pc-schubser
Goto Top

Microsoft 365 und Authenticator

Hallo zusammen,

für einen kleinen Firmenkunden, den ich auch als Admin betreue, habe ich vor einiger Zeit Microsoft 365 Business Standard CSP Lizenzen verkauft. Jetzt bekommt ein Mitarbeiter einen neuen PC. Bei der Aktivierung von Office muss man sich ja zuerst mit dem dazugehörigen Microsoft-Konto einloggen, um die Lizenz zu aktivieren. Soweit so normal.

Jetzt besteht der Assistent jedoch darauf, dass zu dem Microsoft-Konto der Microsoft "Authenticator" eingerichtet werden muss. Es existiert keine Option des Überspringens. Der Mitarbeiter im Büro hat auch kein Firmenhandy, wo ich den Authenticator installieren könnte. Sein privates Smartphone möchte er nicht dafür einsetzen. Selbst wenn er das wollte, dann müsste er für den Authenticator ein privates Microsoft-Konto anlegen, welches er auch nicht hat. (Wie das von der DSGVO her wäre, will ich in diesem Zusammenhang nicht einmal wissen.) Verwende ich das Firmenkonto, so seht in der App: "Dieses Konto kann nicht für diesen Zweck verwendet werden, da es zu einer Organisation gehört."

Ohne Authenticator kann ich mich jedoch nicht mit dem Konto anmelden und das Office aktivieren. Was soll den sowas?
Soll ich jetzt dem Kunden sagen, dass er ab sofort für jeden Arbeitsplatz mit Office 365 Business ein Smartphone mit
bei Android:
- einen Google-Account
- Handy-Tarif, da Rufnummer für die Aktivierung des Google-Account benötigt wird
- einen seperaten "privaten" Microsoft-Account
bei iPhone:
- einen Apple-Account
- einen seperaten "privaten" Microsoft-Account
benötigt?

Der Chef hat sogar nur ein altes Nokia.
Hat irgendjemand eine Idee, wie ich das Office 365 jetzt aktiviert bekomme?
Was mache ich falsch? Kann ich im Admin-Center des Microsoft-Tenants umstellen?

Gruß

Euer PC-Schubser

Content-Key: 1300662247

Url: https://administrator.de/contentid/1300662247

Printed on: April 19, 2024 at 15:04 o'clock

Member: Visucius
Visucius Sep 24, 2021 at 12:54:52 (UTC)
Goto Top
Hm, ich habe dafür meine eigene Telefonnummer genutzt face-wink
Member: pc-schubser
pc-schubser Sep 24, 2021 updated at 13:09:10 (UTC)
Goto Top
Zitat von @Visucius:

Hm, ich habe dafür meine eigene Telefonnummer genutzt face-wink

Hallo @Visucius,

soll ich jetzt für jeden angestellten von jedem Kunden einen privaten Microsoft-Account anlegen und dann jedes mal meine eigene Telefonnummer nutzen? Der Authenticator will auch immer sein eigenes privates Microsoft-Konto haben. Soll ich die dann auch alle auf meinem Smartphone haben? Für jeden Angestellten meiner Kunden, die ich betreue? Oder wie meinst Du das?

Der Authenticator ist eine eigenständige App. Die im Microsoft-Konto hinterlegte Telefonnummer kann nicht für den zweiten Faktor genutzt werden.

Gruß

Dein PC-Schubser
Member: dertowa
Solution dertowa Sep 24, 2021 at 13:15:19 (UTC)
Goto Top
Hey,
sicher, dass da alles richtig läuft?
Wir haben ebenfalls Microsoft 365 Business Standard CSP Lizenzen im Einsatz und hier ist bis heute niemand in Verlegenheit gekommen zwingend eine Zwei-Faktor-Authentifizierung nutzen zu müssen.

