwischen der Anmeldung für 2FA und der Ausgabe des Tokens ist dann keine Anmeldung über OWA, SSO oder das VPN-Gateway vpngate.tu-braunschweig.de möglich. Die Token sind aber nicht beste Option für einen zweiten Faktor und werden von uns auch nicht empfohlen. Die Geräte sind nicht sehr nachhaltig und müssen (sofern sie als einziger Faktor genutzt werden) immer mit in der Tasche sein. Sollte man einen Token verlieren oder dieser kaputt gehen benötigen Sie einen Neuen, was dazu führt, dass der Alte Token auf dem Elektroschrott landet und damit der Umwelt schadet. Außerdem passiert dies auch, wenn die Batterien leer gehen da diese nicht getauscht werden können.

Es sind auch andere FIDO-Keys (z.B. yubikeys) möglich. Diese werden zwar sofern möglich von uns eingerichtet aber nicht weiter unterstützt oder aktiv in den Anleitungen erklärt. 

Weitere Dokumentation zu den verschiedenen Verfahren finden Sie unter: https://guide.duo.com/?ljs=de

Desktop Anwendung einrichten

Bei zentral vom GITZ verwalteten Geräten ist die Desktop Anwendung im Softwarecenter zur Verfügung gestellt.

Für dezentral betreuten Einrichtungen wenden Sie sich bitte an Ihren DV-Koordinator zum Weg der Installation.

Bei selbst administrierten Arbeitsplätzen, BYOD-Geräten (auch Studierende) installieren Sie sich die Anwendung auf Ihrem Arbeitsrechner selbst, wofür Sie Administrator-Rechte benötigen.

Zum selbstständigen Installieren der Anwendung auf ihrem Arbeitsrechner finden Sie hier einen Download-Link von DUO: https://duo.com/docs/checksums#duo-desktop

Derzeit kann die DUO Desktop-Anwendung nicht für Linux eingesetzt werden, sondern nur für MacOS und Windows. Eine Anfrage beim Hersteller-Support ist offen.

Die DUO Desktop Anwendung kann als zweiter Faktor für die Anmeldung im VPN verwendet werden.

Voraussetzungen

So registrieren Sie die Desktop Anwendung

Für das Hinzufügen der Desktop Anwendung als zweiten Faktor beachten Sie bitte die Anleitung "Geräte verwalten, neues mobiles Gerät oder Desktop Anwendung hinzufügen"

App einrichten (mobiles Endgerät)

In Dieser sowie in allen anderen Anleitungen wurde ein Android Gerät verwendet, einige Punkte könnten sich also minimal auf iOS Geräten unterscheiden.

Wir empfehlen für die Nutzung von 2FA die App Duo Mobile (Mobiltelefon)  des Herstellers "Duo Security LLC" oder entsprechende Duo Hardware-Token (wenn kein dienstliches Mobiltelefon vorhanden ist) für MA. Eine andere App als die hier genannte kann nicht genutzt werden.

Es sind auch andere FIDO-Keys (z.B. yubikeys) möglich. Für die Einrichtung dieser Alternativen ist diese Anleitung derzeit nicht ausgelegt. 

Ausgenommen sind Windows-Phone und Blackberrys, die Geräte werden nicht unterstützt.

Voraussetzung

Ist Ihr Endgerät für die Nutzung der App Duo Mobile geeignet? Bitte überprüfen Sie dies im Zweifel noch mal selbst.

Die aktuelle Version (Stand 11.02.2026) von Duo Mobile unterstützt iOS16.0 oder höher und Android 12 oder höher. Die aktuellsten Informationen hierzu finden Sie auf den Seiten des Herstellers (Duo Security LLC): https://guide.duo.com/#supported-devices

DUO Mobile App Icon

Hier können Sie die App herunterladen:

So registrieren Sie ein mobiles Endgerät in Duo

Wer die DUO App verwenden will, muss zunächst einen Freischaltungsprozess durchlaufen und den zweiten Faktor konfigurieren. Schauen Sie sich hierfür die Anleitung "Freischaltung von 2 FA für Mitarbeitende und Studierende der TU Braunschweig" an. Fall Sie keine automatische E-Mail von CISCO DUO bekommen nach 30-45 min folgen Sie diesen Schritten.


