emeriks
Goto Top

Azure - Benutzer kann nicht für MFA mit dem MS Authenticator eingerichtet werden

Hi,
wir haben bei uns im Azure Tenant ein nicht mit dem AD synchronisiertes Konto (cloud only), welches die Rolle "Teams Administrator" zugewiesen hat.
Dieses Konto wurde damals bei erster Anmeldung im Browser am Teams Admin Center für den Authenticator beim Anwender auf dem Smartphone erfolgreich eingerichtet. MFA hat funktioniert.
Seit heute Morgen funktionierte das MFA nicht mehr.

Wir haben schon alles durch.
  • Das Konto in der App gelöscht. --> Man kann es nicht neu hinzufügen. --> Fehler
  • Die App neu installiert. Man kann anschließen das Konto nicht hinzufügen. --> Fehler
  • Am Konto im Azure "Require re-register multifactor authentication" geklickt.
  • Am Konto im Azure "Revoke multifactor authentication session" geklickt.
  • Das Passwort des Konto zurückgesetzt.

Wenn man das Konto im Browser anmelden will, dann kommt, dass es für die Authenticator App eingerichtet werden muss. Wenn man dann den QR-Code scannt oder auch den Code und die URL manuell eingibt, dann kommt in der App:
Konto kann nicht hinzugefügt werden.
Wir konnten das Konto nicht hinzufügen. Stellen Sie sicher, dass der Aktivierungscode korrekt ist und dass Pushbenachrichtigungen für diese App auf Ihrem Gerät aktiviert sind.

Wir haben mehrere Smartphones ausprobiert. 2x Android, 1x iOS. Immer das gleiche.

Ein im Azure neu erstelltes Konto kann man sofort auf diesen selben Smartphones über QR-Code hinzufügen. Und dann auch Anmeldungen freigeben. D.h. an den Pushbenachrichtigungen kann es nicht liegen.

Irgendwas muss an diesem alten Konto "defekt" sein. Ich habe keinen blassen Schimmer, wo ich jetzt noch ansetzen könnte. Außer das Konto löschen und neu erstellen natürlich. Aber das kann es ja nicht sein. Hier ist es "nur" ein Admin, welches sonst nicht im M365 arbeitet. Was ist, wenn uns das mal mit einem "normalen" Konto (Nicht-Admin) passiert? Da hängen dann schließlich Daten dran.

E.

Content-ID: 5800075510

Url: https://administrator.de/contentid/5800075510

Ausgedruckt am: 18.12.2024 um 18:12 Uhr

emeriks
emeriks 02.02.2023 um 17:02:07 Uhr
Goto Top
Es kommt noch besser:
Ich habe jetzt bei Anmeldung am Browser ausgewählt, dass ich eine andere Authenticator App verwenden will.
Dann trotzdem mit der App von Microsoft den QR-Code gescannt. Damit konnte ich dann zwar das Konto hinzufügen, jedoch funktionieren die von der App erzeugten Codes nicht.
Der von Ihnen eingegebene Code ist falsch. Geben Sie einen anderen Code ein, und versuchen Sie es noch mal.

Zum Verrecken nicht ...
emeriks
emeriks 02.02.2023 um 17:06:02 Uhr
Goto Top
Auch der Google Authenticator funktioniert damit nicht. Da kommt auch: Code falsch
lcer00
lcer00 02.02.2023 um 17:35:46 Uhr
Goto Top
Hallo,

laut https://learn.microsoft.com/en-us/microsoftteams/identify-models-authent ... benötigt der Benutzer eine passende Lizenz, damit MFA funktioniert.
MFA is supported with any Microsoft 365 or Office 365 plan that includes Microsoft Teams. It is highly recommended that at a minimum you require MFA for that accounts that are assigned administrator roles, such as Teams service admin.
Passt das?

Grüße

lcer
Cloudrakete
Cloudrakete 02.02.2023 um 18:38:08 Uhr
Goto Top
Moin,

siehe

2023-02-02_18h33_42

An den Lizenzen sollte es nicht liegen, da an der Stelle wo sich emeriks befindet, es noch gar keine Rolle spielt, ob und welche Adminrollen der User zugewiesen hat.

Wenn nichts hilft, MS Ticket via Azure Portal öffnen, oder ggf. via eurem CSP.
Solltet ihr Azure AD P2 Lizenzen haben, empfehle ich euch PIM zu nutzen, da muss man gar nicht mehr mit irgendwelchen Admin Accounts hantieren face-smile
lcer00
lcer00 02.02.2023 um 22:39:10 Uhr
Goto Top
Hallo,
Zitat von @Cloudrakete:

Moin,

siehe

An den Lizenzen sollte es nicht liegen, da an der Stelle wo sich emeriks befindet, es noch gar keine Rolle spielt, ob und welche Adminrollen der User zugewiesen hat.
nur wenn die Sicherheitsstandarts verwendet werden. deaktiviert man die, um individuelle Einstellungen umzusetzen, braucht es auch nach der Tabelle eine Lizenz.

Grüße

lcer
emeriks
emeriks 03.02.2023 um 11:08:57 Uhr
Goto Top
Also an der Lizenz kann es nicht liegen. Wir haben hier noch andere Admin-Konten, welche ebenfalls keine Lizenz zugeordnet haben aber bei denen das MFA mit der Authenticator App funktioniert.
emeriks
emeriks 03.02.2023 um 11:10:01 Uhr
Goto Top
Wir haben kein P2, also kein PIM.
E3/P1