Ich meine im Admincenter (Azure) aber mal eine Policy gesehen zu haben mit der man das erzwingen kann.
Vielleicht solltest du da mal nachschauen was dort eingestellt ist.
Member: Visucius
Visucius Sep 24, 2021 updated at 13:23:06 (UTC)
Goto Top
Muss ich sehen, wie ich das gemacht habe. Ist schon ein paar Wochen her. Kann sein, dass ich die Kontaktdaten anschließend wieder geändert habe.

Auf jeden Fall, habe ich keine MA-Telefonnummern genutzt, weil ich das am WE konfiguriert habe.

PS: Ich weiß aber, dass ich es über SMS gemacht habe, weil ich die Authenticator-App ausschließlich für meine Account nutze.
Member: pc-schubser
Solution pc-schubser Sep 24, 2021 updated at 13:58:40 (UTC)
Goto Top
Zitat von @dertowa:

Hey,
Hallo,
sicher, dass da alles richtig läuft?
ja. Leider ja.
Wir haben ebenfalls Microsoft 365 Business Standard CSP Lizenzen im Einsatz und hier ist bis heute niemand in Verlegenheit gekommen zwingend eine Zwei-Faktor-Authentifizierung nutzen zu müssen.
Nach Rückfrage mit meinem CSP-Händler ist das die letzten Wochen häufiger vogekommen.
Ich meine im Admincenter (Azure) aber mal eine Policy gesehen zu haben mit der man das erzwingen kann.
Vielleicht solltest du da mal nachschauen was dort eingestellt ist.
Nach einer Mail-Anfrage beim CSP, der das wiederum an Microsoft weitergeleitet hat, habe ich dann doch noch ein Resultat erhalten. Zuerst bekam ich eine Rückrufmail vom Microsoft-Support. Ab dem Zeitpunkt konnte ich mich mit dem Account unter Office einloggen und Office aktivieren. Diesbezüglich schon einmal ein Erfolg.

Dann hat mir der Microsoft-Mitarbeiter per Fernsteuerung gezeigt, dass in dem Microsoft365-Admin-Center admin.microsoft.com etwas eingestellt werden muss. Die Voreinstellung zum Authenticator hat Microsoft bei einigen Kunden (je nach Region? oder zum Test?) pauschal vorgenommen. Diese müsse man als Admin wieder deaktivieren, falls es Probleme gibt.

Folgende Schritte sind notwendig:
1
Unter den drei Strichen, Einstellungen, Einstellung der Organisation
2
rechts runterscrollen bis man "Modern authentication" findet
3
Dann das Häkchen raus, damit der Authenticator nicht mehr verlangt wird.

Bei neuen Microsoft-Tenants ist diese Option jetzt als Standard aktiviert. Also muss man hier bei Neukunden aufpassen.

Gruß

Euer PC-Schubser
Member: NixVerstehen
Solution NixVerstehen Sep 24, 2021 at 14:50:19 (UTC)
Goto Top
Oben genannte Lösung wäre ein Weg. Alternativ geht es auch über das Azure Active Directory Admin Center.
Dort auf die Firma klicken, dann im Menü auf Eigenschaften, unten auf "Sicherheitsstandards verwalten", dann links im Popup den Schieber "Sicherheitsstandards aktivieren" auf "Nein". Per Default setzt MS die MFA auf aktiv, was ich erstmal nicht schlecht finde. Es gibt auch nicht nur den Weg über die Authenticator-App, sondern es geht auch Anruf aufs Festnetz, SMS, FIDO2-Stick etc.

Man muss sich ja auch auch nicht jedes Mal authentifizieren. Bei uns kommt das glaube ich alle 90 Tage einmal. Ich hab die Authenticator-App für den Admin-Account sogar auf der AppleWatch. Uhr vibriert bei der Anmeldung, 1xdrauf tippen und fertig.
Member: pc-schubser
pc-schubser Sep 24, 2021 at 18:19:42 (UTC)
Goto Top
Zitat von @NixVerstehen:

Oben genannte Lösung wäre ein Weg. Alternativ geht es auch über das Azure Active Directory Admin Center.
Dort auf die Firma klicken, dann im Menü auf Eigenschaften, unten auf "Sicherheitsstandards verwalten", dann links im Popup den Schieber "Sicherheitsstandards aktivieren" auf "Nein". Per Default setzt MS die MFA auf aktiv, was ich erstmal nicht schlecht finde. Es gibt auch nicht nur den Weg über die Authenticator-App, sondern es geht auch Anruf aufs Festnetz, SMS, FIDO2-Stick etc.