2FA_Owa_1.png

Bitte öffnen Sie den Link https://mail.tu-braunschweig.de und melden Sie sich normal mit Nutzerkennung und Passwort an. 
2FA_Owa_2.png Klicken Sie auf die Schaltfläche [Erste Schritte] 
2FA_Owa_3.png

Entscheiden Sie sich für die empfohlene Option [Duo Mobile].

Auf Ihrem Apple-Gerät wird Ihnen an dieser Stelle ggf. Touch ID / Face ID angeboten. Wenn Sie sich für diese Option entscheiden, können Sie sich zunächst nur noch mit diesem Gerät einloggen. Wir empfehlen daher dringend die Einrichtung der Duo Mobile App, da sie mit dieser auch andere Logins, z.B. VPN (VPN-Gateway "vpngate.tu-braunschweig.de") bestätigen können.
2FA_Owa_4.png

Wenn Sie sich für DUO Mobile entscheiden, geben Sie hier die Telefonnummer Ihres Smartphones ein.

 

Alternativ, falls Sie kein Handy benutzen wollen oder das Handy für einen zweiten Account nutzen wollen, können sie auch ein Tablet hinzufügen. Klicken Sie hierfür auf "Ich habe ein Tablet" und überspringen Sie das nächste Bild. Fahren Sie einfach danach mit der Anleitung fort.
2FA_Owa_5.png
 Bitte überprüfen Sie nochmal Ihre Handynummer und bestätigen Sie diese mit [Ja, richtig.], falls diese korrekt ist.

srIhNAY1ipz8h8Yl-2fa-owa-6.png

 Sollten Sie auf Ihrem Smartphone die genannte App DUO Mobile noch nicht installiert haben, folgen Sie der Anweisung und installieren Sie die App DUO Mobile auf ihrem Privat- oder Diensthandy. Nach erfolgreicher Installation klicken Sie auf [Weiter].

Wenn Sie die DUO App noch nicht vorher genutzt haben folgen Sie bitte die folgenden Schritte (ansonsten überspringen Sie diesen Schritt).

Die Bilder wurden mithilfe eines Android Geräts aufgenommen und können sich zu IoS Geräten unterscheiden.

2FA_Owa_7.png

Anschließend öffnet sich ein Fenster, in dem ein QR-Code angezeigt wird. Dieses Fenster bitte offen stehen lassen und in die App Duo Mobile auf ihrem Smartphone wechseln.
2FA_App3.jpg

Wählen Sie [Konto einrichten].
2FA_App4.jpg

Wählen Sie [Einen QR-Code verwenden] um den QR-Code einscannen zu können.
2FA_App5.jpg

Klicken Sie auf [Speichern].
2024-05-29_12_43_32-Duo_Security___Gerätemanagement___Mozilla_Firefox.png Auf [Fortfahren] klicken. Fertig. 

Wenn andere Geräte hinzugefügt werden sollen unter Dieser Anleitung schauen.

Passkey hinzufügen

Hinweis: Passkeys können je nach Betriebssystem, Browser, Passwortmanager oder verwendetem Gerät auf unterschiedliche Weise eingerichtet und gespeichert werden. Da es dafür viele verschiedene Möglichkeiten gibt, können wir auf dieser Seite nicht alle Varianten beschreiben. Im Folgenden zeigen wir beispielhaft zwei gängige Verfahren.

KeePassXC

Mit KeePassXC einen Passkey für Duo hinzufügen
Auf dieser Seite wird erklärt, wie Sie einen Passkey für Duo anlegen und ihn in KeePassXC speichern. Die Einrichtung erfolgt über die Browser-Erweiterung KeePassXC-Browser.

