Microsoft Azure Entra MFA - wie geht ihr praktisch damit um?
Hallo Zusammen
Seit dem Microsoft MFA zur Pflicht macht, gilt via "Conditional Access" die Multifaktor Authentifizierung für jeden User.
Mir geht es nicht darum ob das gut oder schlecht ist (Security vs. Ease-of-use), sondern wie ihr das in der Praxis, möglichst geschmeidig umsetzt.
Vielleicht kurz meine "Lieblingsszenarien" mit O365 Anwendungen als Beispiele:
1. Ein "VIP-User" (Geschäftsführung, anderweitig wichtiges Tier oder "bekanntes Problemkind"...) braucht ein neues Endgerät (PC/Notebook/Handy...)
Bei solchen Leuten muß man als IT-Verantwortlicher möglichst viel einrichten und auch kurz kontrollieren, daß alles funktioniert, eingerichtet (bitte genau das gleiche Layout wie beim alten PC!) oder von alt auf neu umgezogen ist.
Wenn diese beim einschalten, ihres neuen Gerätes, erstmal durch x-Assistenten durchgeführt werden und um z.B. ihr lokales Word/Excel... am O365 Konto anzumelden und dann erstmal Gigabyteweise eMails ins Outlook gesynced werden - da ist Rom schnell in Not.
Wenn dieser MA aber nun MFA aktiviert hat, dann kann man aber z.B. nicht schnell Outlook auf dessen neuen Notebook starten um gewisse Vorarbeiten zu erledigen - denn die MFA für diesen User steht dem dazwischen.
Wenn man den MA dann anrufen darf (ups, grad in nem Meeting) um von ihm (innerhalb von 30 Sekunden!) den aktuellen Code des Microsoft-Authentikators zu bekommen - würg!
(MFA über SMS oder Telefonanruf ist auch nicht besser)
2. Oder wenn ein MA seit Tagen krank ist und JETZT sollen nachträglich alle emails (Exchange online) der letzten Zeit an einen Stellvertreter übermittelt werden, da wirds mit MFA auch nix. (lassen wir den Datenschutzbeauftragen mal aussen vor, der immer dann nicht da ist wenn der Geschäftsführer vom Admin verlangt JETZT SOFORT die eMails rüber zu schubsen weil da was ganz was wichtiges dabei ist (sein könnte).
3. Der Multifunktionsscanner der wegen Scan-to-Email Zugriff auf die MFA benötigt....
4. Der User der kein Smartphone hat weil er nur ne doofe Excel-Liste aufm Tablet hinten im Lager pflegen soll.
Die MFA ist (spätestens ab Oktober 2025) nur noch firmenweit aktiv, sprich ich kann auch nicht für diesen einen User eine Ausnahme machen und die MFA deaktivieren.
Oder habt ihr ne Möglichkeit als (Tenant Admin mit allen Rechten) zumindest temporär MFA zu deaktiveren, die Arbeiten zu erledigen und dann wieder einzuschalten? Mir ist da leider nichts bekannt.
Wie handhabt ihr sowas technisch bzw. organisatorisch?
Mit möglichst geringem Zeitaufwand...
Grüße vom Serverwolf
Edit: Rechtschreibfehler
Seit dem Microsoft MFA zur Pflicht macht, gilt via "Conditional Access" die Multifaktor Authentifizierung für jeden User.
Mir geht es nicht darum ob das gut oder schlecht ist (Security vs. Ease-of-use), sondern wie ihr das in der Praxis, möglichst geschmeidig umsetzt.
Vielleicht kurz meine "Lieblingsszenarien" mit O365 Anwendungen als Beispiele:
1. Ein "VIP-User" (Geschäftsführung, anderweitig wichtiges Tier oder "bekanntes Problemkind"...) braucht ein neues Endgerät (PC/Notebook/Handy...)
Bei solchen Leuten muß man als IT-Verantwortlicher möglichst viel einrichten und auch kurz kontrollieren, daß alles funktioniert, eingerichtet (bitte genau das gleiche Layout wie beim alten PC!) oder von alt auf neu umgezogen ist.
Wenn diese beim einschalten, ihres neuen Gerätes, erstmal durch x-Assistenten durchgeführt werden und um z.B. ihr lokales Word/Excel... am O365 Konto anzumelden und dann erstmal Gigabyteweise eMails ins Outlook gesynced werden - da ist Rom schnell in Not.
Wenn dieser MA aber nun MFA aktiviert hat, dann kann man aber z.B. nicht schnell Outlook auf dessen neuen Notebook starten um gewisse Vorarbeiten zu erledigen - denn die MFA für diesen User steht dem dazwischen.
Wenn man den MA dann anrufen darf (ups, grad in nem Meeting) um von ihm (innerhalb von 30 Sekunden!) den aktuellen Code des Microsoft-Authentikators zu bekommen - würg!
