M365 MFA bei Multiusergeräten
Hallo,
wir haben die Anforderung MFA zu aktivieren.
Das ist praktisch erledigt, es gibt allerdings noch Accounts, die von mehreren Personen genutzt werden. Wie geht man mit sowas um? Ausnahmegruppe und die Aktivierung trotzdem als erledigt definieren?
Notfalladmins sind ausgenommen.
Danke
wir haben die Anforderung MFA zu aktivieren.
Das ist praktisch erledigt, es gibt allerdings noch Accounts, die von mehreren Personen genutzt werden. Wie geht man mit sowas um? Ausnahmegruppe und die Aktivierung trotzdem als erledigt definieren?
Notfalladmins sind ausgenommen.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23070298843
Url: https://administrator.de/contentid/23070298843
Ausgedruckt am: 23.11.2024 um 16:11 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @Marabunta:
wir haben die Anforderung MFA zu aktivieren.
Das ist praktisch erledigt, es gibt allerdings noch Accounts, die von mehreren Personen genutzt werden. Wie geht man mit sowas um?
Das ist praktisch erledigt, es gibt allerdings noch Accounts, die von mehreren Personen genutzt werden. Wie geht man mit sowas um?
Ein solches Szenario darf es doch gar nicht geben
Du kannst z.B. einen Yubikey benutzen, der dann zwischen den Mitarbeitern weitergegeben wird, oder falls du eine externe Telefonielösung hast, und neben dem Computer ein Telefon stehen hast, ginge das natürlich auch.
Du schaffst dir da halt eine Sicherheitslücke, das sollte nur mit Accounts gemacht werden, die kaum Rechte haben, und die Passwörter sollten da auch regelmäßig erneuert werden, jeder ausgeschiedene Mitarbeiter, der damit gearbeitet hat, ist ein Risiko.
Du solltest also wissen, wann die Nutzer ausscheiden und in deinen Offboarding Prozess das Rücksetzen der Shared Passwörter mit aufnehmen.
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Du schaffst dir da halt eine Sicherheitslücke, das sollte nur mit Accounts gemacht werden, die kaum Rechte haben, und die Passwörter sollten da auch regelmäßig erneuert werden, jeder ausgeschiedene Mitarbeiter, der damit gearbeitet hat, ist ein Risiko.
Du solltest also wissen, wann die Nutzer ausscheiden und in deinen Offboarding Prozess das Rücksetzen der Shared Passwörter mit aufnehmen.
Zitat von @DerMaddin:
Wer sagt es, dass das nicht geben darf? Shared-Computer-Accounts im Produktionsumfeld ist nichts neues oder unbekanntes.
Wer sagt es, dass das nicht geben darf? Shared-Computer-Accounts im Produktionsumfeld ist nichts neues oder unbekanntes.
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Zitat von @rzlbrnft:
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Das stimmt nur zur Hälfte. Geht auf euren EA-Partner zu und lasst bei Microsoft sogenannte "Shared Profile" Lizenzen anfragen. Wenn Microsoft zustimmt bekommt ihr das über ein Supplemental zum EA bestätigt. Kosten minimal mehr als die personenbezogenen Lizenzen, es dürfen dann aber pro User 40 Menschen aus Fleisch und Blut an den Usern arbeiten.
Andere "geduldete" Alternative wäre folgende: Wenn du z.B. M365 F3 an den geteilten Arbeitsplätzen im Einsatz hast und nachweisen kannst, dass jeder Mensch aus Fleisch und Blut der da dran geht auch mindestens eine gleichwertige Lizenz hat (also auch ne M365 F3 oder gar E3 oder höher), dann wird Microsoft das bei einer Prüfung dulden.
Wir haben über 300 Shared Profile Lizenzen für die Produktion und da gibt es gar keine Probleme.
Empfehlung wäre per Conditional Access die User auf das Firmennetz einzuschränken. Du wirst nämlich sonst feststellen, dass einzelne Personen diese User auch auf dem privaten Handy nutzen um auf SharePoint, Teams usw. zuzugreifen. Das wird spätestens zum Problem wenn der User das Unternehmen verlässt.
Was die MFA Geschichte angeht hätte ich die Shared Profile Lizenzen besorgt, die User jeweils mit eigenen komplexen Kennwörtern versorgt und den Rechnern ein Autologon damit eingerichtet. Dann noch das Conditional Access, dass die Konten nie außerhalb der Firma einloggen können. Damit hast du das Kennwort für die User unkenntlich gemacht (nicht ganz secure weil in der Registry, aber wenigstens auf die Firma gebunden) und für alle anderen Konten muss MFA her.
