Microsoft 365 und Authenticator

Hallo zusammen,

für einen kleinen Firmenkunden, den ich auch als Admin betreue, habe ich vor einiger Zeit Microsoft 365 Business Standard CSP Lizenzen verkauft. Jetzt bekommt ein Mitarbeiter einen neuen PC. Bei der Aktivierung von Office muss man sich ja zuerst mit dem dazugehörigen Microsoft-Konto einloggen, um die Lizenz zu aktivieren. Soweit so normal.

Jetzt besteht der Assistent jedoch darauf, dass zu dem Microsoft-Konto der Microsoft "Authenticator" eingerichtet werden muss. Es existiert keine Option des Überspringens. Der Mitarbeiter im Büro hat auch kein Firmenhandy, wo ich den Authenticator installieren könnte. Sein privates Smartphone möchte er nicht dafür einsetzen. Selbst wenn er das wollte, dann müsste er für den Authenticator ein privates Microsoft-Konto anlegen, welches er auch nicht hat. (Wie das von der DSGVO her wäre, will ich in diesem Zusammenhang nicht einmal wissen.) Verwende ich das Firmenkonto, so seht in der App: "Dieses Konto kann nicht für diesen Zweck verwendet werden, da es zu einer Organisation gehört."

Ohne Authenticator kann ich mich jedoch nicht mit dem Konto anmelden und das Office aktivieren. Was soll den sowas?
Soll ich jetzt dem Kunden sagen, dass er ab sofort für jeden Arbeitsplatz mit Office 365 Business ein Smartphone mit
bei Android:
- einen Google-Account
- Handy-Tarif, da Rufnummer für die Aktivierung des Google-Account benötigt wird
- einen seperaten "privaten" Microsoft-Account
bei iPhone:
- einen Apple-Account
- einen seperaten "privaten" Microsoft-Account
benötigt?

Der Chef hat sogar nur ein altes Nokia.
Hat irgendjemand eine Idee, wie ich das Office 365 jetzt aktiviert bekomme?
Was mache ich falsch? Kann ich im Admin-Center des Microsoft-Tenants umstellen?

Gruß

Euer PC-Schubser

Content-Key: 1300662247

Url: https://administrator.de/contentid/1300662247

Ausgedruckt am: 16.10.2021 um 16:10 Uhr

Mitglied: Visucius
Visucius 24.09.2021 um 14:54:52 Uhr
Goto Top
Hm, ich habe dafür meine eigene Telefonnummer genutzt ;-) face-wink
Mitglied: pc-schubser
pc-schubser 24.09.2021 aktualisiert um 15:09:10 Uhr
Goto Top
Zitat von @Visucius:

Hm, ich habe dafür meine eigene Telefonnummer genutzt ;-) face-wink

Hallo @Visucius,

soll ich jetzt für jeden angestellten von jedem Kunden einen privaten Microsoft-Account anlegen und dann jedes mal meine eigene Telefonnummer nutzen? Der Authenticator will auch immer sein eigenes privates Microsoft-Konto haben. Soll ich die dann auch alle auf meinem Smartphone haben? Für jeden Angestellten meiner Kunden, die ich betreue? Oder wie meinst Du das?

Der Authenticator ist eine eigenständige App. Die im Microsoft-Konto hinterlegte Telefonnummer kann nicht für den zweiten Faktor genutzt werden.

Gruß

Dein PC-Schubser
Mitglied: dertowa
Lösung dertowa 24.09.2021 um 15:15:19 Uhr
Goto Top
Hey,
sicher, dass da alles richtig läuft?
Wir haben ebenfalls Microsoft 365 Business Standard CSP Lizenzen im Einsatz und hier ist bis heute niemand in Verlegenheit gekommen zwingend eine Zwei-Faktor-Authentifizierung nutzen zu müssen.

Ich meine im Admincenter (Azure) aber mal eine Policy gesehen zu haben mit der man das erzwingen kann.
Vielleicht solltest du da mal nachschauen was dort eingestellt ist.
Mitglied: Visucius
Visucius 24.09.2021 aktualisiert um 15:23:06 Uhr
Goto Top
Muss ich sehen, wie ich das gemacht habe. Ist schon ein paar Wochen her. Kann sein, dass ich die Kontaktdaten anschließend wieder geändert habe.

Auf jeden Fall, habe ich keine MA-Telefonnummern genutzt, weil ich das am WE konfiguriert habe.