Hallo!

Dieser Weg scheint auch zu funktionieren. Nur blöd, wenn der kleine Handwerker von nebenan nur ein paar Office 365 Lizenzen hat und auch der kleine PC-Schubser noch nicht wusste, dass Microsoft Einstellungen für Office 365 jetzt unter Azure vornimmt und nicht mehr nur im Admin-Center von Microsoft 365. Azure war mir eher für die anderen Cloud-Produkte (Virtualisierung) bekannt, aber nicht für die Administration von Office. In den kleinen Schulungen wurde ich auch noch nicht darauf gestoßen. Aber so soll es wohl auch sein...
Nur wenn selbst der Microsoft-Support diese Lösung nicht anbietet, dann wird's schon etwas seltsam. Wieso der nicht darauf hingewiesen hat, wenn das doch der eigentlich richtige Weg ist?

Danke @NixVerstehen für den Hinweis. Denen von Microsoft solltest Du auch mal den Tipp geben! (Und das sie bei der Zwangsmaßnahme darauf hinweisen.)

Gruß

Euer PC-Schubser
Mitglied: 148656
148656 Sep 25, 2021 at 15:17:17 (UTC)
Goto Top
Lieber PC-Schubser,

wie man merkt, hast du in deinem "Troubleshooting" nicht einmal die Doku von Microsoft verwendet.
Microsoft hat diesen Hinweis, in einem sanften Lila hervorgehoben.

Gruß
C.C.
Member: pc-schubser
pc-schubser Sep 25, 2021 at 19:50:00 (UTC)
Goto Top
Zitat von @148656:

Lieber PC-Schubser,

wie man merkt, hast du in deinem "Troubleshooting" nicht einmal die Doku von Microsoft verwendet.
Microsoft hat diesen Hinweis, in einem sanften Lila hervorgehoben.

Gruß
C.C.

Nabend @148656,

ach ja, nur zwei folgende Links werden für das "Troubleshooting" angezeigt, wenn man versucht sich anzumelden.
https://www.microsoft.com/de-de/security/mobile-authenticator-app
https://support.microsoft.com/de-de/account-billing/anmelden-bei-ihren-k ...

Nur leider existierte erst der Zwang und man hatte überhaupt keine Möglichkeit (auch als Admin) sich anders, als mit dem Authenticator anzumelden. Andere Optionen gab es nicht! Erst nachdem man eingeloggt war, konnte man wie oben beschrieben die Einstellungen ändern. Microsoft hat leider den Zwang zum Einrichten eines Authenticator als "Standard" gesetzt.

Da hilft auch kein lila Hinweis mehr weiter, wenn es keine Auswahlmöglichkleiten gibt. Hier wurde einfach seitens Microsoft eine Zwangsmaßnahme aktiviert. Laut Aussagen des CSP geschieht das nicht bei allen Bestandkunden. Microsoft "testet" also diese Option gerade bei Besandkunden aus. Bei Neukunden bleibt das 14-Tage-Fenster. Dann muss man schon genau wissen, dass man die Einstellungen im Azure Active Directory vornehmen muss. Letzteres steht übrigens nicht im lila Hinweis.

Bitte sei doch so freundlich und poste mal den Link, wo steht, dass man für die Zwangsmaßnahme Authenticator für ein Office 365 Konto als Admin global im Azure den Authenticator deaktivieren kann/sollte, wenn Probleme bei der Produktaktivierung auftauchen.

Klar, wirst Du einwenden, dass es sich um ein Microsoft-Konto-Problem handelt. Was ja auch soweit stimmt. Aber die Hinweis-Seiten von Microsoft haben nicht wirklich weitergeholfen. Und vom Azure Active Directory oder Microsoft 365 Admin Center steht da nichts.