Zitat von @Geolevel:
Das stimmt nur zur Hälfte. Geht auf euren EA-Partner zu und lasst bei Microsoft sogenannte "Shared Profile" Lizenzen anfragen. Wenn Microsoft zustimmt bekommt ihr das über ein Supplemental zum EA bestätigt. Kosten minimal mehr als die personenbezogenen Lizenzen, es dürfen dann aber pro User 40 Menschen aus Fleisch und Blut an den Usern arbeiten.
Zitat von @rzlbrnft:
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Das stimmt nur zur Hälfte. Geht auf euren EA-Partner zu und lasst bei Microsoft sogenannte "Shared Profile" Lizenzen anfragen. Wenn Microsoft zustimmt bekommt ihr das über ein Supplemental zum EA bestätigt. Kosten minimal mehr als die personenbezogenen Lizenzen, es dürfen dann aber pro User 40 Menschen aus Fleisch und Blut an den Usern arbeiten.
Hast du da einen Link für eine Beschreibung? Bei Google findet man dazu leider gar nichts.
Bisher kenn ich nur Intune, für das unser Anbieter eine Device Lizenz anbietet, Office ist dann halt als Volume Vollversion drauf.
Andere "geduldete" Alternative wäre folgende: Wenn du z.B. M365 F3 an den geteilten Arbeitsplätzen im Einsatz hast und nachweisen kannst, dass jeder Mensch aus Fleisch und Blut der da dran geht auch mindestens eine gleichwertige Lizenz hat (also auch ne M365 F3 oder gar E3 oder höher), dann wird Microsoft das bei einer Prüfung dulden.
Gut, aber dadurch spart man sich halt nix, weswegen die meisten das ja eben machen wollen.
Was noch möglich wäre ist Windows Hello als zweiter Faktor, wenn Single Sign on eingerichtet ist und das Gerät in Azure enrolled ist.
Das ist dann halt auf den PC beschränkt, auf dem der Hello PIN eingerichtet ist. Dazu braucht man auch nur Intune Device (ca. 2-3€) bzw. eine der Lizenzen, die Intune beinhaltet.
Zitat von @rzlbrnft:
Hast du da einen Link für eine Beschreibung? Bei Google findet man dazu leider gar nichts.
Bisher kenn ich nur Intune, für das unser Anbieter eine Device Lizenz anbietet, Office ist dann halt als Volume Vollversion drauf.
Zitat von @Geolevel:
Das stimmt nur zur Hälfte. Geht auf euren EA-Partner zu und lasst bei Microsoft sogenannte "Shared Profile" Lizenzen anfragen. Wenn Microsoft zustimmt bekommt ihr das über ein Supplemental zum EA bestätigt. Kosten minimal mehr als die personenbezogenen Lizenzen, es dürfen dann aber pro User 40 Menschen aus Fleisch und Blut an den Usern arbeiten.
Zitat von @rzlbrnft:
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Das stimmt nur zur Hälfte. Geht auf euren EA-Partner zu und lasst bei Microsoft sogenannte "Shared Profile" Lizenzen anfragen. Wenn Microsoft zustimmt bekommt ihr das über ein Supplemental zum EA bestätigt. Kosten minimal mehr als die personenbezogenen Lizenzen, es dürfen dann aber pro User 40 Menschen aus Fleisch und Blut an den Usern arbeiten.
Hast du da einen Link für eine Beschreibung? Bei Google findet man dazu leider gar nichts.
Bisher kenn ich nur Intune, für das unser Anbieter eine Device Lizenz anbietet, Office ist dann halt als Volume Vollversion drauf.
Ich hab eben mal ins Dokument geschaut und hab nach den einschlägigen Begriffen und Kürzeln darauf gegoogelt. Ich konnte im Internet leider kein Beispiel für dieses Amendment finden. Ich befürchte also, dass es so geheim ist, dass ich hier nicht riskieren will dass wir uns Probleme einhandeln.
Unser Lizenzpartner (haben einen EA Vertrag und einen CSP Partner) kannte diese Art der Sondervereinbarung jedoch und konnte uns ohne Probleme bei der Sondervereinbarung helfen. Bei einem EA renewal war es auch gar kein Problem die Anzahl der Lizenzen über diese Vereinbarung zu erhöhen.
Tut mir leid, hab schon einen Screenshot gemacht und fast alles unkenntlich gemacht. Aber das ist eventuell auch schon zu viel. Zwei Sätze daraus hab ich ja bereits gesagt:
- ...use the same logon credentials
- No more than forty (40) Firstline...
Andere "geduldete" Alternative wäre folgende: Wenn du z.B. M365 F3 an den geteilten Arbeitsplätzen im Einsatz hast und nachweisen kannst, dass jeder Mensch aus Fleisch und Blut der da dran geht auch mindestens eine gleichwertige Lizenz hat (also auch ne M365 F3 oder gar E3 oder höher), dann wird Microsoft das bei einer Prüfung dulden.
Gut, aber dadurch spart man sich halt nix, weswegen die meisten das ja eben machen wollen.