reisst
Goto Top

MFA Aktivierung - lokale Anwendungen betroffen?

Wir sind M365 Business Benutzer und haben die Meldung erhalten, dass in 14 Tagen allen Benutzern die Registrierung für die MFA Authentifizierung über die MS Authenticator App für unsere Organisation aktiviert wird.

Im Prinzip ja nicht schlecht, aaaber...

Was mir nicht 100% klar ist,

- ist das nur auf die Webzugriffe/Apps beschränkt oder sind auch die lokal installierten Anwendungen (Outlook/Teams/Onedrive/Word/Excel) betroffen?

- nicht jeder Arbeitsplatz hat ein Smartphone oder Telefon und wird von mehreren Benutzer benutzt.
, da funktioniert das auch nicht mir privater Smartphonenutzung (wie auch immer geregelt)
wie soll so etwas gehandelt werden?

- sehe ich es richtig, dass es für die M365 Business Lizenzen auch keine "sicheren Standorte/IP Adressbereiche" für eine Definition von Ausnahmen bzw. "Bedingten Zugriffen" der MFA Verpflichtung gibt (sondern nur für "Mindestens Microsoft Entra ID P1") ?

- lässt sich der MFA Zwang wieder deaktivieren wenn es von MS aktiviert wurde (hat das schon jemand hinter sich?)

Gruß
Thomas

Content-Key: 9757699082

Url: https://administrator.de/contentid/9757699082

Printed on: July 19, 2024 at 08:07 o'clock

Member: NordicMike
NordicMike May 02, 2024 at 09:26:50 (UTC)
Goto Top
Ich weiss nicht ob sich was geändert hat aber bis vor Kurzem war MFA noch keine Pflicht / kein Standard und musste manuell eingeschaltet werden. Hat das etwa ein Admin von Euch eingeschaltet? An der Stelle kann man nämlich auch bestimmen ob und welche weiteren Authentifizierungsmethoden erlaubt sind.

Du kannst dir auch eine SMS an ein normales Tischtelefon schicken lassen, der Code wird dir dann von einer Computerstimme vorgelesen. Es darf auch ruhig eine Nummer für mehrere Mitarbeiter sein, ich weiss jedoch nicht ob es ein Limit gibt.
Member: ReissT
ReissT May 02, 2024 at 09:35:21 (UTC)
Goto Top
Ich bin der Admin und das hat Microsoft von sich aus angekündigt, ich bin nicht aktiv geworden.
Deswegen sitz ich ja drüber und grübel wie das am besten handelbar wird (jetzt mit 14 Tagesfrist).

Das ist wohl auch schon länger ein Thema und kommt je nach Organisation früher oder später bei allen hoch.
Member: mbehrens
mbehrens May 02, 2024 at 09:46:37 (UTC)
Goto Top
Zitat von @ReissT:

Wir sind M365 Business Benutzer und haben die Meldung erhalten, dass in 14 Tagen allen Benutzern die Registrierung für die MFA Authentifizierung über die MS Authenticator App für unsere Organisation aktiviert wird.

- ist das nur auf die Webzugriffe/Apps beschränkt oder sind auch die lokal installierten Anwendungen (Outlook/Teams/Onedrive/Word/Excel) betroffen?

Es können auch lokal installierte Applikationen betroffen sein, sofern sie über M365 lizenziert sind.

- nicht jeder Arbeitsplatz hat ein Smartphone oder Telefon und wird von mehreren Benutzer benutzt.
, da funktioniert das auch nicht mir privater Smartphonenutzung (wie auch immer geregelt)
wie soll so etwas gehandelt werden?

Es gibt ja auch noch andere MFA Methoden.

- sehe ich es richtig, dass es für die M365 Business Lizenzen auch keine "sicheren Standorte/IP Adressbereiche" für eine Definition von Ausnahmen bzw. "Bedingten Zugriffen" der MFA Verpflichtung gibt (sondern nur für "Mindestens Microsoft Entra ID P1") ?