PS: Ich weiß aber, dass ich es über SMS gemacht habe, weil ich die Authenticator-App ausschließlich für meine Account nutze.
Mitglied: pc-schubser
Lösung pc-schubser 24.09.2021 aktualisiert um 15:58:40 Uhr
Goto Top
Zitat von @dertowa:

Hey,
Hallo,
sicher, dass da alles richtig läuft?
ja. Leider ja.
Wir haben ebenfalls Microsoft 365 Business Standard CSP Lizenzen im Einsatz und hier ist bis heute niemand in Verlegenheit gekommen zwingend eine Zwei-Faktor-Authentifizierung nutzen zu müssen.
Nach Rückfrage mit meinem CSP-Händler ist das die letzten Wochen häufiger vogekommen.
Ich meine im Admincenter (Azure) aber mal eine Policy gesehen zu haben mit der man das erzwingen kann.
Vielleicht solltest du da mal nachschauen was dort eingestellt ist.
Nach einer Mail-Anfrage beim CSP, der das wiederum an Microsoft weitergeleitet hat, habe ich dann doch noch ein Resultat erhalten. Zuerst bekam ich eine Rückrufmail vom Microsoft-Support. Ab dem Zeitpunkt konnte ich mich mit dem Account unter Office einloggen und Office aktivieren. Diesbezüglich schon einmal ein Erfolg.

Dann hat mir der Microsoft-Mitarbeiter per Fernsteuerung gezeigt, dass in dem Microsoft365-Admin-Center admin.microsoft.com etwas eingestellt werden muss. Die Voreinstellung zum Authenticator hat Microsoft bei einigen Kunden (je nach Region? oder zum Test?) pauschal vorgenommen. Diese müsse man als Admin wieder deaktivieren, falls es Probleme gibt.

Folgende Schritte sind notwendig:
1
Unter den drei Strichen, Einstellungen, Einstellung der Organisation
2
rechts runterscrollen bis man "Modern authentication" findet
3
Dann das Häkchen raus, damit der Authenticator nicht mehr verlangt wird.

Bei neuen Microsoft-Tenants ist diese Option jetzt als Standard aktiviert. Also muss man hier bei Neukunden aufpassen.

Gruß

Euer PC-Schubser
Mitglied: NixVerstehen
Lösung NixVerstehen 24.09.2021 um 16:50:19 Uhr
Goto Top
Oben genannte Lösung wäre ein Weg. Alternativ geht es auch über das Azure Active Directory Admin Center.
Dort auf die Firma klicken, dann im Menü auf Eigenschaften, unten auf "Sicherheitsstandards verwalten", dann links im Popup den Schieber "Sicherheitsstandards aktivieren" auf "Nein". Per Default setzt MS die MFA auf aktiv, was ich erstmal nicht schlecht finde. Es gibt auch nicht nur den Weg über die Authenticator-App, sondern es geht auch Anruf aufs Festnetz, SMS, FIDO2-Stick etc.

Man muss sich ja auch auch nicht jedes Mal authentifizieren. Bei uns kommt das glaube ich alle 90 Tage einmal. Ich hab die Authenticator-App für den Admin-Account sogar auf der AppleWatch. Uhr vibriert bei der Anmeldung, 1xdrauf tippen und fertig.
Mitglied: pc-schubser
pc-schubser 24.09.2021 um 20:19:42 Uhr
Goto Top
Zitat von @NixVerstehen:

Oben genannte Lösung wäre ein Weg. Alternativ geht es auch über das Azure Active Directory Admin Center.
Dort auf die Firma klicken, dann im Menü auf Eigenschaften, unten auf "Sicherheitsstandards verwalten", dann links im Popup den Schieber "Sicherheitsstandards aktivieren" auf "Nein". Per Default setzt MS die MFA auf aktiv, was ich erstmal nicht schlecht finde. Es gibt auch nicht nur den Weg über die Authenticator-App, sondern es geht auch Anruf aufs Festnetz, SMS, FIDO2-Stick etc.

Hallo!

Dieser Weg scheint auch zu funktionieren. Nur blöd, wenn der kleine Handwerker von nebenan nur ein paar Office 365 Lizenzen hat und auch der kleine PC-Schubser noch nicht wusste, dass Microsoft Einstellungen für Office 365 jetzt unter Azure vornimmt und nicht mehr nur im Admin-Center von Microsoft 365. Azure war mir eher für die anderen Cloud-Produkte (Virtualisierung) bekannt, aber nicht für die Administration von Office. In den kleinen Schulungen wurde ich auch noch nicht darauf gestoßen. Aber so soll es wohl auch sein...
Nur wenn selbst der Microsoft-Support diese Lösung nicht anbietet, dann wird's schon etwas seltsam. Wieso der nicht darauf hingewiesen hat, wenn das doch der eigentlich richtige Weg ist?