Voraussetzungen:
1. KeePassXC ist installiert
2. Es existiert eine KeePassXC-Datenbank, die Sie öffnen können
3. Ein unterstützter Browser muss installiert und verfügbar sein
4. Die Erweiterung KeePassXC-Browser ist im Browser installiert

Öffnen Sie KeePassXC und entsperren Sie Ihre Datenbank mit Ihrem Master-Passwort.

Aktivieren Sie nun die Browser-Integration in KeePassXC. Öffnen Sie dazu die Einstellungen über das Zahnrad-Symbol.

{44BA2607-34F1-4D01-8817-7A7AA052CE8D}.png

Wechseln Sie links zum Bereich „Browser-Integration“. Aktivieren Sie dort „Browser-Integration aktivieren“ und wählen Sie anschließend den Browser aus, in dem Sie KeePassXC-Browser verwenden möchten.

{5F16C981-B5D9-4AC9-9290-9A320541A5BB}.png

Fahren Sie anschließend im ausgewählten Browser fort. Installieren Sie dort die Erweiterung „KeePassXC-Browser“, falls diese noch nicht vorhanden ist.

Suchen Sie nach KeePassXC-Browser und klicken Sie auf „Hinzufügen“.

Bildschirmfoto_20260410_084903.png

Klicken Sie anschließend auf „Hinzufügen“.

{FA4263C4-8B9B-4C49-A667-82E41E3011F0}.png

Klicken Sie nach der Installation oben rechts im Browser auf das Puzzle-Symbol und anschließend auf das Zahnrad, um die Einstellungen der Erweiterung zu öffnen.

{A28BBAAA-C5E7-4667-95CC-67A0A5ED0688}.png

Öffnen Sie anschließend die Einstellungen der Browser-Erweiterung. Klicken Sie dazu rechts auf das Menü und anschließend auf „Einstellungen“.

{AC73E208-DF29-4615-BD8C-0BB3BB17ED29}.png

Scrollen Sie in den Einstellungen bis zum Abschnitt „Passkeys“. Aktivieren Sie dort „Passkeys aktivieren“ und speichern Sie anschließend die Änderung.

{7D42D81D-2FCD-442D-9927-52EBD59069C6}.png

Verbinden Sie anschließend das Browser-Addon mit KeePassXC. Öffnen Sie dazu die Erweiterung und klicken Sie auf „Verbinden“.

{B5954AEE-9E88-4BE4-9775-E823A3064F12}.png

Vergeben Sie daraufhin in KeePassXC einen Namen Ihrer Wahl und klicken Sie auf „Speichern“.

{81DF50E7-B5EE-4448-8B5F-18B1BDF804C5}.png

Öffnen Sie nun Duo und fügen Sie ein neues Gerät hinzu. Loggen Sie sich dazu wie auf der Seite zur Geräteverwaltung beschrieben im Duo-Portal ein. Klicken Sie anschließend auf „Geräte hinzufügen“.

{67016205-9F07-4EA1-B165-A1D6F7F8C427}.png

Wählen Sie im Fenster „Gerät hinzufügen“ die Option „Sicherheitsschlüssel“ aus.

{E8AC2157-445F-4890-99AC-2EBF3011FA55}.png

Anschließend öffnet sich ein Fenster von KeePassXC. Dort können Sie den Passkey entweder einem bestehenden Eintrag hinzufügen oder einen neuen Eintrag anlegen. Bestätigen Sie danach die Registrierung.

{E73EC048-4575-4CD0-9118-B8B98CB1ABA9}.png

Klicken Sie anschließend auf „Registrieren“.

{0D0ECEBE-8088-44E9-97A7-11A9AB1A77E5}.png

Nach erfolgreicher Einrichtung wird der neue Passkey auf der Geräteverwaltungsseite angezeigt. Wenn Sie möchten, können Sie den Namen anschließend über „Bearbeiten“ anpassen.