Und nochmals, der Kunde wollte/ konnte keinen Authenticator nutzen, da kein passendes Smartphone zur Verfügung stand. Dann ist so eine Zwangsmaßnahme ohne Auswahlmöglichkeit einer Alternative doch sehr problematisch.

Ich habe hier nur versucht meine Erfahrung zu teilen und habe den Lösungsweg vom Microsoft-Support geteilt. @NixVerstehen hat geholfen und einen wertvollen Hinweis zum Azure Active Directory gegeben.
https://portal.azure.com
Unter Active Directory > Sicherheit > Authentifizierungsmethoden findet man die Microsoft Authenticator-Einstellungen.
(Es ist ja auch nicht unbedingt logisch für ein Office 365 Problem dort eine Lösung zu suchen.)
Lieber @148656, bitte versuche doch Dein Wissen über die Anleitungen von Microsoft zu teilen und poste sie hier im Forum, damit andere PC-Schubser wie ich ihr "Troubleshooting" verbessern können.

Gruß

PC-Schubser
Member: pc-schubser
pc-schubser Sep 25, 2021 at 20:42:41 (UTC)
Goto Top
@NixVerstehen

Nochmals Danke!

Wieviele Kunden mit eigenem Microsoft Tenant kannst Du über Deinen Authenticator verknüpfen?

Gruß

PC-Schubser
Member: NixVerstehen
NixVerstehen Sep 26, 2021 at 09:28:04 (UTC)
Goto Top
@pc-schubser: Es gibt nach meinem Wissen keine Begrenzung bezüglich der Anzahl unterschiedlicher Tenants in der Authenticator-App. MS aktiviert diese Funktion per Default, weil es ja ein Feature ist, das die Sicherheit der Accounts schon erheblich erhöht. Die MFA ist auch nicht auf die App begrenzt. Das geht auch statt dessen per Code als SMS, per Fido2-USB-Stick und noch einige andere zusätzliche Methoden werden unterstützt.

Wer schon mal in der Lage war, das ein Account gekapert wurde, wird MFA sicherlich zu schätzen wissen. Ich nutze MFA auch privat bei vielen Diensten.

In der Firma habe ich alle O365-Konten mit mehreren Authentifizierungswegen ausgestattet. Dazu zählen auch die Sicherheitsfragen, alternative Mail-Adressen außerhalb des Tenants und eben die Auth-App.

Das 14-Tage-Fenster gibt es schon lange. Jeder Nutzer, bei dem von Seiten des Admin (oder MS) die MFA aktiviert wird, kann beim Login die MFA einmalig für 14 Tage überspringen. Aber nach 14 Tagen muss man entweder die MFA als Admin deaktivieren oder der User muss es eben einrichten.

Gruß NV
Mitglied: 148656
148656 Sep 26, 2021 updated at 12:04:05 (UTC)
Goto Top
Zitat von @pc-schubser:
...
Lieber @148656, bitte versuche doch Dein Wissen über die Anleitungen von Microsoft zu teilen und poste sie hier im Forum, damit andere PC-Schubser wie ich ihr "Troubleshooting" verbessern können.

https://docs.microsoft.com
test

Wer kein Bock auf lesen hat, kann sich auch die einzelnen Artikel vorlesen lassen.

Gruß

PC-Schubser
Gruß
C.C.
Member: pc-schubser
pc-schubser Sep 26, 2021 at 13:29:41 (UTC)
Goto Top
Hallo @148656,

sehr witzig nur auf docs.microsoft.com zu verlinken. Eine sehr große Hilfe in einem Forum. Genauso gut könntest Du auf google.com verlinken.