Danke @NixVerstehen für den Hinweis. Denen von Microsoft solltest Du auch mal den Tipp geben! (Und das sie bei der Zwangsmaßnahme darauf hinweisen.)

Gruß

Euer PC-Schubser
Mitglied: C.Caveman
C.Caveman 25.09.2021 um 17:17:17 Uhr
Goto Top
Lieber PC-Schubser,

wie man merkt, hast du in deinem "Troubleshooting" nicht einmal die Doku von Microsoft verwendet.
Microsoft hat diesen Hinweis, in einem sanften Lila hervorgehoben.

Gruß
C.C.
Mitglied: pc-schubser
pc-schubser 25.09.2021 um 21:50:00 Uhr
Goto Top
Zitat von @C.Caveman:

Lieber PC-Schubser,

wie man merkt, hast du in deinem "Troubleshooting" nicht einmal die Doku von Microsoft verwendet.
Microsoft hat diesen Hinweis, in einem sanften Lila hervorgehoben.

Gruß
C.C.

Nabend @C.Caveman,

ach ja, nur zwei folgende Links werden für das "Troubleshooting" angezeigt, wenn man versucht sich anzumelden.
https://www.microsoft.com/de-de/security/mobile-authenticator-app
https://support.microsoft.com/de-de/account-billing/anmelden-bei-ihren-k ...

Nur leider existierte erst der Zwang und man hatte überhaupt keine Möglichkeit (auch als Admin) sich anders, als mit dem Authenticator anzumelden. Andere Optionen gab es nicht! Erst nachdem man eingeloggt war, konnte man wie oben beschrieben die Einstellungen ändern. Microsoft hat leider den Zwang zum Einrichten eines Authenticator als "Standard" gesetzt.

Da hilft auch kein lila Hinweis mehr weiter, wenn es keine Auswahlmöglichkleiten gibt. Hier wurde einfach seitens Microsoft eine Zwangsmaßnahme aktiviert. Laut Aussagen des CSP geschieht das nicht bei allen Bestandkunden. Microsoft "testet" also diese Option gerade bei Besandkunden aus. Bei Neukunden bleibt das 14-Tage-Fenster. Dann muss man schon genau wissen, dass man die Einstellungen im Azure Active Directory vornehmen muss. Letzteres steht übrigens nicht im lila Hinweis.

Bitte sei doch so freundlich und poste mal den Link, wo steht, dass man für die Zwangsmaßnahme Authenticator für ein Office 365 Konto als Admin global im Azure den Authenticator deaktivieren kann/sollte, wenn Probleme bei der Produktaktivierung auftauchen.

Klar, wirst Du einwenden, dass es sich um ein Microsoft-Konto-Problem handelt. Was ja auch soweit stimmt. Aber die Hinweis-Seiten von Microsoft haben nicht wirklich weitergeholfen. Und vom Azure Active Directory oder Microsoft 365 Admin Center steht da nichts.

Und nochmals, der Kunde wollte/ konnte keinen Authenticator nutzen, da kein passendes Smartphone zur Verfügung stand. Dann ist so eine Zwangsmaßnahme ohne Auswahlmöglichkeit einer Alternative doch sehr problematisch.

Ich habe hier nur versucht meine Erfahrung zu teilen und habe den Lösungsweg vom Microsoft-Support geteilt. @NixVerstehen hat geholfen und einen wertvollen Hinweis zum Azure Active Directory gegeben.
https://portal.azure.com
Unter Active Directory > Sicherheit > Authentifizierungsmethoden findet man die Microsoft Authenticator-Einstellungen.
(Es ist ja auch nicht unbedingt logisch für ein Office 365 Problem dort eine Lösung zu suchen.)
Lieber @C.Caveman, bitte versuche doch Dein Wissen über die Anleitungen von Microsoft zu teilen und poste sie hier im Forum, damit andere PC-Schubser wie ich ihr "Troubleshooting" verbessern können.

Gruß

PC-Schubser
Mitglied: pc-schubser
pc-schubser 25.09.2021 um 22:42:41 Uhr
Goto Top
@NixVerstehen

Nochmals Danke!

Wieviele Kunden mit eigenem Microsoft Tenant kannst Du über Deinen Authenticator verknüpfen?