{9E4A00E1-D3B6-4724-AB65-DBE1429BD212}.png

MacOS

Unter macOS sieht das Verfahren wie folgt aus:

Bildschirmfoto 2026-03-20 um 14.07.26.png

Bildschirmfoto 2026-03-20 um 14.07.38.png

Bildschirmfoto 2026-03-20 um 14.07.49.png

Wenn Sie sich für die Speicherung in Apple Passwords entscheiden und mit einer Apple ID eingelogged sind können Sie den Passkey auch auf anderen Geräten mit der selben Apple ID nutzen, dies gilt ebenfalls in anderer Reihenfolge bei Einrichtung auf einem iPhone und Nutzung auf einem Mac.


Yubikey hinzufügen

Sie können unterschiedlich viele zweite Faktoren hinzufügen, so auch einen Yubikey. Hierfür müssen Sie sich in die Geräte Verwalten Seite einloggen bzw. diese öffnen. Bitte folgen Sie hierfür der Anleitung: "Geräte verwalten, neues mobiles Gerät hinzufügen oder Desktop Anwendung hinzufügen".

Wählen Sie als nächstes "Gerät hinzufügen" aus und wählen Sie "Sicherheitsschlüssel" aus, um den Yubikey hinzuzufügen.

Yubikey1.png

Klicken Sie auf "Fortfahren".

Yubikey2.png

Stecken Sie ihren Yubikey in Ihr Arbeitsgerät ein und Speichern Sie ihn ab.

Yubikey3.png

Als nächstes sollte das Bild (siehe unten) auftauchen und Sie müssen einmal auf "Fortfahren" klicken.

Yubikey4.png

Danach sehen Sie den Yubikey in Ihrer Geräteübersicht. Sie können bei "Bearbeiten" den Namen noch verändern, falls dies gewünscht ist.

Yubikey5.png

Nutzung eines zweiten Faktors (Duo Desktop Anwendung, HW Token, Duo App) mit VPN, OWA

Die Anmeldung in OWA und SSO ist die Selbe. OWA wird in dieser Anleitung nur als Beispiel genutzt. Haben Sie also Probleme sich mit dem SSO zu verbinden folgen Sie diesen Schritten.

Nutzung der Duo Desktop Anwendung

Zur Einrichtung der Duo Desktop App bitte hier lang.

OWA

 

90e49996-1316-4091-864e-07975b0a2e06.png

 

Bitte öffnen Sie den Link https://mail.tu-braunschweig.de und melden Sie sich mit der TUBS ID und dem dazugehörigen Passwort an.

Danach öffnet sich die Duo Desktop Anwendung in einem kleinen Fenster und fragt Sie nach der Bestätigung der Anmeldung. Drücken Sie hier auf Approve.

Bitte die Richtigkeit der Daten beachten vor der Bestätigung!

 

grafik.png

 

Sollten Sie Duo Push eingerichtet haben so müssen Sie hier auf "Weitere Optionen" klicken und die Duo Desktop Anwendung auswählen

VPN

{5936395E-113B-4C99-A599-0179FA519200}.png

 Wenn Sie die Duo Desktop Anwendung für das Nutzen der VPN verwenden möchten, verbinden Sie sich mithilfe des VPN Gateway "vpngate.tu-braunschweig.de/saml" mit dem Netz der TU Braunschweig.

90e49996-1316-4091-864e-07975b0a2e06.png

 Danach wählen Sie die Duo Desktop Anwendung als zweiten Faktor zur Authentifizierung und bestätigen die Richtigkeit der Daten anhand dem "approve" Knopf.

{1BB89643-77AE-4090-9541-4856A05DC8AC}.png

Als nächstes klicken Sie auf "Annehmen" und Sie werden automatisch mit der VPN ans Netz verbunden. Fertig!

