marabunta
Goto Top

M365 MFA bei Multiusergeräten

Hallo,

wir haben die Anforderung MFA zu aktivieren.
Das ist praktisch erledigt, es gibt allerdings noch Accounts, die von mehreren Personen genutzt werden. Wie geht man mit sowas um? Ausnahmegruppe und die Aktivierung trotzdem als erledigt definieren?
Notfalladmins sind ausgenommen.

Danke

Content-Key: 23070298843

Url: https://administrator.de/contentid/23070298843

Printed on: May 18, 2024 at 04:05 o'clock

Member: DerMaddin
DerMaddin Jan 08, 2024 at 09:23:23 (UTC)
Goto Top
MFA mit z.B. Google oder Microsoft Authenticator kann man auch für ein Konto auf mehreren Smartphones einrichten. Mittels Conditional Access Regeln kann man gut steuern wer was zu benutzen hat.
Member: mbehrens
mbehrens Jan 08, 2024 at 11:32:44 (UTC)
Goto Top
Zitat von @Marabunta:

wir haben die Anforderung MFA zu aktivieren.
Das ist praktisch erledigt, es gibt allerdings noch Accounts, die von mehreren Personen genutzt werden. Wie geht man mit sowas um?

Ein solches Szenario darf es doch gar nicht geben face-wink
Member: DerMaddin
DerMaddin Jan 08, 2024 at 11:38:46 (UTC)
Goto Top
Wer sagt es, dass das nicht geben darf? Shared-Computer-Accounts im Produktionsumfeld ist nichts neues oder unbekanntes.
Member: rzlbrnft
rzlbrnft Jan 08, 2024 updated at 16:09:44 (UTC)
Goto Top
Du kannst z.B. einen Yubikey benutzen, der dann zwischen den Mitarbeitern weitergegeben wird, oder falls du eine externe Telefonielösung hast, und neben dem Computer ein Telefon stehen hast, ginge das natürlich auch.

Du schaffst dir da halt eine Sicherheitslücke, das sollte nur mit Accounts gemacht werden, die kaum Rechte haben, und die Passwörter sollten da auch regelmäßig erneuert werden, jeder ausgeschiedene Mitarbeiter, der damit gearbeitet hat, ist ein Risiko.

Du solltest also wissen, wann die Nutzer ausscheiden und in deinen Offboarding Prozess das Rücksetzen der Shared Passwörter mit aufnehmen.

Zitat von @DerMaddin:
Wer sagt es, dass das nicht geben darf? Shared-Computer-Accounts im Produktionsumfeld ist nichts neues oder unbekanntes.

Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.
Member: Geolevel
Geolevel Jan 09, 2024 at 08:15:32 (UTC)
Goto Top
Zitat von @rzlbrnft:
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.

Das stimmt nur zur Hälfte. Geht auf euren EA-Partner zu und lasst bei Microsoft sogenannte "Shared Profile" Lizenzen anfragen. Wenn Microsoft zustimmt bekommt ihr das über ein Supplemental zum EA bestätigt. Kosten minimal mehr als die personenbezogenen Lizenzen, es dürfen dann aber pro User 40 Menschen aus Fleisch und Blut an den Usern arbeiten.

Andere "geduldete" Alternative wäre folgende: Wenn du z.B. M365 F3 an den geteilten Arbeitsplätzen im Einsatz hast und nachweisen kannst, dass jeder Mensch aus Fleisch und Blut der da dran geht auch mindestens eine gleichwertige Lizenz hat (also auch ne M365 F3 oder gar E3 oder höher), dann wird Microsoft das bei einer Prüfung dulden.

Wir haben über 300 Shared Profile Lizenzen für die Produktion und da gibt es gar keine Probleme.
Empfehlung wäre per Conditional Access die User auf das Firmennetz einzuschränken. Du wirst nämlich sonst feststellen, dass einzelne Personen diese User auch auf dem privaten Handy nutzen um auf SharePoint, Teams usw. zuzugreifen. Das wird spätestens zum Problem wenn der User das Unternehmen verlässt.

Was die MFA Geschichte angeht hätte ich die Shared Profile Lizenzen besorgt, die User jeweils mit eigenen komplexen Kennwörtern versorgt und den Rechnern ein Autologon damit eingerichtet. Dann noch das Conditional Access, dass die Konten nie außerhalb der Firma einloggen können. Damit hast du das Kennwort für die User unkenntlich gemacht (nicht ganz secure weil in der Registry, aber wenigstens auf die Firma gebunden) und für alle anderen Konten muss MFA her.
Member: rzlbrnft
rzlbrnft Jan 09, 2024 at 08:43:08 (UTC)
Goto Top
Zitat von @Geolevel:

Zitat von @rzlbrnft:
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.