Das kommt auf die M365 Lizenz an. Conditional Access ist in der Tat ein Feature von Entra ID P1.

- lässt sich der MFA Zwang wieder deaktivieren wenn es von MS aktiviert wurde (hat das schon jemand hinter sich?)

Zur Zeit ja. Wie man allerdings MS Cloud Dienste ohne MFA betreiben kann, ist mir ein Rätsel.
Member: DerMaddin
DerMaddin May 02, 2024 at 10:03:33 (UTC)
Goto Top
@ReissT über welchen Kanal ist diese Info von MS gekommen? Wir setzten M365 Business Basic, Standard und Premium ein. Meine Emailadresse ist in den Org setting eingetragen aber ich habe nichts erhalten. Wir setzten kein MFA für alle User ein, dies ist nur für alle Admin-Konten und die Admin-User außerhalb der eigenen öffentlichen IP-Adresse.

Conditional Access mit trusted IP gibt es auch in der Business Lizenz. Der Link ist leider ziemlich gut versteckt in Entra.

screenshot 2024-05-02 120238
Member: mbehrens
mbehrens May 02, 2024 at 10:25:06 (UTC)
Goto Top
Zitat von @DerMaddin:

Conditional Access mit trusted IP gibt es auch in der Business Lizenz.

Was auch immer eine Business Lizenz sein soll.

Die Microsoft Dokumentation sagt auf jeden Fall:

Using this feature requires Microsoft Entra ID P1 licenses.
Member: DerMaddin
DerMaddin May 02, 2024 at 10:28:46 (UTC)
Goto Top
Member: ReissT
ReissT May 02, 2024 at 14:32:19 (UTC)
Goto Top
Zitat von @DerMaddin:

@ReissT über welchen Kanal ist diese Info von MS gekommen? Wir setzten M365 Business Basic, Standard und Premium ein. Meine Emailadresse ist in den Org setting eingetragen aber ich habe nichts erhalten. Wir setzten kein MFA für alle User ein, dies ist nur für alle Admin-Konten und die Admin-User außerhalb der eigenen öffentlichen IP-Adresse.

Conditional Access mit trusted IP gibt es auch in der Business Lizenz. Der Link ist leider ziemlich gut versteckt in Entra.

screenshot 2024-05-02 120238

Wir nutzen überwiegend "Microsoft 365 Business Standard" (sorry für die Verwirrung).
Mir scheint uns steht "Conditional Access mit trusted IP" nicht zur Verfügung, ich find im Entra Portal keinen entsprechenden Menüpunkt.
2024-05-02 16_03_00-multifactor authentication - microsoft entra admin center und 3 weitere seiten -
Einzig unter Protection->Security Center ist ein Menüpunkt "Conditional Access".
Dort sind aber alle Menüpunkt ausgegraut.

2024-05-02 16_09_36-security

Das ganze Cloud Gedöns wurde vor meiner Zeit durch einen Dienstleister aufgebaut und lizenziert um sich die Administration eines Exchange Servers zu ersparen.
Leider ufert das ganze jetzt grad aus.

Die Info über die Aktivierung habe ich per E-Mail direkt von Microsoft erhalten, höchstwahrscheinlich da ich mit Administrationsrechten geführt werden.

Text war wie folgt:

<<<Zitat>>>
Die Einstellung für die Sicherheitsstandards für Ihren XYZ Mandanten wird von Dienstag, 28. Mai 2024 aktiviert
Sie erhalten diese E-Mail, da Sie ein globaler Administrator für XYZ sind, was Legacy-Authentifizierungsprotokolle verwendet.

Im Rahmen der laufenden Bemühungen zur Verbesserung der Sicherheitaktivieren wir die Sicherheitsstandardeinstellung in Ihrem Mandanten, die mehrstufige Authentifizierung enthält, und mehr als 99,9 % der Identitätsangriffe blockieren kann. 