 

Nutzung des HW-Tokens

Wer einen Hardware-Token (Duo Token) ausgehändigt bekommen hat, muss zur Verwendung des zweiten Faktors nichts weiter tun. Dieser wurde bereits mit der TUBS-ID verknüpft und kann sofort für die Anmeldung bei OWA und VPN (über vpngate.tu-braunschweig.de) verwendet werden. Wer die Duo Mobile App verwenden will schaut hier, wie dies beim ersten Mal eingerichtet wird. 

OWA

Outlook_Anmeldung.png
UE34xf0ixSE1pgIC-hwtoken2.png
  • Als nächstes öffnet sich ein erneutes Fenster, in dem Sie die per HW-Token generierte 6-stellige PIN eintragen.

VPN

Wenn sie einen Yubikey oder Hardware Token nutzen wollen der ihnen nicht von uns ausgegeben wurde, dann folgen Sie bitte dem Verfahren des /saml gateway (Im Abteil der Duo Desktop Anwendung)

 

{2C8C61AB-AB1D-48E8-9BDA-27CF00D84324}.png

 

Wer Zwei-Faktor-Authentifizierung bei der VPN-Anmeldung verwenden will, muss sich bei einem anderen VPN-Gateway anmelden als bisher. D.h. in dem Feld, in dem jetzt "SSL VPN" oder "vpngate.tu-bs.de" (o.ä.) steht, muss

 

vpngate.tu-braunschweig.de

 

eingetragen werden. Dann wird normal die TUBS-ID im Feld mit der Bezeichnung Benutzername eingegeben.

e1fa509a-99c7-4dba-9860-83c53ebffc40.png

Bei der Abfrage des Passworts gibt man sein Passwort, gefolgt von einem Komma und dann die generierte PIN ein.

Nutzung der Duo APP (auf einem Mobilgerät)

OWA

 

619a4f21-a442-4700-bb81-b15d0bfd0e9f.png

 

Bitte öffnen Sie den Link https://mail.tu-braunschweig.de und melden sich normal mit TUBS-ID und Passwort an.

 

Als nächstes erscheint ein Code um diesen zu nutzen öffnen Sie bitte die DUO Mobile App auf ihrem eingerichteten Mobilgerät.

 

grafik.png

Überprüfen Sie die Richtigkeit der Daten zur Anmeldung und tragen Sie den Code ein, welcher auf ihrem Bildschirm angezeigt wird. Fertig!


VPN

 

{2C8C61AB-AB1D-48E8-9BDA-27CF00D84324}.png

 

Wer Zwei-Faktor-Authentifizierung bei der VPN-Anmeldung verwenden will, muss sich bei einem anderen VPN-Gateway anmelden als bisher. D.h. in dem Feld, in dem jetzt "SSL VPN" oder "vpngate.tu-bs.de" (o.ä.) steht, muss

 

vpngate.tu-braunschweig.de

 

eingetragen werden. Dann wird normal die TUBS-ID eingegeben.

fa56741c-1756-46bd-a525-7c6258a887ae.png


 Bei der Verwendung der Duo App wird nur das Passwort eingegeben, dann erfolgt eine Pushnachricht an die Duo APP, die in dieser App bestätigt werden muss.


Geräte verwalten, neues mobiles Gerät hinzufügen oder Desktop Anwendung hinzufügen

Bitte bei OWA (oder über das SSO) unter folgenden Link https://mail.tu-braunschweig.de anmelden.

owa_anmelden.png

Für die Anmeldung geben Sie Ihre TUBS-ID in der Form ad\TUBS-ID und Ihr Passwort ein und klicken anschließend auf [Anmelden]

Danach erfolgt die 2FA Abfrage, dort bitte auf [Weitere Optionen] klicken.

Klicken Sie danach auf [Geräte verwalten].

Push Benachrichtigung2.PNG

Bestätigen Sie Ihre Identität mit dem bevorzugten zweiten Faktor.