Gruß

PC-Schubser
Mitglied: NixVerstehen
NixVerstehen 26.09.2021 um 11:28:04 Uhr
Goto Top
@pc-schubser: Es gibt nach meinem Wissen keine Begrenzung bezüglich der Anzahl unterschiedlicher Tenants in der Authenticator-App. MS aktiviert diese Funktion per Default, weil es ja ein Feature ist, das die Sicherheit der Accounts schon erheblich erhöht. Die MFA ist auch nicht auf die App begrenzt. Das geht auch statt dessen per Code als SMS, per Fido2-USB-Stick und noch einige andere zusätzliche Methoden werden unterstützt.

Wer schon mal in der Lage war, das ein Account gekapert wurde, wird MFA sicherlich zu schätzen wissen. Ich nutze MFA auch privat bei vielen Diensten.

In der Firma habe ich alle O365-Konten mit mehreren Authentifizierungswegen ausgestattet. Dazu zählen auch die Sicherheitsfragen, alternative Mail-Adressen außerhalb des Tenants und eben die Auth-App.

Das 14-Tage-Fenster gibt es schon lange. Jeder Nutzer, bei dem von Seiten des Admin (oder MS) die MFA aktiviert wird, kann beim Login die MFA einmalig für 14 Tage überspringen. Aber nach 14 Tagen muss man entweder die MFA als Admin deaktivieren oder der User muss es eben einrichten.

Gruß NV
Mitglied: C.Caveman
C.Caveman 26.09.2021 aktualisiert um 14:04:05 Uhr
Goto Top
Zitat von @pc-schubser:
...
Lieber @C.Caveman, bitte versuche doch Dein Wissen über die Anleitungen von Microsoft zu teilen und poste sie hier im Forum, damit andere PC-Schubser wie ich ihr "Troubleshooting" verbessern können.

https://docs.microsoft.com
test

Wer kein Bock auf lesen hat, kann sich auch die einzelnen Artikel vorlesen lassen.

Gruß

PC-Schubser
Gruß
C.C.
Mitglied: pc-schubser
pc-schubser 26.09.2021 um 15:29:41 Uhr
Goto Top
Hallo @C.Caveman,

sehr witzig nur auf docs.microsoft.com zu verlinken. Eine sehr große Hilfe in einem Forum. Genauso gut könntest Du auf google.com verlinken.

Ob Du es glaubst oder nicht, diese Informationsquelle hatte ich auch herangezogen. Allerdings ist deren Dokumentation für den Authenticator noch auf dem Stand von Juli. Laut der könne man die Einrichtung des Authenticator noch überspringen. Dies war jedoch nicht der Fall!
4
5
Eine Abbruchmöglichkeit gab es nicht. Aktiviert wurde das Feature weder von meinen Kunden noch von mir. Microsoft hat das einfach global bei meinem Kunden gesetzt. Für alle Konten! Und wie ich mittlerweile feststellen musste auch bei fast allen anderen, die ich bei meinem CSP hab.
Eine Anleitung zum Aktivieren einer Vorschauversion vom Authenticator existiert zwar in Docs, allerdings stimmen zum einen die aktuellen Wege im Azure nicht mit der Doku überein, zum anderen habe ich dort keinen Eintrag zum Deaktiveiren gefunden.
Da Du Dich dort offensichtlich besser auskennst, würdest Du bitte so freundlich sein und den Link zum konkreten Microsoftdokument zur Deaktivierung des Authenticator-Features (bei einer Zwangsaktivierung durch Microsoft) posten?

Gruß

PC-Schubser
Mitglied: C.Caveman
C.Caveman 27.09.2021 um 12:10:08 Uhr
Goto Top
:-D face-big-smile Buhuhu, Heul Doch. :-D face-big-smile
Warum sollte ich auf Google verlinken? Nur bei Hersteller selbst, bekommst du belastbare Aussagen.

Hast du @NixVerstehen gefragt, woher er das Wissen hat? Ich bin mir relativ Sicher, das keine kleine Fee ihn Nachts besucht und ihm das Wissen ins Ohr geflüstert hat.
Mitglied: pc-schubser
pc-schubser 27.09.2021 um 14:28:07 Uhr
Goto Top
Zitat von @C.Caveman:

:-D face-big-smile Buhuhu, Heul Doch. :-D face-big-smile
Warum sollte ich auf Google verlinken? Nur bei Hersteller selbst, bekommst du belastbare Aussagen.

Hast du @NixVerstehen gefragt, woher er das Wissen hat? Ich bin mir relativ Sicher, das keine kleine Fee ihn Nachts besucht und ihm das Wissen ins Ohr geflüstert hat.

Hallo @C.Caveman,

@NixVerstehen hat sein Wissen geteilt und einen guten Hinweis gegeben.
Du wiederum hast hier nur gezeigt, dass Du
- kein Wissen besitzt
- oder (schlimmer noch) kein Wissen teilen möchtest
- den Sinn dieses Forums nicht verstanden hast
Also: Troll Dich hinfort!

