7
2FA und private Endgeräte bei Microsoft 365 und anderen
Hallo,
ich führe gerade eine Diskussion mit einem Kunden.
Ich: Das ist total wichtig
Er: Das ist totale Schikane. Wir wollen das nicht. Rufen Sie mal bei Microsoft an.
Zu der praktischen Frage. Nur wenige Mitarbeiter haben ein Firmenhandy.
Nun benötigt man für Teams und Onedrive früher oder später 2FA zwangsweise was ich auch gut finde.
Nun gibt es Mitarbeiter die keine App auf ihrem Handy installieren wollen und für die auch SMS-TAN unzumutbar ist.
Was nun?
Es gibt ja noch Hardware-TOTP wie z.B. Reiner SCT Authenticator.
Aber ich sehe die schon im Home-Office ohne PIN oder mit PIN auf einem Aufkleber neben dem Home-Office-PC liegen.
Ja, es hilft gegen Hacker aus Überseh, aber nicht gegen die gelangweite Hacker-Tochter oder den Nachbarn der Blumen gießen will.
Wie handhabt Ihr das bei Euch in der Firma oder beim Kunden?
Stefan
Update: Ich stelle gerade fest, dass man Microsoft TOTP nicht mehr auswählen kann. Nur noch SMS und Microsoft Authenticator.
ich führe gerade eine Diskussion mit einem Kunden.
Ich: Das ist total wichtig
Er: Das ist totale Schikane. Wir wollen das nicht. Rufen Sie mal bei Microsoft an.
Zu der praktischen Frage. Nur wenige Mitarbeiter haben ein Firmenhandy.
Nun benötigt man für Teams und Onedrive früher oder später 2FA zwangsweise was ich auch gut finde.
Nun gibt es Mitarbeiter die keine App auf ihrem Handy installieren wollen und für die auch SMS-TAN unzumutbar ist.
Was nun?
Es gibt ja noch Hardware-TOTP wie z.B. Reiner SCT Authenticator.
Aber ich sehe die schon im Home-Office ohne PIN oder mit PIN auf einem Aufkleber neben dem Home-Office-PC liegen.
Ja, es hilft gegen Hacker aus Überseh, aber nicht gegen die gelangweite Hacker-Tochter oder den Nachbarn der Blumen gießen will.
Wie handhabt Ihr das bei Euch in der Firma oder beim Kunden?
Stefan
Update: Ich stelle gerade fest, dass man Microsoft TOTP nicht mehr auswählen kann. Nur noch SMS und Microsoft Authenticator.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71286354383
Url: https://administrator.de/contentid/71286354383
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
Die meisten 365-Kunden werden kurzfristig vor diesem Problem stehen.
Wenn Geld für die Reiners :D da ist, würde ich eigtl. einen Dongle favorisieren.
z.B. diese Hier: https://www.nitrokey.com/de/produkte/nitrokeys
Der kann auch vom Nachbarn rumliegend begutachtet werden :D ohne die einzugebende Entsperrpin bringt es nichts. Wenn die natürlich mit rum liegt und die Hackertochter dann beides entwenden kann .......
Doch, du musst nur Im Entra-ID-Admincenter unter Schutz -> Authentifizierungsmethoden die anderen wieder freischalten.
Da dann z.B. die FIDO2-Sicherheitsschlüssel.
Wenn Geld für die Reiners :D da ist, würde ich eigtl. einen Dongle favorisieren.
z.B. diese Hier: https://www.nitrokey.com/de/produkte/nitrokeys
Der kann auch vom Nachbarn rumliegend begutachtet werden :D ohne die einzugebende Entsperrpin bringt es nichts. Wenn die natürlich mit rum liegt und die Hackertochter dann beides entwenden kann .......
Update: Ich stelle gerade fest, dass man Microsoft TOTP nicht mehr auswählen kann. Nur noch SMS und Microsoft Authenticator.
Doch, du musst nur Im Entra-ID-Admincenter unter Schutz -> Authentifizierungsmethoden die anderen wieder freischalten.
Da dann z.B. die FIDO2-Sicherheitsschlüssel.
hab da super erfahrungen mit den yubikeys.
sowohl für 2FA 365 als auch 2FA VPN.
sowohl für 2FA 365 als auch 2FA VPN.
Das ist weniger ein technisches Problem als ein Soziales.
Die Leute passen halt viel mehr auf ihr Handy auf als einen komischen Firmen-Token.
Ich würde ja gerne für bestimmte Anmeldung Biometrie erzwingen.
Ohne Backup mit PIN oder Kennwort. Aber das mag Windows Hello halt nicht.
Das mit TOTP prüfe ich gleich mal.
Stefan
Die Leute passen halt viel mehr auf ihr Handy auf als einen komischen Firmen-Token.
Ich würde ja gerne für bestimmte Anmeldung Biometrie erzwingen.
Ohne Backup mit PIN oder Kennwort. Aber das mag Windows Hello halt nicht.
Das mit TOTP prüfe ich gleich mal.
Stefan
+1 für Yubikey
Damit können auch weniger versierte MAs umgehen. Setzen wir aktuell für M365 ein.
Damit können auch weniger versierte MAs umgehen. Setzen wir aktuell für M365 ein.
Moin,
Firmenhandies ausgeben.
die müssen ja keine SIM haben für den authenticator.
Oder o365 kündigen.
lks
PS: ich empfinde den Zwang auch als Schikane. Diejenigen, die damit umzugehen wissen, kommen auch ohne 2FA aus und bei denjenigen, die damit nicht umgehen können, hilft 2FA auch nicht.
Firmenhandies ausgeben.
die müssen ja keine SIM haben für den authenticator. Oder o365 kündigen.
lks
PS: ich empfinde den Zwang auch als Schikane. Diejenigen, die damit umzugehen wissen, kommen auch ohne 2FA aus und bei denjenigen, die damit nicht umgehen können, hilft 2FA auch nicht.
Hallo Zusammen,
ich werfe hier mal Win Auth in die Runde. Gibt es hier: https://winauth.github.io/winauth/download.html
Zuerst muss einmal die zwangs MFA mit Handy gemacht werden. (Kann später wieder gelöscht werden) und danach kann man das mit Win Auth machen. Software läuft auf dem PC und kann auch Autostart usw.
Finde ich persönlich eine gute Sache.
mfg
Biowulff
ich werfe hier mal Win Auth in die Runde. Gibt es hier: https://winauth.github.io/winauth/download.html
Zuerst muss einmal die zwangs MFA mit Handy gemacht werden. (Kann später wieder gelöscht werden) und danach kann man das mit Win Auth machen. Software läuft auf dem PC und kann auch Autostart usw.
Finde ich persönlich eine gute Sache.
mfg
Biowulff
Moin,
Gruß,
Dani
Er: Das ist totale Schikane. Wir wollen das nicht. Rufen Sie mal bei Microsoft an.
Haha.... bist du schon durch gekommen oder hängst noch in der Warteschleife? Wie handhabt Ihr das bei Euch in der Firma oder beim Kunden?
Unternehmen. Wir haben für M365 Yubikeys ausgegeben. Es gibt keine App auf dem Smartphones.Die Leute passen halt viel mehr auf ihr Handy auf als einen komischen Firmen-Token.
Da helfen Sanktionen... wie bei Notebooks, TFTs, Smartphones, etc. eben auch. Da muss man leider ein paar Durchgreifen bis es sich rumspricht und danach passen alle auf. Traurig aber wahr...Gruß,
Dani
