kpunkt
Goto Top

2FA bei M365 in der Praxis - Authenticator

Morgen zusammen!

Wir sind im Begriff von einem onprem Exchange zu Exchange Online (kein Azure, AD onprem) zu wechseln. Auf den RDS brauchts dann M365 Apps for Business (und auf PC-Clients wohl auch über kurz oder lang).
Das Problem, das sich bei uns auftut ist das 2FA. Und zwar deswegen, weil bei uns nicht alle User ein (dienstlich geliefertes) Smartphone haben. Cheffe gibt da zu bedenken auf privaten Smartphones ist das eher ein NoGo und nur wegen dem 2FA jetzt Smartphones (ohne Vertrag nur fürs Wlan) zu besorgen ist meh.
Ich bin da in der M365-Materie quasi jungfräulich.
Was gibt es denn da für Möglichkeiten bzw. was hat sich in der Praxis bewährt?

k.

Content-ID: 52825968955

Url: https://administrator.de/forum/2fa-bei-m365-in-der-praxis-authenticator-52825968955.html

Ausgedruckt am: 27.12.2024 um 04:12 Uhr

StefanKittel
StefanKittel 14.03.2024 um 10:34:21 Uhr
Goto Top
Moin,

Firmen Handy oder Privates Handy
Nicht so sicher, geht aber: Hardware Authenticator (z.B: https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator)

Selbst sehr große Firman mit 10.000+ MA verlangen von ihren MA ihre privaten Handys zu nutzen.

Vieleicht geht ja auch SMS-TAN, dann muss man keine App installieren

Und ein beliebiger TOTP-Client (z.B. Google Authenticator) geht mit M365 auch.

Stefan
9697748851
9697748851 14.03.2024 um 10:42:15 Uhr
Goto Top
Moin,

Und ein beliebiger TOTP-Client (z.B. Google Authenticator) geht mit M365 auch.
Kleine Anmerkung: ja geht, aber es werden keine Nachrichten gepusht!

Selbst sehr große Firman mit 10.000+ MA verlangen von ihren MA ihre privaten Handys zu nutzen.
Jap, wir auch. Zumal 2FA auch nicht blöd im privaten Bereich ist (schrubben darüber auch DATEV-ArbeitnehmerOnline ab).


Gruß
kpunkt
kpunkt 14.03.2024 um 10:46:40 Uhr
Goto Top
Das Problem ist, dass tatsächlich nicht alle User ein Smartphone haben. Oder zumindest vorgeben keins zu haben.

Mit so einem Authenticator (z.B. das Reiner-Dings) könnte ich leben. Die Dinger kann ich dann mit dem Microsoft-Konto der User fest verbinden?
Mr-Gustav
Mr-Gustav 14.03.2024 um 10:58:01 Uhr
Goto Top
Du kannst das ganze auch klassisch mit OTP Dongeln machen. Ich meine die Dinger die am Schlüsselbund sind und auf Knopftdruck einen 6 Stelligen Zahlencode liefern.

Das haben wir bei unsern MA welche kein Firmenhandy haben. Läuft super.
Dazu dann noch eine Conditional Access Regel das die MA im Büro, wenn Sie über eine unserer IP´s in Netz gehen, eben kein MFA brauchen. Somit wird MFA nur Aktiv wenn man versucht von Extern die Webmail bzw. Sharepoint Webseiten aufruft.
Bei den Mobilgeräten ist Conditinal Access so eingestellt das dies nicht notwendig ist wenn die Geräte im MDM ( Intune ) sind UND compliant.

Eventuell kannst du ja da auch was basteln face-smile
Freak-On-Silicon
Freak-On-Silicon 14.03.2024 um 11:14:28 Uhr
Goto Top
Wenn ich mich nicht ganz irre, kann der "normale" Outlook Client auf Android auch die 2FA übernehmen.

Den haben vielleicht ein paar schon drauf.
kpunkt
kpunkt 14.03.2024 um 11:15:05 Uhr
Goto Top
@Mr-Gustav
Das hört sich nach meinem Geschmack an. Welche OTP Dongle hast du denn im Einsatz?
StefanKittel
Lösung StefanKittel 14.03.2024 um 11:20:58 Uhr
Goto Top
Zitat von @kpunkt:
Mit so einem Authenticator (z.B. das Reiner-Dings) könnte ich leben. Die Dinger kann ich dann mit dem Microsoft-Konto der User fest verbinden?
Diese Geräte "sprechen" normales TOTP wie z.B. der Google-Authenticator.
Man muss bei der Anmeldung aufpassen, weil der Link für Nicht-Microsoft-Authenticator sehr klein und grau ist. Sonst gibt es da keine Probleme.

Ich nutzte TOTP im GA für das M365 management von mehreren kleinen Kunden wo ich seperate Accounts habe.

Stefan
Mr-Gustav
Lösung Mr-Gustav 14.03.2024 aktualisiert um 11:22:12 Uhr
Goto Top
Ich meine es sind diese hier:

FeiTian OTP C200 I34 Token

Gab es damals im 5er Pack zu glaube ich um die 90 Euro.


