2FA bei M365 in der Praxis - Authenticator
Morgen zusammen!
Wir sind im Begriff von einem onprem Exchange zu Exchange Online (kein Azure, AD onprem) zu wechseln. Auf den RDS brauchts dann M365 Apps for Business (und auf PC-Clients wohl auch über kurz oder lang).
Das Problem, das sich bei uns auftut ist das 2FA. Und zwar deswegen, weil bei uns nicht alle User ein (dienstlich geliefertes) Smartphone haben. Cheffe gibt da zu bedenken auf privaten Smartphones ist das eher ein NoGo und nur wegen dem 2FA jetzt Smartphones (ohne Vertrag nur fürs Wlan) zu besorgen ist meh.
Ich bin da in der M365-Materie quasi jungfräulich.
Was gibt es denn da für Möglichkeiten bzw. was hat sich in der Praxis bewährt?
k.
Wir sind im Begriff von einem onprem Exchange zu Exchange Online (kein Azure, AD onprem) zu wechseln. Auf den RDS brauchts dann M365 Apps for Business (und auf PC-Clients wohl auch über kurz oder lang).
Das Problem, das sich bei uns auftut ist das 2FA. Und zwar deswegen, weil bei uns nicht alle User ein (dienstlich geliefertes) Smartphone haben. Cheffe gibt da zu bedenken auf privaten Smartphones ist das eher ein NoGo und nur wegen dem 2FA jetzt Smartphones (ohne Vertrag nur fürs Wlan) zu besorgen ist meh.
Ich bin da in der M365-Materie quasi jungfräulich.
Was gibt es denn da für Möglichkeiten bzw. was hat sich in der Praxis bewährt?
k.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52825968955
Url: https://administrator.de/forum/2fa-bei-m365-in-der-praxis-authenticator-52825968955.html
Ausgedruckt am: 27.12.2024 um 04:12 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Firmen Handy oder Privates Handy
Nicht so sicher, geht aber: Hardware Authenticator (z.B: https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator)
Selbst sehr große Firman mit 10.000+ MA verlangen von ihren MA ihre privaten Handys zu nutzen.
Vieleicht geht ja auch SMS-TAN, dann muss man keine App installieren
Und ein beliebiger TOTP-Client (z.B. Google Authenticator) geht mit M365 auch.
Stefan
Firmen Handy oder Privates Handy
Nicht so sicher, geht aber: Hardware Authenticator (z.B: https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator)
Selbst sehr große Firman mit 10.000+ MA verlangen von ihren MA ihre privaten Handys zu nutzen.
Vieleicht geht ja auch SMS-TAN, dann muss man keine App installieren
Und ein beliebiger TOTP-Client (z.B. Google Authenticator) geht mit M365 auch.
Stefan
Moin,
Gruß
Und ein beliebiger TOTP-Client (z.B. Google Authenticator) geht mit M365 auch.
Kleine Anmerkung: ja geht, aber es werden keine Nachrichten gepusht!Selbst sehr große Firman mit 10.000+ MA verlangen von ihren MA ihre privaten Handys zu nutzen.
Jap, wir auch. Zumal 2FA auch nicht blöd im privaten Bereich ist (schrubben darüber auch DATEV-ArbeitnehmerOnline ab).Gruß
Du kannst das ganze auch klassisch mit OTP Dongeln machen. Ich meine die Dinger die am Schlüsselbund sind und auf Knopftdruck einen 6 Stelligen Zahlencode liefern.
Das haben wir bei unsern MA welche kein Firmenhandy haben. Läuft super.
Dazu dann noch eine Conditional Access Regel das die MA im Büro, wenn Sie über eine unserer IP´s in Netz gehen, eben kein MFA brauchen. Somit wird MFA nur Aktiv wenn man versucht von Extern die Webmail bzw. Sharepoint Webseiten aufruft.
Bei den Mobilgeräten ist Conditinal Access so eingestellt das dies nicht notwendig ist wenn die Geräte im MDM ( Intune ) sind UND compliant.
Eventuell kannst du ja da auch was basteln
Das haben wir bei unsern MA welche kein Firmenhandy haben. Läuft super.
Dazu dann noch eine Conditional Access Regel das die MA im Büro, wenn Sie über eine unserer IP´s in Netz gehen, eben kein MFA brauchen. Somit wird MFA nur Aktiv wenn man versucht von Extern die Webmail bzw. Sharepoint Webseiten aufruft.
Bei den Mobilgeräten ist Conditinal Access so eingestellt das dies nicht notwendig ist wenn die Geräte im MDM ( Intune ) sind UND compliant.
Eventuell kannst du ja da auch was basteln
Zitat von @kpunkt:
Mit so einem Authenticator (z.B. das Reiner-Dings) könnte ich leben. Die Dinger kann ich dann mit dem Microsoft-Konto der User fest verbinden?
