looser27
Goto Top

M365 MFA ohne Anbindung an lokales AD

Guten Morgen,

wir stehen vor einer Herausforderung, für die ich noch keine Lösung habe:

Wir betreiben einen M365 Tenant ohne Anbindung an ein lokales AD (Standalone). Das ist auch so gewollt und nicht änderbar.

Jetzt sind wir angehalten die Accounts mit MFA auszustatten. Wir bieten die Optionen Yubikey und MS Authenticator App an.

Die Einrichtung auf den Clients beider Optionen funktioniert auch problemlos.

Jedoch ergibt sich im Microsoft Account der User folgendes Bild:

mfa

Aus dieser Konfiguration ergibt sich, dass er MFA nur verwendet, wenn die erste Option nicht zur Verfügung steht.

In den MFA-Einstellungen des Tenants stehen die Accounts auf "MFA erzwungen", jedoch ändert das nichts.

Gibt es hier noch weitere Einstellmöglichkeiten, die ich einfach nicht gesehen habe, die die MFA an erste Stelle setzen?
Mit den aktuellen Einstellungen können die User, nachdem sie sich einmalig mit der MFA angemeldet haben, alle M365 Apps ohne weitere MFA nutzen (auch nach einem Neustart des Notebooks).

Gruß

Looser

Content-Key: 21738742904

Url: https://administrator.de/contentid/21738742904

Printed on: May 22, 2024 at 14:05 o'clock

Member: Mr-Gustav
Mr-Gustav Dec 08, 2023 at 07:47:45 (UTC)
Goto Top
Schau mal unter Conditional Access nach da kannst du festlegen wer wann MFA nutzen muss und wann nicht.
Bei uns ist es z.B. so das wenn die User sich in der Firma anmelden dann brauchen Sie kein MFA aber wenn Sie sich von einem Mobil Telefon ( Egal ob Firmenwlan oder nicht ) dann wird IMMER MFA Verlangt......

Benötigt aber den Azure AD / Entra ID Plan 1 soweit ich weiß
Member: rzlbrnft
rzlbrnft Dec 08, 2023 at 10:02:01 (UTC)
Goto Top
Es gibt zwei Möglichkeiten, entweder man nutzt den beschriebenen bedingten Zugriff, oder man aktiviert die Sicherheitsstandards, die bestimmte Richtlinien unveränderlich festlegen und nix kosten.
https://learn.microsoft.com/de-de/entra/identity/conditional-access/over ...
https://learn.microsoft.com/de-de/entra/fundamentals/security-defaults

Für die Aktivierung des bedingten Zugriffs reicht dir ein Admin Konto, das mit Entra ID ausgestattet ist, du brauchst also mindestens eine Lizenz. Oder du hast M365 Premium, da ist es dabei.
Ob es lizenzrechtlich in Ordnung ist, das auch User ohne Lizenz von Conditional Access betroffen sind, ist nicht so eindeutig, aber bisher hat sich bei uns auch noch keiner darüber beschwert, das nicht alle eine Entra ID haben.
Member: Looser27
Looser27 Dec 08, 2023 updated at 11:50:31 (UTC)
Goto Top
Ich habe in einem der Artikel folgende Info gefunden:

"„Eine gängige Methode zur Verbesserung des Schutzes für alle Benutzer besteht in einer strengeren Kontoüberprüfung, beispielsweise durch eine mehrstufige Authentifizierung (MFA). Nachdem die Benutzer die Registrierung abgeschlossen haben, werden sie bei Bedarf zu einer weiteren Authentifizierung aufgefordert. Microsoft entscheidet basierend auf Faktoren wie Standort, Gerät, Rolle und Aufgabe, wann ein Benutzer zur Multifaktor-Authentifizierung aufgefordert wird. Diese Funktion schützt alle registrierten Anwendungen, einschließlich SaaS-Anwendungen.“

Quelle: Microsoft

Das erklärt, warum er nicht bei jeder Anmeldung die MFA bemüht.
Member: rzlbrnft
rzlbrnft Dec 08, 2023 at 12:02:09 (UTC)
Goto Top
Es gibt da auch Vorlagen, da steht dann schon alles drin, was du brauchst.
screenshot 2023-12-08 130135
Member: Looser27
Looser27 Dec 08, 2023 at 12:31:58 (UTC)
Goto Top
Danke, aber die Vorlagen sind nur mit Entra Premium nutzbar.
Member: rzlbrnft
rzlbrnft Dec 08, 2023 updated at 13:26:40 (UTC)
Goto Top
Wenn du das nicht kaufen willst, kannst du unter https://entra.microsoft.com/ unter Identität>Übersicht>Eigenschaften ganz unten auf der Seite die Sicherheitsstandards aktivieren, die kosten nichts extra.
Dadurch sind MFA bei allen aktiv.
Die 5,60 wären es mir aber wert. Haben bei uns wie gesagt nur die Admins.