Anbei noch eine Anleitung bzw. Übersucht der Dongle.
Anleitung bzw. How to ist gaaaaanz unten der erste Link
kpunkt
kpunkt 14.03.2024 um 11:46:57 Uhr
Goto Top
@Mr-Gustav
Wenn du noch den Link nachlieferst bekommst du ein Gut
OlliSe
OlliSe 14.03.2024 um 11:50:34 Uhr
Goto Top
Hey,
wie kann man seine Mitarbieter dazu zwingen, das eigene Handy zu benutzen ...
Meineserachtens no go ...

Stehe vor dem selbigen Problem ...
StefanKittel
StefanKittel 14.03.2024 um 11:59:49 Uhr
Goto Top
Das ist ein grundsätzliches menschliches Sicherheitsproblem. Es ist kein technisches Problem.

Auf das eigene Handy passen die Leute sehr gut auf.
So einen Token, TOTP-Generator oder TOTP OTP Card lassen die meisten halt einfach so rumliegen weil es ihnen egal ist.

Ein Kunde von mir setzt diese Reiner SCT Geräte ein für die Einwahl vom Home-Office.
Wenn ich bei Jemanden mal vor Ort bin liegt das Gerät meist auf dem PC und der PIN steht auf der Rückseite.

Wenn der Chef dann noch nichtmal meckert weil er das selber auch so macht, kannst Du Dir halt den Mund fusselig reden.

Die Firma meiner Frau hat über 100.000 Mitarbeiter. Trotzdem muss sie ihr privates Handy verwenden.
Es gab auch nie eine Frage oder Information und der IT Support hatte auch keine Idee. M365 fragt also muss man antworten...

Stichwort: Realität meets Konzept.

Stefan
Heididliho
Heididliho 14.03.2024 um 12:26:43 Uhr
Goto Top
mit Yubikeys fahren wir super!
mininik
mininik 14.03.2024 um 12:34:20 Uhr
Goto Top
Yubikeys und Abfahrt. Nutzung vom privaten Handy verlangen... Ich würde denen den Vogel zeigen.
tech-flare
tech-flare 14.03.2024 aktualisiert um 12:50:59 Uhr
Goto Top
Zitat von @mininik:

Yubikeys und Abfahrt. Nutzung vom privaten Handy verlangen... Ich würde denen den Vogel zeigen.
Sehe ich genauso und wenn ein Betriebsrat im Unternehmen ist, sollte er einschreiten.

Ein AG darf in Deutschland nicht vorschreiben, dass das privat Gerät dienstliches genutzt werden muss.

Ein Unternehmen mit 100k Mitarbeitern sollte es sich auch leisten können Yubikeys oder Alternativen einsetzen zu können.

Ps.; ich nutze aber auch mein Privatgerät, weil es mich persönlich nicht stört und ich sowieso überall MFA aktiv nutze, jedoch gibt es aber eben auch Spielregeln für AG.

PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
StefanKittel
StefanKittel 14.03.2024 um 13:12:55 Uhr
Goto Top
Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.
Heididliho
Heididliho 14.03.2024 aktualisiert um 13:18:32 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.


Ist total egal - es wird zur Authentifizierung zusätzlich ein Pin benötigt.
StefanKittel
StefanKittel 14.03.2024 um 14:35:39 Uhr
Goto Top
Zitat von @Heididliho:
Zitat von @StefanKittel:
Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.
Ist total egal - es wird zur Authentifizierung zusätzlich ein Pin benötigt.
Der auf dem kleinen Klebezettel auf dem YuibKey?

Ich will hier nichts konstruieren, aber die meisten Personen haben kein Interesse Zeit oder Energie für das Thema Sicherheit aufzubringen. Bis zum GF der verlangt, dass ich bei Microsoft anrufen und 2FA für ihn deaktiviere.

Stefan
9697748851
9697748851 14.03.2024 um 14:45:59 Uhr
Goto Top
Ich will hier nichts konstruieren
Ich bin ganz bei Dir. (leider)

Gruß
Tjelvar
Tjelvar 14.03.2024 um 19:14:49 Uhr
Goto Top
Heyo,

ich möchte noch zu bedenken geben, dass die OTP Tokens bei MS365 weiterhin ein Preview Feature sind, dass nur von globalen Admins eingerichtet werden kann. Wir haben uns für die Tokens entschieden und ärgern uns im nachhinein etwas darüber.

Gruß,
Tjelvar
Dani
Dani 15.03.2024 um 20:21:35 Uhr
Goto Top
Moin,
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.
ich weiß nicht wie das bei euch ist, aber in der Regel gibt es doch zur technischen Umsetzung auch der organisatorische und rechtliche Teil. Sprich Mitarbeiter unterschreiben entsprechende Policies. Mehr kannst du seitens AG auch nicht mehr tun. Damit ist klar die Verantwortung geklärt und definiert.

Am Anfang meinen viele, dass ihnen nichts passiert. Da muss man einfach "hart" sein und 2-3-4 Exempel statuieren. Danach ist zu 99,99% allen klar, was Sache ist. Ausnahmen wird es immer geben.


Gruß,
Dani