Diese Geräte "sprechen" normales TOTP wie z.B. der Google-Authenticator.Mit so einem Authenticator (z.B. das Reiner-Dings) könnte ich leben. Die Dinger kann ich dann mit dem Microsoft-Konto der User fest verbinden?
Man muss bei der Anmeldung aufpassen, weil der Link für Nicht-Microsoft-Authenticator sehr klein und grau ist. Sonst gibt es da keine Probleme.
Ich nutzte TOTP im GA für das M365 management von mehreren kleinen Kunden wo ich seperate Accounts habe.
Stefan
Das ist ein grundsätzliches menschliches Sicherheitsproblem. Es ist kein technisches Problem.
Auf das eigene Handy passen die Leute sehr gut auf.
So einen Token, TOTP-Generator oder TOTP OTP Card lassen die meisten halt einfach so rumliegen weil es ihnen egal ist.
Ein Kunde von mir setzt diese Reiner SCT Geräte ein für die Einwahl vom Home-Office.
Wenn ich bei Jemanden mal vor Ort bin liegt das Gerät meist auf dem PC und der PIN steht auf der Rückseite.
Wenn der Chef dann noch nichtmal meckert weil er das selber auch so macht, kannst Du Dir halt den Mund fusselig reden.
Die Firma meiner Frau hat über 100.000 Mitarbeiter. Trotzdem muss sie ihr privates Handy verwenden.
Es gab auch nie eine Frage oder Information und der IT Support hatte auch keine Idee. M365 fragt also muss man antworten...
Stichwort: Realität meets Konzept.
Stefan
Auf das eigene Handy passen die Leute sehr gut auf.
So einen Token, TOTP-Generator oder TOTP OTP Card lassen die meisten halt einfach so rumliegen weil es ihnen egal ist.
Ein Kunde von mir setzt diese Reiner SCT Geräte ein für die Einwahl vom Home-Office.
Wenn ich bei Jemanden mal vor Ort bin liegt das Gerät meist auf dem PC und der PIN steht auf der Rückseite.
Wenn der Chef dann noch nichtmal meckert weil er das selber auch so macht, kannst Du Dir halt den Mund fusselig reden.
Die Firma meiner Frau hat über 100.000 Mitarbeiter. Trotzdem muss sie ihr privates Handy verwenden.
Es gab auch nie eine Frage oder Information und der IT Support hatte auch keine Idee. M365 fragt also muss man antworten...
Stichwort: Realität meets Konzept.
Stefan
Zitat von @mininik:
Yubikeys und Abfahrt. Nutzung vom privaten Handy verlangen... Ich würde denen den Vogel zeigen.
Sehe ich genauso und wenn ein Betriebsrat im Unternehmen ist, sollte er einschreiten.Yubikeys und Abfahrt. Nutzung vom privaten Handy verlangen... Ich würde denen den Vogel zeigen.
Ein AG darf in Deutschland nicht vorschreiben, dass das privat Gerät dienstliches genutzt werden muss.
Ein Unternehmen mit 100k Mitarbeitern sollte es sich auch leisten können Yubikeys oder Alternativen einsetzen zu können.
Ps.; ich nutze aber auch mein Privatgerät, weil es mich persönlich nicht stört und ich sowieso überall MFA aktiv nutze, jedoch gibt es aber eben auch Spielregeln für AG.
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Zitat von @StefanKittel:
Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Ist total egal - es wird zur Authentifizierung zusätzlich ein Pin benötigt.
Zitat von @Heididliho:
Der auf dem kleinen Klebezettel auf dem YuibKey?Zitat von @StefanKittel:
Ist total egal - es wird zur Authentifizierung zusätzlich ein Pin benötigt.Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Ich will hier nichts konstruieren, aber die meisten Personen haben kein Interesse Zeit oder Energie für das Thema Sicherheit aufzubringen. Bis zum GF der verlangt, dass ich bei Microsoft anrufen und 2FA für ihn deaktiviere.
Stefan
Ich will hier nichts konstruieren
Ich bin ganz bei Dir. (leider)Gruß
Moin,
Am Anfang meinen viele, dass ihnen nichts passiert. Da muss man einfach "hart" sein und 2-3-4 Exempel statuieren. Danach ist zu 99,99% allen klar, was Sache ist. Ausnahmen wird es immer geben.
Gruß,
Dani
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.
ich weiß nicht wie das bei euch ist, aber in der Regel gibt es doch zur technischen Umsetzung auch der organisatorische und rechtliche Teil. Sprich Mitarbeiter unterschreiben entsprechende Policies. Mehr kannst du seitens AG auch nicht mehr tun. Damit ist klar die Verantwortung geklärt und definiert.Am Anfang meinen viele, dass ihnen nichts passiert. Da muss man einfach "hart" sein und 2-3-4 Exempel statuieren. Danach ist zu 99,99% allen klar, was Sache ist. Ausnahmen wird es immer geben.
Gruß,
Dani