(MFA über SMS oder Telefonanruf ist auch nicht besser)
2. Oder wenn ein MA seit Tagen krank ist und JETZT sollen nachträglich alle emails (Exchange online) der letzten Zeit an einen Stellvertreter übermittelt werden, da wirds mit MFA auch nix. (lassen wir den Datenschutzbeauftragen mal aussen vor, der immer dann nicht da ist wenn der Geschäftsführer vom Admin verlangt JETZT SOFORT die eMails rüber zu schubsen weil da was ganz was wichtiges dabei ist (sein könnte).
3. Der Multifunktionsscanner der wegen Scan-to-Email Zugriff auf die MFA benötigt....
4. Der User der kein Smartphone hat weil er nur ne doofe Excel-Liste aufm Tablet hinten im Lager pflegen soll.
Die MFA ist (spätestens ab Oktober 2025) nur noch firmenweit aktiv, sprich ich kann auch nicht für diesen einen User eine Ausnahme machen und die MFA deaktivieren.
Oder habt ihr ne Möglichkeit als (Tenant Admin mit allen Rechten) zumindest temporär MFA zu deaktiveren, die Arbeiten zu erledigen und dann wieder einzuschalten? Mir ist da leider nichts bekannt.
Wie handhabt ihr sowas technisch bzw. organisatorisch?
Mit möglichst geringem Zeitaufwand...
Grüße vom Serverwolf
Edit: Rechtschreibfehler
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673040
Url: https://administrator.de/forum/microsoft-azure-entra-mfa-wie-geht-ihr-praktisch-damit-um-673040.html
Ausgedruckt am: 28.05.2025 um 20:05 Uhr
2 Kommentare
Neuester Kommentar
Schau dir mal Temporary Access Pass an. Damit dürftest du 1 und 2 abdecken können. Für 3 gibt es einen Eintrag auf learn.microsoft.com und für 4 gibt es andere Möglichkeiten statt des Microsoft Authenticator (wir nutzen Yubikeys).
Eine andere Möglichkeit, die wir auch nutzen, ist die MFA für sichere Geräte oder Netzwerke zu deaktivieren. Sprich alle Geräte an allen unseren Standorten benötigen MFA nur für sicherheitsrelevante Sachen. Alternativ kann man auch Hello for Business nutzen, sprich damit gilt das Endgerät als zweiter Faktor.
Microsoft bietet genug Möglichkeiten und auch entsprechendes Lernmaterial dafür an, muss man nur konsumieren.
Eine andere Möglichkeit, die wir auch nutzen, ist die MFA für sichere Geräte oder Netzwerke zu deaktivieren. Sprich alle Geräte an allen unseren Standorten benötigen MFA nur für sicherheitsrelevante Sachen. Alternativ kann man auch Hello for Business nutzen, sprich damit gilt das Endgerät als zweiter Faktor.
Microsoft bietet genug Möglichkeiten und auch entsprechendes Lernmaterial dafür an, muss man nur konsumieren.
also MFA wenns drum gehen würde das es ein Problem ist, kannst ja im Azure AD bei den Auth Methoden deine Handy Nummer temporär hinterlegen bei dem User und so den Code bekommen.
Wenn der User dir sein Login + PW überlässt zum einrichten des PCs, kannste den PC ja so einrichten, auth per SMS Code. So würde ich das machen.
ODER der richtigere Weg,
dem User klar machen das genau deshalb MFA erfunden worden ist und ohne sein zutun kann der PC eben nicht vorab komplett eingerichtet werden, auch wenns der Geschäftsführer ist.
Und somit muss er sich halt 30 Minuten Zeit nehmen beim ersten anmelden und einrichten....
Ich hatte da noch nie Probleme egal welche Funktionsstuffe...
Und GB Emails syncen ist nicht das Problem, nach 2-3 Minuten sollte das aktuelle Zeug vorhanden sein, ältere Sachen brauchen halt ne weile, solange Outlook offen ist, ist das ja kein Problem...
Hier würde ich temporär meinem Account Zugriffsrechte geben.
Neues Outlook Profil - das Postfach verbinden oder per OWA,
Email entsprechend wunsch weiterleiten und weiterleitung einrichten.
Und dann zumachen und rechte wieder wegnehmen.
ABER Ohne schriftliche Anweisung würde ichs nicht machen.
bzw. wenn GF mir das mündlich aufm Gang sagt würde ich ihm ne Email schicken das es
Datenschutztechnisch so nicht sauber ist und ohne Datenschützer zustimmung so nicht erfolgen darf.
Ausser er bestätig hiermit das es eine Direkte Anweisung von Ihm ist und er die Rechtliche Verantwortung hierfür übernehmt, mit der Bitte nun kurz zu bestätigen was zu tun ist.