Wenn Sie sich zwischen Dienstag, 30. April 2024 und Dienstag, 28. Mai 2024 bei Ihrem Konto anmelden, wird eine Meldung angezeigt, in der Sie aufgefordert werden, proaktiv die Sicherheitsstandards zu aktivieren. Wenn Sie sich nach Ablauf dieses Zeitrahmens nicht angemeldet oder diese Einstellung aktiviert haben, wird sie automatisch für Sie aktiviert.

Die von Ihnen verwendeten Legacy-Authentifizierungsprotokolle sind weniger sicher als moderne Protokolle und erleichtern Angreifern das Erfassen von Anmeldeinformationen. Diese Legacyprotokolle blockieren normalerweise die Aktivierung von Sicherheitsstandards. Wir haben jedoch spezielle Ausnahmen angewendet, damit Sie weiterhin Legacy-Authentifizierungs-Apps verwenden können während Sie die mehrstufige Authentifizierung für alle anderen Apps verwenden. Diese Ausnahmen gelten für Apps, die Sie einen Monat vor Donnerstag, 25. April 2024 verwendet haben.
Erforderliche Aktion
Nachdem die Einstellung für die Sicherheitsstandards aktiviert wurde, muss sich jeder in Ihrer Organisation für die mehrstufige Authentifizierung registrieren. Um Verwirrung zu vermeiden, teilen Sie Ihren Benutzern bitte mit, was sie erwarten:
• Wenn sie sich anmelden, wird eine Aufforderung angezeigt, die Microsoft Authenticator App zu installieren und ein Konto dafür anzulegen. Sie können dies sofort tun oder auf später verschieben. Nach 14 Tagen wird die Option zum Zurückstellen jedoch ausgeblendet, und sie müssen sich für die mehrstufige Authentifizierung registrieren, bevor sie sich anmelden können.
• Sie müssen die Schritte zum Einrichten der Microsoft Authenticator-App zum Herunterladen der App auf ein mobiles Gerät befolgen und dann ihr Konto bei der App registrieren
Erfahren Sie mehr über die Sicherheitsstandardeinstellung. Wenn Sie Fragen haben oder Hilfe benötigen, Kontaktieren Sie den Support.
Kontoinformationen


<<<Zitat Ende>>>

Der Dienstleister meinte dazu nur, dass ganze danach erstmal wieder zu deaktivieren.

Nun ja, im Prinzip ist es ja nicht verkehrt das zu aktivieren wenn man alles online macht.
Das ist hier aber eigentlich nicht der Fall da nicht über das Web gearbeitet wird sondern mit den "klassischen" Anwendungen.

Würde von daher schon gerne lokale IP Adressen als Ausnahmen haben und für alles andere muss dann halt eine Lösung gefunden werden.

Scheint aber momentan für mich so nicht umsetzbar zu sein.

Mal sehen....

Dank an alle.

Gruß
Thomas
Member: ThePinky777
ThePinky777 May 02, 2024 at 15:15:27 (UTC)
Goto Top
also wenn man mehrer user hat die gleichen account handhaben kann man den QR code wegspeichern und bei der auth app auf smartphones mehrfach in die phones registrieren... somit mehrere user - mehrere phones - gleicher qr-code im authenticator. nur so als anmerkung.

wir haten E3 lizenzen da war das mit IP based conditional access kein thema...

oder alternativ cloud kündigen face-smile ist ja auch noch ne option face-smile
Member: mbehrens
mbehrens May 02, 2024 at 15:41:40 (UTC)
Goto Top
Zitat von @ReissT:

Wir nutzen überwiegend "Microsoft 365 Business Standard" (sorry für die Verwirrung).

Ist denn wenigstens eine Lizenz vorhanden, die Entra ID P1 enthält?
Der verwendete Admin Account hat auch genug Rechte?
Member: mbehrens
mbehrens May 02, 2024 at 15:42:47 (UTC)
Goto Top
Zitat von @ThePinky777:

also wenn man mehrer user hat die gleichen account handhaben

Wer macht denn so etwas? Das ist doch gar nicht erlaubt face-wink
Member: ReissT
ReissT May 02, 2024 at 15:57:20 (UTC)
Goto Top
Zitat von @mbehrens:

Zitat von @ReissT:

Wir nutzen überwiegend "Microsoft 365 Business Standard" (sorry für die Verwirrung).

