stefankittel
Goto Top

2FA und private Endgeräte bei Microsoft 365 und anderen

Hallo,
ich führe gerade eine Diskussion mit einem Kunden.
Ich: Das ist total wichtig
Er: Das ist totale Schikane. Wir wollen das nicht. Rufen Sie mal bei Microsoft an.

Zu der praktischen Frage. Nur wenige Mitarbeiter haben ein Firmenhandy.
Nun benötigt man für Teams und Onedrive früher oder später 2FA zwangsweise was ich auch gut finde.

Nun gibt es Mitarbeiter die keine App auf ihrem Handy installieren wollen und für die auch SMS-TAN unzumutbar ist.

Was nun?
Es gibt ja noch Hardware-TOTP wie z.B. Reiner SCT Authenticator.
Aber ich sehe die schon im Home-Office ohne PIN oder mit PIN auf einem Aufkleber neben dem Home-Office-PC liegen.
Ja, es hilft gegen Hacker aus Überseh, aber nicht gegen die gelangweite Hacker-Tochter oder den Nachbarn der Blumen gießen will.

Wie handhabt Ihr das bei Euch in der Firma oder beim Kunden?

Stefan

Update: Ich stelle gerade fest, dass man Microsoft TOTP nicht mehr auswählen kann. Nur noch SMS und Microsoft Authenticator.

Content-ID: 71286354383

Url: https://administrator.de/forum/2fa-und-private-endgeraete-bei-microsoft-365-und-anderen-71286354383.html

Ausgedruckt am: 27.12.2024 um 04:12 Uhr

ni.sch
ni.sch 07.02.2024 aktualisiert um 14:36:50 Uhr
Goto Top
Die meisten 365-Kunden werden kurzfristig vor diesem Problem stehen.
Wenn Geld für die Reiners :D da ist, würde ich eigtl. einen Dongle favorisieren.

z.B. diese Hier: https://www.nitrokey.com/de/produkte/nitrokeys

Der kann auch vom Nachbarn rumliegend begutachtet werden :D ohne die einzugebende Entsperrpin bringt es nichts. Wenn die natürlich mit rum liegt und die Hackertochter dann beides entwenden kann .......


Update: Ich stelle gerade fest, dass man Microsoft TOTP nicht mehr auswählen kann. Nur noch SMS und Microsoft Authenticator.

Doch, du musst nur Im Entra-ID-Admincenter unter Schutz -> Authentifizierungsmethoden die anderen wieder freischalten.
Da dann z.B. die FIDO2-Sicherheitsschlüssel.
Heididliho
Heididliho 07.02.2024 um 14:37:04 Uhr
Goto Top
hab da super erfahrungen mit den yubikeys.
sowohl für 2FA 365 als auch 2FA VPN.
StefanKittel
StefanKittel 07.02.2024 um 14:59:43 Uhr
Goto Top
Das ist weniger ein technisches Problem als ein Soziales.
Die Leute passen halt viel mehr auf ihr Handy auf als einen komischen Firmen-Token.

Ich würde ja gerne für bestimmte Anmeldung Biometrie erzwingen.
Ohne Backup mit PIN oder Kennwort. Aber das mag Windows Hello halt nicht.

Das mit TOTP prüfe ich gleich mal.

Stefan
Looser27
Looser27 07.02.2024 aktualisiert um 15:43:06 Uhr
Goto Top
+1 für Yubikey

Damit können auch weniger versierte MAs umgehen. Setzen wir aktuell für M365 ein.
Lochkartenstanzer
Lochkartenstanzer 07.02.2024 aktualisiert um 15:52:43 Uhr
Goto Top
Moin,

Firmenhandies ausgeben. face-smile die müssen ja keine SIM haben für den authenticator. face-smile

Oder o365 kündigen.

lks

PS: ich empfinde den Zwang auch als Schikane. Diejenigen, die damit umzugehen wissen, kommen auch ohne 2FA aus und bei denjenigen, die damit nicht umgehen können, hilft 2FA auch nicht.
Biowulff
Biowulff 07.02.2024 um 16:40:52 Uhr
Goto Top
Hallo Zusammen,

ich werfe hier mal Win Auth in die Runde. Gibt es hier: https://winauth.github.io/winauth/download.html

Zuerst muss einmal die zwangs MFA mit Handy gemacht werden. (Kann später wieder gelöscht werden) und danach kann man das mit Win Auth machen. Software läuft auf dem PC und kann auch Autostart usw.

Finde ich persönlich eine gute Sache.

mfg
Biowulff
Dani
Dani 07.02.2024 um 22:00:33 Uhr
Goto Top
Moin,
Er: Das ist totale Schikane. Wir wollen das nicht. Rufen Sie mal bei Microsoft an.
Haha.... bist du schon durch gekommen oder hängst noch in der Warteschleife? face-big-smile

Wie handhabt Ihr das bei Euch in der Firma oder beim Kunden?
Unternehmen. Wir haben für M365 Yubikeys ausgegeben. Es gibt keine App auf dem Smartphones.

Die Leute passen halt viel mehr auf ihr Handy auf als einen komischen Firmen-Token.
Da helfen Sanktionen... wie bei Notebooks, TFTs, Smartphones, etc. eben auch. Da muss man leider ein paar Durchgreifen bis es sich rumspricht und danach passen alle auf. Traurig aber wahr...


Gruß,
Dani