Gruß

PC-Schubser
Mitglied: C.Caveman
C.Caveman 27.09.2021 um 15:15:00 Uhr
Goto Top
:-D face-big-smile Darf ich dir ein Taschentuch anbieten? Ich kann niemanden Heulen sehen.

Nur mal zur Erinnerung. Deine "fachkundigen Aussagen" haben mich zum Informationsaustausch aufgefordert.

Zitat von @pc-schubser:

Hallo!

Dieser Weg scheint auch zu funktionieren. Nur blöd, wenn der kleine Handwerker von nebenan nur ein paar Office 365 Lizenzen hat und auch der kleine PC-Schubser noch nicht wusste, dass Microsoft Einstellungen für Office 365 jetzt unter Azure vornimmt und nicht mehr nur im Admin-Center von Microsoft 365. Azure war mir eher für die anderen Cloud-Produkte (Virtualisierung) bekannt, aber nicht für die Administration von Office. In den kleinen Schulungen wurde ich auch noch nicht darauf gestoßen. Aber so soll es wohl auch sein...
Nur wenn selbst der Microsoft-Support diese Lösung nicht anbietet, dann wird's schon etwas seltsam. Wieso der nicht darauf hingewiesen hat, wenn das doch der eigentlich richtige Weg ist?

Danke @NixVerstehen für den Hinweis. Denen von Microsoft solltest Du auch mal den Tipp geben! (Und das sie bei der Zwangsmaßnahme darauf hinweisen.)

Gruß

Euer PC-Schubser

Microsoft stellt alle Informationen zur Verfügung. Also ist Microsoft nicht schuld an deinem Misserfolg.
Ganz im Gegenteil, Microsoft bietet sogar kostenlose Lernplattformen an.
Heiß diskutierte Beiträge
question
Achtung VMware, Inc. - SCSIAdapter - 1.3.18.0 virtuelle Server starten nicht mehrBl0ckS1z3Vor 1 TagFrageWindows Server5 Kommentare

Hallo Admins, ich habe heute über das VMware, Inc. - SCSIAdapter - 1.3.18.0 Treiberupdate aus den Windows Updates auf einem virtuellen Server Windows 2012 R2 ...

question
WIN 10 pro for workstations - Was genau ist das?toddehbVor 1 TagFrageWindows 1017 Kommentare

Hi, bin das erste mal über einen PC mit Win 10 Pro for workstations gestolpert und frage mich, was an dieser Edition anders ist, als ...

report
Ist FSLogix das Gelbe vom Ei?dertowaVor 1 TagErfahrungsberichtWindows Userverwaltung9 Kommentare

Hallo allerseits, ich habe mich die letzten Tage eingehend mit FSLogix in meinem Lab befasst und bin noch ein wenig zweigeteilter Meinung. Aktuell produktiv im ...

question
Hotel - Gast WLAN - Hotspot Aufbau und Sicherheit-Haftungaif-getVor 1 TagFrageLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich würde gerne bei einem Bekannten, der ein kleines Hotel (30 Zimmer - 3 Unify APs) besitzt ein Gäste WLAN aufsetzen, möglichst mit ...

question
VOIP BasisstationWolf6660Vor 1 TagFragePeripheriegeräte18 Kommentare

Hi, ich will meine FritzBox gegen einen MikroTik RB4011iGS+5HacQ2HnD-IN austauschen. Nun benötige ich aber einen VOIP Basisstation. Natürlich könnte ich meine 7590 dazu benutzten aber ...

question
Portbasierten vLans als Ersatz von unabhängigen Switches gelöst cheechybaVor 1 TagFrageNetzwerkmanagement10 Kommentare

Guten Tag liebe Community, im Anhang habe ich eine einfach Skizze angefügt um folgende Idee zu diskutieren und um Hilfe bei der Umsetzung zu bitten. ...

question
CAD Mobil in rauer Umgebunggansa28Vor 1 TagFrageHardware4 Kommentare

Hallo zusammen, Zu meinem Problem: Mein Schwieger Vater bekommt in seinem Metall Produzierenden Gewerbe zwei neue CAD Arbeitsplätze die eine recht hohe Hardware Anforderung haben, ...

general
Automatische Dokumentation von Vorgängen mit Kamerapassy951Vor 1 TagAllgemeinSonstige Systeme6 Kommentare

Hallo zusammen, ich wende mich mal an euch, da ich nicht weiß wie ich das lösen soll bzw. ob es sowas überhaupt zu kaufen gibt. ...