Das stimmt nur zur Hälfte. Geht auf euren EA-Partner zu und lasst bei Microsoft sogenannte "Shared Profile" Lizenzen anfragen. Wenn Microsoft zustimmt bekommt ihr das über ein Supplemental zum EA bestätigt. Kosten minimal mehr als die personenbezogenen Lizenzen, es dürfen dann aber pro User 40 Menschen aus Fleisch und Blut an den Usern arbeiten.

Hast du da einen Link für eine Beschreibung? Bei Google findet man dazu leider gar nichts.
Bisher kenn ich nur Intune, für das unser Anbieter eine Device Lizenz anbietet, Office ist dann halt als Volume Vollversion drauf.

Andere "geduldete" Alternative wäre folgende: Wenn du z.B. M365 F3 an den geteilten Arbeitsplätzen im Einsatz hast und nachweisen kannst, dass jeder Mensch aus Fleisch und Blut der da dran geht auch mindestens eine gleichwertige Lizenz hat (also auch ne M365 F3 oder gar E3 oder höher), dann wird Microsoft das bei einer Prüfung dulden.

Gut, aber dadurch spart man sich halt nix, weswegen die meisten das ja eben machen wollen.

Was noch möglich wäre ist Windows Hello als zweiter Faktor, wenn Single Sign on eingerichtet ist und das Gerät in Azure enrolled ist.
Das ist dann halt auf den PC beschränkt, auf dem der Hello PIN eingerichtet ist. Dazu braucht man auch nur Intune Device (ca. 2-3€) bzw. eine der Lizenzen, die Intune beinhaltet.
Member: Geolevel
Geolevel Jan 09, 2024 at 13:47:14 (UTC)
Goto Top
Zitat von @rzlbrnft:

Zitat von @Geolevel:

Zitat von @rzlbrnft:
Laut Microsoft Eula ist für die Nutzung der Online Dienste für jede PERSON eine Lizenz erforderlich. Das ist also nicht ganz ohne. In der Regel merkt das zwar keiner, aber lizenzrechtlich in Ordnung ist es nicht.

Das stimmt nur zur Hälfte. Geht auf euren EA-Partner zu und lasst bei Microsoft sogenannte "Shared Profile" Lizenzen anfragen. Wenn Microsoft zustimmt bekommt ihr das über ein Supplemental zum EA bestätigt. Kosten minimal mehr als die personenbezogenen Lizenzen, es dürfen dann aber pro User 40 Menschen aus Fleisch und Blut an den Usern arbeiten.

Hast du da einen Link für eine Beschreibung? Bei Google findet man dazu leider gar nichts.
Bisher kenn ich nur Intune, für das unser Anbieter eine Device Lizenz anbietet, Office ist dann halt als Volume Vollversion drauf.

Ich hab eben mal ins Dokument geschaut und hab nach den einschlägigen Begriffen und Kürzeln darauf gegoogelt. Ich konnte im Internet leider kein Beispiel für dieses Amendment finden. Ich befürchte also, dass es so geheim ist, dass ich hier nicht riskieren will dass wir uns Probleme einhandeln.

Unser Lizenzpartner (haben einen EA Vertrag und einen CSP Partner) kannte diese Art der Sondervereinbarung jedoch und konnte uns ohne Probleme bei der Sondervereinbarung helfen. Bei einem EA renewal war es auch gar kein Problem die Anzahl der Lizenzen über diese Vereinbarung zu erhöhen.
Tut mir leid, hab schon einen Screenshot gemacht und fast alles unkenntlich gemacht. Aber das ist eventuell auch schon zu viel. Zwei Sätze daraus hab ich ja bereits gesagt:

  • ...use the same logon credentials
  • No more than forty (40) Firstline...


Andere "geduldete" Alternative wäre folgende: Wenn du z.B. M365 F3 an den geteilten Arbeitsplätzen im Einsatz hast und nachweisen kannst, dass jeder Mensch aus Fleisch und Blut der da dran geht auch mindestens eine gleichwertige Lizenz hat (also auch ne M365 F3 oder gar E3 oder höher), dann wird Microsoft das bei einer Prüfung dulden.

Gut, aber dadurch spart man sich halt nix, weswegen die meisten das ja eben machen wollen.
Für uns ist eine Erreichbarkeit aller User per Smartphone (MS Teams) und Zugriff für alle Mitarbeiter auf SharePoint wichtig. Der Datenschutzbeauftragte akzeptiert keine geschäftliche Kommunikation über WhatsApp. Mit MS haben wir einen Auftragsdatenverarbeitungsvertrag, sind also abgesichert. Also ist Teams die passende Lösung für alle zur Kommunikation. Eine M365 F3 kostet ja auch nicht die Welt und wir haben eine 4-stellige Anzahl davon.