Ist denn wenigstens eine Lizenz vorhanden, die Entra ID P1 enthält?
Der verwendete Admin Account hat auch genug Rechte?

Danke für die Info.

Tja, da werd ich morgen mal nachsehen müssen welche Lizenz "Entra ID P1" enthält und welche Rechte hierfür wohl nötig sind.

Was für ein Gewürge.
Member: ReissT
ReissT May 02, 2024 at 15:58:39 (UTC)
Goto Top
Zitat von @mbehrens:

Zitat von @ThePinky777:

also wenn man mehrer user hat die gleichen account handhaben

Wer macht denn so etwas? Das ist doch gar nicht erlaubt face-wink

Naja, habt Ihr keine info@ oder anfrage@ oder dergleichen Adressen?

Es gibt nicht's was es nicht gibt face-wink
Member: ThePinky777
ThePinky777 May 02, 2024 updated at 16:54:49 (UTC)
Goto Top
Zitat von @ReissT:

Zitat von @mbehrens:

Zitat von @ThePinky777:

also wenn man mehrer user hat die gleichen account handhaben

Wer macht denn so etwas? Das ist doch gar nicht erlaubt face-wink

Naja, habt Ihr keine info@ oder anfrage@ oder dergleichen Adressen?

Es gibt nicht's was es nicht gibt face-wink

Bei uns war es Produktionsbetrieb im 3 Schichten Betrieb.
Da hatte jeder Arbeitsstation eben einen Stations Account, wo sich die Arbeiter in den verschiedenen Schichten geteilt haben.
Da der Zugang physikalisch stark gesichert war (Lebensmittel Industrie)
und der Zugang von ausserhalb des Firmennetzes mit den Accounts geblockt war.
war das risiko akzeptabel...
die haben ja kein Outlook verwendet sondern lediglich windows anmeldung + Warenwirtschaftssystem was mit individuellen accounts dann lief, ettiketten drucken und so zeug + produktionsmaschinens sps steuerungs systeme... und ein paar dateiablagen wo prozesse und so abgelegt sind >> lesend. kann man nicht mit nem büro arbeitsplatz verlgeichen.
Member: GrueneSosseMitSpeck
GrueneSosseMitSpeck May 02, 2024 at 20:09:15 (UTC)
Goto Top
Bissle kompliziert die Angelegenheit... grundsätzlich kommen mir da zwei Szenarios in den Sinn:

1.) Office ist on Premise mit lizenzkeys aktiviert worden und es sind keine Microsoft Accounts hinterlegt. In dem Falle spielt MFA keine Rolle, aber Office Onlinekollaboration fällt dann auch flasch, Onedrice, Teams ist funktional sehr beschnitten...

2.) Office ist on Premise mit MS Accounts verbunden. Dann melden die User sich in den installierten Versionen als auch online mit ihrem Microsoft Konto an. MFA ist optinal, es sei denn es wird per Unternehmensrichtlnie erzwungen... das MFA kann jeder User für sich selber einrichten, aka.ms/mfasetup
Bietet drei oder vier MFA Wege an, sogar Versand des 3. Faktors per Mail geht bzw per SMS, aber da man heutzutage Handynummern mit nicht allzuviel Aufwand klonen kann ist das eher unsicher... bei uns im Unternehmen ist SMS am 1.1.2024 abgeschaltet worden.

@thepunky777 die Online Accounts sind persönliche Accounts, für Funktionsaccounts ist das zwar nicht vorgesehen, aber wenn das Unternehmen für 100 Mitarbeiter 100 E5 Abos hat und noch mal 5 für die Schichtarbeiter-PCs, dann stört das bei MS ganz gewiß niemanden