Ob Du es glaubst oder nicht, diese Informationsquelle hatte ich auch herangezogen. Allerdings ist deren Dokumentation für den Authenticator noch auf dem Stand von Juli. Laut der könne man die Einrichtung des Authenticator noch überspringen. Dies war jedoch nicht der Fall!
4
5
Eine Abbruchmöglichkeit gab es nicht. Aktiviert wurde das Feature weder von meinen Kunden noch von mir. Microsoft hat das einfach global bei meinem Kunden gesetzt. Für alle Konten! Und wie ich mittlerweile feststellen musste auch bei fast allen anderen, die ich bei meinem CSP hab.
Eine Anleitung zum Aktivieren einer Vorschauversion vom Authenticator existiert zwar in Docs, allerdings stimmen zum einen die aktuellen Wege im Azure nicht mit der Doku überein, zum anderen habe ich dort keinen Eintrag zum Deaktiveiren gefunden.
Da Du Dich dort offensichtlich besser auskennst, würdest Du bitte so freundlich sein und den Link zum konkreten Microsoftdokument zur Deaktivierung des Authenticator-Features (bei einer Zwangsaktivierung durch Microsoft) posten?

Gruß

PC-Schubser
Mitglied: 148656
148656 Sep 27, 2021 at 10:10:08 (UTC)
Goto Top
face-big-smile Buhuhu, Heul Doch. face-big-smile
Warum sollte ich auf Google verlinken? Nur bei Hersteller selbst, bekommst du belastbare Aussagen.

Hast du @NixVerstehen gefragt, woher er das Wissen hat? Ich bin mir relativ Sicher, das keine kleine Fee ihn Nachts besucht und ihm das Wissen ins Ohr geflüstert hat.
Member: pc-schubser
pc-schubser Sep 27, 2021 at 12:28:07 (UTC)
Goto Top
Zitat von @148656:

face-big-smile Buhuhu, Heul Doch. face-big-smile
Warum sollte ich auf Google verlinken? Nur bei Hersteller selbst, bekommst du belastbare Aussagen.

Hast du @NixVerstehen gefragt, woher er das Wissen hat? Ich bin mir relativ Sicher, das keine kleine Fee ihn Nachts besucht und ihm das Wissen ins Ohr geflüstert hat.

Hallo @148656,

@NixVerstehen hat sein Wissen geteilt und einen guten Hinweis gegeben.
Du wiederum hast hier nur gezeigt, dass Du
- kein Wissen besitzt
- oder (schlimmer noch) kein Wissen teilen möchtest
- den Sinn dieses Forums nicht verstanden hast
Also: Troll Dich hinfort!

Gruß

PC-Schubser
Mitglied: 148656
148656 Sep 27, 2021 at 13:15:00 (UTC)
Goto Top
face-big-smile Darf ich dir ein Taschentuch anbieten? Ich kann niemanden Heulen sehen.

Nur mal zur Erinnerung. Deine "fachkundigen Aussagen" haben mich zum Informationsaustausch aufgefordert.

Zitat von @pc-schubser:

Hallo!

Dieser Weg scheint auch zu funktionieren. Nur blöd, wenn der kleine Handwerker von nebenan nur ein paar Office 365 Lizenzen hat und auch der kleine PC-Schubser noch nicht wusste, dass Microsoft Einstellungen für Office 365 jetzt unter Azure vornimmt und nicht mehr nur im Admin-Center von Microsoft 365. Azure war mir eher für die anderen Cloud-Produkte (Virtualisierung) bekannt, aber nicht für die Administration von Office. In den kleinen Schulungen wurde ich auch noch nicht darauf gestoßen. Aber so soll es wohl auch sein...
Nur wenn selbst der Microsoft-Support diese Lösung nicht anbietet, dann wird's schon etwas seltsam. Wieso der nicht darauf hingewiesen hat, wenn das doch der eigentlich richtige Weg ist?

Danke @NixVerstehen für den Hinweis. Denen von Microsoft solltest Du auch mal den Tipp geben! (Und das sie bei der Zwangsmaßnahme darauf hinweisen.)

Gruß

Euer PC-Schubser

Microsoft stellt alle Informationen zur Verfügung. Also ist Microsoft nicht schuld an deinem Misserfolg.
Ganz im Gegenteil, Microsoft bietet sogar kostenlose Lernplattformen an.