Push Benachrichtigung3.PNG

Danach kommen Sie auf das Portal, wo Sie Ihre Geräte verwalten und ein neues Gerät hinzufügen können.

Hinweis: Um ein neues Gerät hinzufügen zu können, benötigen Sie noch einen anderen zweiten aktiven Faktor.

Push Benachrichtigung4.PNG

Für das Hinzufügen der Desktop Anwendung muss die Anwendung auf Ihren Rechner installiert und geöffnet sein. Die Desktop Anwendung funktioniert momentan nicht auf Linux-Geräten.

Wenn Sie schon die DUO App und damit ein anderes Konto verknüpft haben folgen Sie bitte für das Einrichten des zweiten Faktors der Tu Braunschweig die folgen Schritte: 

2FA_Owa_7.png

Anschließend öffnet sich ein Fenster, in dem ein QR-Code angezeigt wird. Dieses Fenster bitte offen stehen lassen und in die App Duo Mobile auf ihrem Smartphone wechseln.
2FA_App1.jpg
 Wählen Sie [+Hinzufügen].
2FA_App2.jpg Wählen Sie [QR Code verwenden].

  • Scannen Sie den im Webbroser angezeigten QR-Code mit der App DUO Mobile
2024-05-29_12_43_32-Duo_Security___Gerätemanagement___Mozilla_Firefox.png Auf [Fortfahren] klicken. Fertig.

FAQ (2FA)

Gibt es eine englische Version?/Is there an english version?

Yes, there is an english Version for the setup of 2FA available. Click Here

Was mache ich, wenn ich ein Problem bei der Authentifizierung auftrifft?

Wenn keine Push Benachrichtigung auf dem Handy kommt, prüfen Sie bitte, ob Ihr Handy im Schlafmodus oder Flugmodus ist. Hier wird keine Push Benachrichtigung gesendet. Öffnen Sie einfach die App und schauen Sie dort, ob Sie sich Authentifizieren können.

Zusätzlich vergewissern Sie sich, dass Ihr Handy auch mobile Daten hat, ansonsten funktioniert die Duo App nicht.

Was mache ich, wenn ich mich bei Duo gesperrt habe?

Um wieder freigeschaltet zu werden müssen Sie in den IT-Service-Desk mit einem gültigen Ausweisdokument gehen. Die Kolleg:innen werden Sie dann wieder freischalten.

Wie funktioniert der Umzug auf ein neues mobiles Endgerät?

Wenn man (wie z.B. bei einem Google Pixel) die Möglichkeit bekommt, seine Daten einfach auf das neue mobiles Endgerät zu übertragen (und man auch seine SIM mitnimmt), ist nichts weiter zu tun, als die App auf dem neuen Gerät einmal zu starten und den Promts zu folgen. Das "Konto" wird mit übertragen.

Andernfalls die DUO App auf dem alten mobilen Endgerät nicht gleich deinstallieren. In den Einstellungen gibt es eine Option "Mit neuem Telefon verbinden", über die man einen QR-Code generieren kann. 

Zuletzt gibt es auch noch die Option, für das Gerät ein neues "Onboarding" durchzuführen. Dazu (ähnlich, wie beim ersten mal) im OWA anmelden und im OWA-Screen (nach Eingabe von Username/Passwort) "Weitere Optionen" gefolgt von "Geräte verwalten" auswählen. Wenn die Telefonnummer des neuen Geräts (also die SIM-Karte) die Gleiche bleibt, wird dabei das alte Gerät überschrieben.

Kann ich mehrere mobile Endgeräte bei 2FA hinzufügen?

Ja das ist möglich, siehe Anleitung.

Wie kann ich einen zweiten TU BS Account bei der Duo App einrichten?

Sie können nicht eine Handynummer für 2 Accounts benutzen, wählen sie einfach die Funktion Tablet verwenden aus und folgen Sie den Schritten. Dann können Sie den zweiten TU BS Account bei der Duo App einrichten.

