16
Azure verlangt MFA
Moin,
ich beobachte seit heute (das kann aber auch schon länger so sein), dass Benutzer beim Einrichten ihres MS-Online-Kontos unter Win10 ohne MFA nicht weiterkommen. Obwohl das weder im Azure allgemein, noch am Benutzer selbst eingestellt ist. Dieser Benutzer ist ein On-Premise AD-Konto, welches ins Azure synchronisiert wird, und es hat auch keinerlei administrativen Rollen inne.
Habe ich etwas verpasst?
Im Azure unter
Wo muss ich noch schauen?
E.
ich beobachte seit heute (das kann aber auch schon länger so sein), dass Benutzer beim Einrichten ihres MS-Online-Kontos unter Win10 ohne MFA nicht weiterkommen. Obwohl das weder im Azure allgemein, noch am Benutzer selbst eingestellt ist. Dieser Benutzer ist ein On-Premise AD-Konto, welches ins Azure synchronisiert wird, und es hat auch keinerlei administrativen Rollen inne.
Habe ich etwas verpasst?
Get-MsolUser
liefert mirStrongAuthenticationMethods : {}
Im Azure unter
Azure Active Directory --> Eigenschaften --> Sicherheitsstandards verwalten --> Sicherheitsstandards aktivieren
ist "Nein" eingestellt.Wo muss ich noch schauen?
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4344831533
Url: https://administrator.de/contentid/4344831533
Printed on: April 23, 2024 at 18:04 o'clock
16 Comments
Latest comment
Ist das nicht genau der Mindest-Standard (modern auth), welcher seit 1. Oktober über alle Tenants ausgerollt wird und was vor Monaten angekündigt wurde?!
Oder verstehe ich die Frage falsch?
Oder verstehe ich die Frage falsch?
Doch, Du verstehst richtig.
Aber dann müsste doch der Punkt "Sicherheitsstandards aktivieren" auf "Ja" stehen und nicht geändert werden können?
Aber dann müsste doch der Punkt "Sicherheitsstandards aktivieren" auf "Ja" stehen und nicht geändert werden können?
Hm, ich habe die ja - zumindest für die Admin-Accounts - bei allen Tenants schon vorher aktiviert und das habe ich über
Admin > Azure Active Directory > Benutzer > MFA pro Benutzer (oben in der Zeile, ggf. 3 Punkte)
vollzogen. Auf dem Weg ließ sich das (zumindest vor 4 Wochen) auch wieder deaktivieren.
Admin > Azure Active Directory > Benutzer > MFA pro Benutzer (oben in der Zeile, ggf. 3 Punkte)
vollzogen. Auf dem Weg ließ sich das (zumindest vor 4 Wochen) auch wieder deaktivieren.
Azure Admins haben bei uns jetzt schon MFA Zwang.
MFA pro Benutzer
Da ist es deaktiviert.
Der MFA-Zwang kommt aber nur, wenn man das als Online-Konto im Benutzerprofil hinterlegen will. Also wenn man über
Wenn man sich "nur bei dieser Anwendung" anmeldet oder über WebBrowser bei z.B. Teams Web Portal, dann kommt kein MFA.
Muss ich das verstehen?
Einstellungen --> Konten
geht oder wenn man sich am z.B. Teams oder OneDrive anmelden will und dabei nicht auswählt "nur bei dieser Anwendung".Wenn man sich "nur bei dieser Anwendung" anmeldet oder über WebBrowser bei z.B. Teams Web Portal, dann kommt kein MFA.
Muss ich das verstehen?
Hört sich fast wie nen Bug an 
Aber ich kann Dir da leider nicht weiterhelfen. Aber da müsste es ja hier auch noch erfahrenere 365-Kunden geben?!
Aber ich kann Dir da leider nicht weiterhelfen. Aber da müsste es ja hier auch noch erfahrenere 365-Kunden geben?!
Grüezi zusammen
Ich muss mich kurz einmischen. Ausgerollt wird Modern Authentication, das stimmt. Das hat aber in erster Linie nur indirekt mit MFA zu tun. Das habe ich über relativ viele Ecken nachgeprüft. ;) Bisher empfiehlt Microsoft nur ständig MFA und man kann es eigentlich immer umgehen.
Gruss
Christof
Ich muss mich kurz einmischen. Ausgerollt wird Modern Authentication, das stimmt. Das hat aber in erster Linie nur indirekt mit MFA zu tun. Das habe ich über relativ viele Ecken nachgeprüft. ;) Bisher empfiehlt Microsoft nur ständig MFA und man kann es eigentlich immer umgehen.
Gruss
Christof
Schön, dass das mal jemand auseinanderdröselt. Ich bin zwar auch schon drüber gestolpert habe das aber nicht wirklich hinterfragt
Hi,
mir ist bei unserem Tennant aufgefallen, dass MS in den nächsten 14 Tagen auf MFA umstellen will, ohne das wir was eingestellt haben.
