dertowa
Goto Top

Microsoft MFA erstmal zwangsweise die App?

Hallo zusammen,
ich kämpfe gerade mit einem Azure Tenant und der MFA. face-sad
Problem ist, dass der Microsoft Authenticator (oder eine alternative App) bei neuen Accounts offenbar immer erzwungen wird:

mfa

Ich bin im Entra Admin Center schon hergegangen und habe unter:
- Schutz
-- Authentifizierungsmethoden
--- Einstellungen
---> Vom System bevorzugte Multi-Faktor-Methode <- Deaktiviert
--- Registrierungskampagne <- Deaktiviert

Die Migration der Authentifizierungsmethoden ist erledigt und in den
Richtlinien sind diverse Möglichkeiten aktiviert:
  • Microsoft Authenticator
  • SMS
  • Sprachanruf
  • E-Mail OTP

Offensichtlich interessiert es Microsoft nicht und es soll heute jeder ein Smartphone parat haben?
Hat jemand eine Patentlösung dafür, um diese Bevormundung zu beenden? face-big-smile

P.S.: Selbst wenn ich die Einrichtung über die Sicherheitsinformationen im Account angehe, bekomme
ich nicht alle Methoden angeboten:
account
--> hier habe ich den Benutzer testweise mal aus der Authenticator Gruppe ausgeschlossen. face-big-smile

Wenn ich dann das MFA-Setup aufrufe bekomme ich dennoch den o.g. Authenticator Dialog, beim
Klick auf weiter erscheint dann allerdings:
off-mfa

Grüße
ToWa

Content-ID: 3638230783

Url: https://administrator.de/forum/microsoft-mfa-erstmal-zwangsweise-die-app-3638230783.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

StefanKittel
StefanKittel 23.02.2024 um 09:41:26 Uhr
Goto Top
Moin towa,

Zitat von @dertowa:
...es soll heute jeder ein Smartphone parat haben?
Ja

Hat jemand eine Patentlösung dafür, um diese Bevormundung zu beenden? face-big-smile
Nein

Ich empfehle Usern TOTP mit dem Google Authenticator (oder einer anderen TOTP App) zu verwenden.
Der MS Authenticator funktioniert aus unbekannten Grund auf 5-10% aller privaten Smartphones schlicht nicht.

Notfalls per SMS-TAN.

2FA ist sinnvoll und wichtig.
Kennwörter waren noch nie gut. Nur halt billig und einfach zu implementieren.

Stefan
dertowa
dertowa 23.02.2024 um 09:46:25 Uhr
Goto Top
Zitat von @StefanKittel:

Moin towa,

Der MS Authenticator funktioniert aus unbekannten Grund auf 5-10% aller privaten Smartphones schlicht nicht.

Kann ich nicht bestätigen, aber das ist hier auch nicht Thema.

Notfalls per SMS-TAN.

Dafür müsste diese aber auch angeboten werden und darum geht es hier.

2FA ist sinnvoll und wichtig.
Richtig und wird ebenfalls nicht in Frage gestellt.

Grüße
ToWa
11020714020
11020714020 23.02.2024 um 12:01:51 Uhr
Goto Top
dr.weishaupt
dr.weishaupt 23.02.2024 um 15:06:48 Uhr
Goto Top
Hallo ToWa

Das klingt mir nach aktivierten Security Defaults. Diese lassen sich deaktivieren, schau mal hier nach:

Disabling security defaults

Grüsse
Daniel
dertowa
dertowa 23.02.2024 um 21:52:06 Uhr
Goto Top
Zitat von @dr.weishaupt:

Das klingt mir nach aktivierten Security Defaults. Diese lassen sich deaktivieren, schau mal hier nach:

Salut,
ja die Sicherheitsstandards sind an, ist ein neuer Tenant.
Mich wundert, dass Microsoft in dem Zusammenhang zwar die eigene App, eine Telefonnummer und eine "alternative" Telefonnummer zulässt, aber keine SMS oder E-Mail.

So ganz einleuchtend ist das dann mit den Authentifizierungs-Richtlinien nicht?

Ich schmeiß das mal raus, allerdings ist MFA dann auch nicht mehr verpflichtend, also muss ich mich da wohl wieder mit einer Richtlinie auseinandersetzen. face-big-smile

Grüße
ToWa
dertowa
dertowa 19.03.2024, aktualisiert am 20.03.2024 um 08:54:22 Uhr
Goto Top
Eine Nacht rüber u.g. geschlafen, daher editiere ich davor.
Es ist vollkommen logisch, dass der OK-Knopf am Ende zur MFA führt, da ich die direkte Geräteregistration im AzureAD damit eingedämmt habe.
bild1
Die Lösung ist also erstmal den richtigen Knopf zu nutzen.

Eine Erklärung für die Anmeldefenster habe ich allerdings noch nicht, da diese durch Seamless single sign-on eigentlich unterdrückt werden sollten.

Da es nun aber auch weitere Nutzer trifft, habe ich nun erstmal einen Workaround und eine Richtung in der ich mich bewegen kann. face-big-smile

alter Beitrag ------------------------------

Jetzt wird es ein wenig verrückt.
Gerade ruft mich eine Kollegin an, ihr Outlook forderte Sie zur Anmeldung auf.
Kennwort sollte sie eingeben, untypisch da die Konten mit Azure synchronisiert werden.

Dies mal getan, dann kam der MFA Assi...

Abgebrochen, PC-Neustart getestet und wieder das selbe Spiel.
Im Entra AdminCenter kann ich das auch erkennen:
mfa1

Woher es rührt steht dort nicht, dass es unsinnig ist, ist aber Fakt, denn:
Eine Anmeldung an den WebApps von einem anderen System geht problemlos nur mit Kennwort.
Ebenfalls funktioniert eine Anmeldung bei der Kollegin direkt im AD-Account im "InPrivate"-Modus des Browsers.

Auffällig, das Arbeitskonto wurde in den Kontoeinstellungen auch gar nicht mehr aufgeführt.
Die Anmeldemaske zur Kennworteingabe verweist auf "vertrauliche Informationen":
mfa2

Irgendwas war/ist also in den Accounteinstellungen des Benutzers auf dem PC hinterlegt, was eine MFA erforderlich machte.

Da ich zur MFA-Geschichte das Bürotelefon als Option ergänzt hatte, konnten wir den Account damit wieder hinzufügen, das erklärt mir aber nicht die Ursache und warum es nur bei einer Kollegin spontan auftrat...

Grüße
ToWa