Wie kann ich mein zweites mobiles Endgerät ansprechen?

Wenn Sie mehrere mobile Endgeräte registriert haben und das mobile Endgerät was z.B. an zweiter Stelle steht ansprechen möchten, können Sie beim VPN beim Passwort <Passwort>, <push2> eingeben. <push2> steht für die zweite Stelle. Um zu sehen, welches Handy an welcher Stelle steht, melden Sie sich bei OWA an und dort wo der zweite Faktor abgefragt wird, klicken Sie auf "Weitere Optionen". 

Beim OWA oder SSO können Sie unter [Weitere Optionen] gehen und das gewünschte Endgerät auswählen.

Wie kann ich die Desktop Anwendung auf Linux-Geräten installieren?

Das ist momentan leider nicht möglich.

Werden anonymisierte Nutzerdaten in der Anwendung gesammelt?

Es werden keine anonymisierten Nutzerdaten in der Anwendung gesammelt, die Funktion wurde ausgeschaltet.

Kann ich mich mithilfe der 2FA auch mit der VPN verbinden?

Ja es ist nun auch möglich sich über das SSO einmalig für die VPN zu registrieren dazu hier mehr.

Welche iOS oder Android Version brauche ich für die DUO Mobile App auf meinem Handy?

Bei iOS wird iOs 16.0 oder höher benötigt, bei Android die Version 11 oder höher um die App installieren und nutzen zu können.#

Sind ebenfalls Mail-Apps wie Outlook oder Thunderbird, etc. vom zweiten Faktor betroffen?

Nein, es ist nur OWA vom zweiten Faktor betroffen Email-Apps auf dem Laptop oder dem Handy bleiben davon unberührt.

Kann ich eine andere App für den zweiten Faktor als DUO Mobile nehmen?

Nein es kann keine andere Handyapp verwendet werden ausschließlich die DUO Mobile App.

Was passiert wenn ich mein Handy oder meinen Token verliere?

Wenn Sie ihr Mobiles Endgerät oder ihren Hardware Token verlieren, müssen Sie mit ihrem Ausweis zum IT Service Desk und erhalten dort einen einmalig nutzbaren Bypass Code oder sofern sie weiterhin einen Token nutzen wollen einen Neuen.

Sollte ihr "alter" Token kaputt gegangen sein bringen Sie Diesen trotzdem mit. 

Kann ich einem Yubikey auch mit der VPN verbinden?

Ja, es ist möglich sich mithilfe der des gateway: vpngate.tu-braunschweig.de/saml einen Yubikey als zweiten Faktor zu nutzen.

Bitte beachten das bei nutzung von privaten Yubikeys kein support angeboten wird.

Kann ich auch meine Geräte mithilfe der DUO Desktop Anwendung verwalten?

Nein, es ist nicht möglich das Geräteverwaltungsmenü nur mithilfe der DUO Desktop Anwendung zu erreichen, hierfür benötigen Sie entweder einen anderen Faktor direkt von Anfang an oder Sie schreiben ein Ticket und erhalten von uns einen einmal nutzbaren By Passcode für die Einrichtung weiterer Geräte.

Ist die Nutzung von Passkeys möglich?

Ja die Nutzung und Selbsteinrichtung von Passkeys ist möglich.

Wie füge ich einen zweiten Passkey hinzu?

Melden Sie sich mit dem Gerät bei OWA oder SSO an, wo der Passkey funktionier und  in den Self-Service Bereich von Cisco DUO wechseln. Dort fügen Sie bitte einen neues Gerät hinz. Diesmal verwenden Sie aber nicht Windows Hello sondern wählen "Sicherheitsschlüssel"  aus  und verwenden die QR-Code Funktion. Das ist die obere Option. Diesen QR-Code scannen Sie mit ihrer Kamera vom Mobiltelefon ab und folgen den Anweisungen auf dem Gerät. Danach können Sie sich auch mit dem Passkey vom zweiten Gerät authentifizieren.