6
M365 MFA ohne Anbindung an lokales AD
Guten Morgen,
wir stehen vor einer Herausforderung, für die ich noch keine Lösung habe:
Wir betreiben einen M365 Tenant ohne Anbindung an ein lokales AD (Standalone). Das ist auch so gewollt und nicht änderbar.
Jetzt sind wir angehalten die Accounts mit MFA auszustatten. Wir bieten die Optionen Yubikey und MS Authenticator App an.
Die Einrichtung auf den Clients beider Optionen funktioniert auch problemlos.
Jedoch ergibt sich im Microsoft Account der User folgendes Bild:
Aus dieser Konfiguration ergibt sich, dass er MFA nur verwendet, wenn die erste Option nicht zur Verfügung steht.
In den MFA-Einstellungen des Tenants stehen die Accounts auf "MFA erzwungen", jedoch ändert das nichts.
Gibt es hier noch weitere Einstellmöglichkeiten, die ich einfach nicht gesehen habe, die die MFA an erste Stelle setzen?
Mit den aktuellen Einstellungen können die User, nachdem sie sich einmalig mit der MFA angemeldet haben, alle M365 Apps ohne weitere MFA nutzen (auch nach einem Neustart des Notebooks).
Gruß
Looser
wir stehen vor einer Herausforderung, für die ich noch keine Lösung habe:
Wir betreiben einen M365 Tenant ohne Anbindung an ein lokales AD (Standalone). Das ist auch so gewollt und nicht änderbar.
Jetzt sind wir angehalten die Accounts mit MFA auszustatten. Wir bieten die Optionen Yubikey und MS Authenticator App an.
Die Einrichtung auf den Clients beider Optionen funktioniert auch problemlos.
Jedoch ergibt sich im Microsoft Account der User folgendes Bild:
Aus dieser Konfiguration ergibt sich, dass er MFA nur verwendet, wenn die erste Option nicht zur Verfügung steht.
In den MFA-Einstellungen des Tenants stehen die Accounts auf "MFA erzwungen", jedoch ändert das nichts.
Gibt es hier noch weitere Einstellmöglichkeiten, die ich einfach nicht gesehen habe, die die MFA an erste Stelle setzen?
Mit den aktuellen Einstellungen können die User, nachdem sie sich einmalig mit der MFA angemeldet haben, alle M365 Apps ohne weitere MFA nutzen (auch nach einem Neustart des Notebooks).
Gruß
Looser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21738742904
Url: https://administrator.de/contentid/21738742904
Printed on: April 27, 2024 at 07:04 o'clock
6 Comments
Latest comment
Schau mal unter Conditional Access nach da kannst du festlegen wer wann MFA nutzen muss und wann nicht.
Bei uns ist es z.B. so das wenn die User sich in der Firma anmelden dann brauchen Sie kein MFA aber wenn Sie sich von einem Mobil Telefon ( Egal ob Firmenwlan oder nicht ) dann wird IMMER MFA Verlangt......
Benötigt aber den Azure AD / Entra ID Plan 1 soweit ich weiß
Bei uns ist es z.B. so das wenn die User sich in der Firma anmelden dann brauchen Sie kein MFA aber wenn Sie sich von einem Mobil Telefon ( Egal ob Firmenwlan oder nicht ) dann wird IMMER MFA Verlangt......
Benötigt aber den Azure AD / Entra ID Plan 1 soweit ich weiß
Es gibt zwei Möglichkeiten, entweder man nutzt den beschriebenen bedingten Zugriff, oder man aktiviert die Sicherheitsstandards, die bestimmte Richtlinien unveränderlich festlegen und nix kosten.
https://learn.microsoft.com/de-de/entra/identity/conditional-access/over ...
https://learn.microsoft.com/de-de/entra/fundamentals/security-defaults
Für die Aktivierung des bedingten Zugriffs reicht dir ein Admin Konto, das mit Entra ID ausgestattet ist, du brauchst also mindestens eine Lizenz. Oder du hast M365 Premium, da ist es dabei.
Ob es lizenzrechtlich in Ordnung ist, das auch User ohne Lizenz von Conditional Access betroffen sind, ist nicht so eindeutig, aber bisher hat sich bei uns auch noch keiner darüber beschwert, das nicht alle eine Entra ID haben.
https://learn.microsoft.com/de-de/entra/identity/conditional-access/over ...
https://learn.microsoft.com/de-de/entra/fundamentals/security-defaults
Für die Aktivierung des bedingten Zugriffs reicht dir ein Admin Konto, das mit Entra ID ausgestattet ist, du brauchst also mindestens eine Lizenz. Oder du hast M365 Premium, da ist es dabei.
Ob es lizenzrechtlich in Ordnung ist, das auch User ohne Lizenz von Conditional Access betroffen sind, ist nicht so eindeutig, aber bisher hat sich bei uns auch noch keiner darüber beschwert, das nicht alle eine Entra ID haben.
Ich habe in einem der Artikel folgende Info gefunden:
"„Eine gängige Methode zur Verbesserung des Schutzes für alle Benutzer besteht in einer strengeren Kontoüberprüfung, beispielsweise durch eine mehrstufige Authentifizierung (MFA). Nachdem die Benutzer die Registrierung abgeschlossen haben, werden sie bei Bedarf zu einer weiteren Authentifizierung aufgefordert. Microsoft entscheidet basierend auf Faktoren wie Standort, Gerät, Rolle und Aufgabe, wann ein Benutzer zur Multifaktor-Authentifizierung aufgefordert wird. Diese Funktion schützt alle registrierten Anwendungen, einschließlich SaaS-Anwendungen.“
Quelle: Microsoft
Das erklärt, warum er nicht bei jeder Anmeldung die MFA bemüht.
"„Eine gängige Methode zur Verbesserung des Schutzes für alle Benutzer besteht in einer strengeren Kontoüberprüfung, beispielsweise durch eine mehrstufige Authentifizierung (MFA). Nachdem die Benutzer die Registrierung abgeschlossen haben, werden sie bei Bedarf zu einer weiteren Authentifizierung aufgefordert. Microsoft entscheidet basierend auf Faktoren wie Standort, Gerät, Rolle und Aufgabe, wann ein Benutzer zur Multifaktor-Authentifizierung aufgefordert wird. Diese Funktion schützt alle registrierten Anwendungen, einschließlich SaaS-Anwendungen.“
Quelle: Microsoft
Das erklärt, warum er nicht bei jeder Anmeldung die MFA bemüht.
Es gibt da auch Vorlagen, da steht dann schon alles drin, was du brauchst.
Danke, aber die Vorlagen sind nur mit Entra Premium nutzbar.
Wenn du das nicht kaufen willst, kannst du unter https://entra.microsoft.com/ unter Identität>Übersicht>Eigenschaften ganz unten auf der Seite die Sicherheitsstandards aktivieren, die kosten nichts extra.
Dadurch sind MFA bei allen aktiv.
Die 5,60 wären es mir aber wert. Haben bei uns wie gesagt nur die Admins.
Dadurch sind MFA bei allen aktiv.
Die 5,60 wären es mir aber wert. Haben bei uns wie gesagt nur die Admins.