Weil wenn du dem Wunsch einfach so entsprichst bist immer DU der wo gegen Gesetzte verstossen hast.
Aber wenn GF die eine direkte Anweisung gibt ist der folge zu leisten aber du bist raus wenn dus schriftlich hast.
Das ist der korrekte Weg.
Gibt hier auch möglichkeiten ohne Office 365 Account/Postfach Emails zu schicken...
Stichwort Email Relay oder man kann auch ohne auth connector einrichten bei Echange Online
das von der IP (Deine feste Standort IP) ohne auth SMTP angenommen wird.
(wenn MS das nicht geändert hat, vor 2 Jahren ging das noch)
User hat auch ein Privat SmartPhone.
Wenn nicht ist zu überlegen ein Firmen Smartphone für 50,- zuzulegen per WLAN und Microsoft Authenticator App drauf.... oder gibt auch kleine Tokens die man einbinden kann...
Bei uns war das dann so, bzw. ist so das beim Account einrichten das auf dem Privaten Handy eingerichtet wird. und Fertig. Bei bestands mitarbeitern ist das klar immer auch ne diskussion, bei neuen keine - wer wiederspricht hier in der Probezeit? Ist so weil ist so. Man kann aber auch einstellen das wenn der Traffic von deiner Firmen IP aus kommt kein Authenticator authentifizierung notwendig ist... bedeutet im Firmen LAN ohne MFA.
Wenn der User dir sein Login + PW überlässt zum einrichten des PCs, kannste den PC ja so einrichten, auth per SMS Code. So würde ich das machen.
ODER der richtigere Weg,
dem User klar machen das genau deshalb MFA erfunden worden ist und ohne sein zutun kann der PC eben nicht vorab komplett eingerichtet werden, auch wenns der Geschäftsführer ist.
Und somit muss er sich halt 30 Minuten Zeit nehmen beim ersten anmelden und einrichten....
Ich hatte da noch nie Probleme egal welche Funktionsstuffe...
Und GB Emails syncen ist nicht das Problem, nach 2-3 Minuten sollte das aktuelle Zeug vorhanden sein, ältere Sachen brauchen halt ne weile, solange Outlook offen ist, ist das ja kein Problem...
Oder wenn ein MA seit Tagen krank ist und JETZT sollen nachträglich alle emails (Exchange online) der letzten Zeit an einen Stellvertreter übermittelt werden, da wirds mit MFA auch nix.
Hier würde ich temporär meinem Account Zugriffsrechte geben.
Neues Outlook Profil - das Postfach verbinden oder per OWA,
Email entsprechend wunsch weiterleiten und weiterleitung einrichten.
Und dann zumachen und rechte wieder wegnehmen.
ABER Ohne schriftliche Anweisung würde ichs nicht machen.
bzw. wenn GF mir das mündlich aufm Gang sagt würde ich ihm ne Email schicken das es
Datenschutztechnisch so nicht sauber ist und ohne Datenschützer zustimmung so nicht erfolgen darf.
Ausser er bestätig hiermit das es eine Direkte Anweisung von Ihm ist und er die Rechtliche Verantwortung hierfür übernehmt, mit der Bitte nun kurz zu bestätigen was zu tun ist.
Weil wenn du dem Wunsch einfach so entsprichst bist immer DU der wo gegen Gesetzte verstossen hast.
Aber wenn GF die eine direkte Anweisung gibt ist der folge zu leisten aber du bist raus wenn dus schriftlich hast.
Das ist der korrekte Weg.
3. Der Multifunktionsscanner der wegen Scan-to-Email Zugriff auf die MFA benötigt....
Gibt hier auch möglichkeiten ohne Office 365 Account/Postfach Emails zu schicken...
Stichwort Email Relay oder man kann auch ohne auth connector einrichten bei Echange Online
das von der IP (Deine feste Standort IP) ohne auth SMTP angenommen wird.
(wenn MS das nicht geändert hat, vor 2 Jahren ging das noch)
4. Der User der kein Smartphone hat weil er nur ne doofe Excel-Liste aufm Tablet hinten im Lager pflegen soll.
User hat auch ein Privat SmartPhone.
Wenn nicht ist zu überlegen ein Firmen Smartphone für 50,- zuzulegen per WLAN und Microsoft Authenticator App drauf.... oder gibt auch kleine Tokens die man einbinden kann...
Bei uns war das dann so, bzw. ist so das beim Account einrichten das auf dem Privaten Handy eingerichtet wird. und Fertig. Bei bestands mitarbeitern ist das klar immer auch ne diskussion, bei neuen keine - wer wiederspricht hier in der Probezeit? Ist so weil ist so. Man kann aber auch einstellen das wenn der Traffic von deiner Firmen IP aus kommt kein Authenticator authentifizierung notwendig ist... bedeutet im Firmen LAN ohne MFA.