Man muss dann einen Code den MS an das Telefon / Handy schickt eingeben.
Geht evtl. in eine Ähnliche Richtung?
Einen Sync vom AD zum AAD haben wir nicht.
Gruß
mir ist bei unserem Tennant aufgefallen, dass MS in den nächsten 14 Tagen auf MFA umstellen will, ohne das wir was eingestellt haben.
Man muss dann einen Code den MS an das Telefon / Handy schickt eingeben.
Geht evtl. in eine Ähnliche Richtung?
Einen Sync vom AD zum AAD haben wir nicht.
Gruß
Es gibt noch zwei Punkte, an denen man hier ein Verhalten forcieren kann, und wo Microsoft ggf. bei fehlenden Richtlinien im Tenant automatisch eine erstellt. Zum einen bei bedingter Zugriff, was eigentlich immer aktiv ist, wenn die Standardrichtlinien deaktiviert sind.
Zum anderen gibt es die MFA Registrierungskampagne, wo per Default für Microsoft Authenticator alle User eingeschlossen sind, sofern du nicht bei eingeschlossene Benutzer und Gruppen einen Dummy User hinterlegst.
Dort kann man auch MFA deaktivieren, in jedem Fall müssen aber die Dienst User für Azure AD Sync ausgeschlossen sein.
Zum anderen gibt es die MFA Registrierungskampagne, wo per Default für Microsoft Authenticator alle User eingeschlossen sind, sofern du nicht bei eingeschlossene Benutzer und Gruppen einen Dummy User hinterlegst.
Dort kann man auch MFA deaktivieren, in jedem Fall müssen aber die Dienst User für Azure AD Sync ausgeschlossen sein.
@killtec
Modern Auth
https://www.computer.org/publications/tech-news/trends/what-is-modern-au ...
MFA
https://www.onelogin.com/learn/what-is-mfa
Hilft aber jetzt dem TE kaum weiter. Jetzt weiß er nur, dass er eigentlich MFA/2FA deaktivieren muss. Das war aber auch seine Ausgangslage
Modern Auth
https://www.computer.org/publications/tech-news/trends/what-is-modern-au ...
MFA
https://www.onelogin.com/learn/what-is-mfa
Hilft aber jetzt dem TE kaum weiter. Jetzt weiß er nur, dass er eigentlich MFA/2FA deaktivieren muss. Das war aber auch seine Ausgangslage
Also mit Modern Auth hat das nichts zu tun.
Normalerweise müsste die MFA auch kommen wenn du dich in Teams in der App selber anmeldest.
Besteht eine Azure AD Synchronisation zwischen Onprem und Cloud Azure AD ?
Eventuell kommt deswegen die Abfrage nicht ?
Normalerweise müsste die MFA auch kommen wenn du dich in Teams in der App selber anmeldest.
Besteht eine Azure AD Synchronisation zwischen Onprem und Cloud Azure AD ?
Eventuell kommt deswegen die Abfrage nicht ?
Zitat von @rzlbrnft:
Danke. Das klingt vielversprechend.Ich kann das erst morgen weiter testen.
Ich kann das erst morgen weiter testen.
Und ggfs. im Hinterkopf haben, dass solche Umstellungen eine Weile benötigen, bis sie umgesetzt werden.
@rzlbrnft
Nee, leider nicht. Die Registrierungskampagne ist es offensichtlich nicht. Ich habe das gestern alles deaktiviert, zusätzlich noch eine Dummy-Gruppe eingetragen. Es ändert sich nichts.
Nee, leider nicht. Die Registrierungskampagne ist es offensichtlich nicht. Ich habe das gestern alles deaktiviert, zusätzlich noch eine Dummy-Gruppe eingetragen. Es ändert sich nichts.
Wir haben es jetzt gefunden.
Die Tatsache, dass das MFA nicht bei reinen Browser-Sitzungen kam, hat uns dan auf die richtige Fährte gebracht.
Das MFA rührte hier von der Registrierung des Computers mit dem Benutzerkonto her. Das erfolgt, wenn man sich "bei allen App" anmelden will, sprich, das Konto im Benutzerprofil hinterlegt.
"Require Multi-Factor Authentication to register or join devices with Azure AD"
Die Tatsache, dass das MFA nicht bei reinen Browser-Sitzungen kam, hat uns dan auf die richtige Fährte gebracht.
Das MFA rührte hier von der Registrierung des Computers mit dem Benutzerkonto her. Das erfolgt, wenn man sich "bei allen App" anmelden will, sprich, das Konto im Benutzerprofil hinterlegt.
"Require Multi-Factor Authentication to register or join devices with Azure AD"
1
