6
Microsoft MFA erstmal zwangsweise die App?
Hallo zusammen,
ich kämpfe gerade mit einem Azure Tenant und der MFA.
Problem ist, dass der Microsoft Authenticator (oder eine alternative App) bei neuen Accounts offenbar immer erzwungen wird:
Ich bin im Entra Admin Center schon hergegangen und habe unter:
- Schutz
-- Authentifizierungsmethoden
--- Einstellungen
---> Vom System bevorzugte Multi-Faktor-Methode <- Deaktiviert
--- Registrierungskampagne <- Deaktiviert
Die Migration der Authentifizierungsmethoden ist erledigt und in den
Richtlinien sind diverse Möglichkeiten aktiviert:
Offensichtlich interessiert es Microsoft nicht und es soll heute jeder ein Smartphone parat haben?
Hat jemand eine Patentlösung dafür, um diese Bevormundung zu beenden?
P.S.: Selbst wenn ich die Einrichtung über die Sicherheitsinformationen im Account angehe, bekomme
ich nicht alle Methoden angeboten:
--> hier habe ich den Benutzer testweise mal aus der Authenticator Gruppe ausgeschlossen.
Wenn ich dann das MFA-Setup aufrufe bekomme ich dennoch den o.g. Authenticator Dialog, beim
Klick auf weiter erscheint dann allerdings:
Grüße
ToWa
ich kämpfe gerade mit einem Azure Tenant und der MFA.
Problem ist, dass der Microsoft Authenticator (oder eine alternative App) bei neuen Accounts offenbar immer erzwungen wird:
Ich bin im Entra Admin Center schon hergegangen und habe unter:
- Schutz
-- Authentifizierungsmethoden
--- Einstellungen
---> Vom System bevorzugte Multi-Faktor-Methode <- Deaktiviert
--- Registrierungskampagne <- Deaktiviert
Die Migration der Authentifizierungsmethoden ist erledigt und in den
Richtlinien sind diverse Möglichkeiten aktiviert:
- Microsoft Authenticator
- SMS
- Sprachanruf
- E-Mail OTP
Offensichtlich interessiert es Microsoft nicht und es soll heute jeder ein Smartphone parat haben?
Hat jemand eine Patentlösung dafür, um diese Bevormundung zu beenden?
P.S.: Selbst wenn ich die Einrichtung über die Sicherheitsinformationen im Account angehe, bekomme
ich nicht alle Methoden angeboten:
Wenn ich dann das MFA-Setup aufrufe bekomme ich dennoch den o.g. Authenticator Dialog, beim
Klick auf weiter erscheint dann allerdings:
Grüße
ToWa
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3638230783
Url: https://administrator.de/forum/microsoft-mfa-erstmal-zwangsweise-die-app-3638230783.html
Ausgedruckt am: 23.02.2025 um 03:02 Uhr
6 Kommentare
Neuester Kommentar
Moin towa,
Ja
Ich empfehle Usern TOTP mit dem Google Authenticator (oder einer anderen TOTP App) zu verwenden.
Der MS Authenticator funktioniert aus unbekannten Grund auf 5-10% aller privaten Smartphones schlicht nicht.
Notfalls per SMS-TAN.
2FA ist sinnvoll und wichtig.
Kennwörter waren noch nie gut. Nur halt billig und einfach zu implementieren.
Stefan
Ja
Hat jemand eine Patentlösung dafür, um diese Bevormundung zu beenden?
NeinIch empfehle Usern TOTP mit dem Google Authenticator (oder einer anderen TOTP App) zu verwenden.
Der MS Authenticator funktioniert aus unbekannten Grund auf 5-10% aller privaten Smartphones schlicht nicht.
Notfalls per SMS-TAN.
2FA ist sinnvoll und wichtig.
Kennwörter waren noch nie gut. Nur halt billig und einfach zu implementieren.
Stefan
1
Zitat von @StefanKittel:
Moin towa,
Der MS Authenticator funktioniert aus unbekannten Grund auf 5-10% aller privaten Smartphones schlicht nicht.
Moin towa,
Der MS Authenticator funktioniert aus unbekannten Grund auf 5-10% aller privaten Smartphones schlicht nicht.
Kann ich nicht bestätigen, aber das ist hier auch nicht Thema.
Notfalls per SMS-TAN.
Dafür müsste diese aber auch angeboten werden und darum geht es hier.
2FA ist sinnvoll und wichtig.
Richtig und wird ebenfalls nicht in Frage gestellt.Grüße
ToWa
Ist bei Dir "Bedingter Zugriff" konfiguriert?
https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/Polici ...
https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/Polici ...
Hallo ToWa
Das klingt mir nach aktivierten Security Defaults. Diese lassen sich deaktivieren, schau mal hier nach:
Disabling security defaults
Grüsse
Daniel
Das klingt mir nach aktivierten Security Defaults. Diese lassen sich deaktivieren, schau mal hier nach:
Disabling security defaults
Grüsse
Daniel
Zitat von @dr.weishaupt:
Das klingt mir nach aktivierten Security Defaults. Diese lassen sich deaktivieren, schau mal hier nach:
Das klingt mir nach aktivierten Security Defaults. Diese lassen sich deaktivieren, schau mal hier nach:
Salut,
ja die Sicherheitsstandards sind an, ist ein neuer Tenant.
Mich wundert, dass Microsoft in dem Zusammenhang zwar die eigene App, eine Telefonnummer und eine "alternative" Telefonnummer zulässt, aber keine SMS oder E-Mail.
So ganz einleuchtend ist das dann mit den Authentifizierungs-Richtlinien nicht?
Ich schmeiß das mal raus, allerdings ist MFA dann auch nicht mehr verpflichtend, also muss ich mich da wohl wieder mit einer Richtlinie auseinandersetzen.
Grüße
ToWa
Eine Nacht rüber u.g. geschlafen, daher editiere ich davor.
Es ist vollkommen logisch, dass der OK-Knopf am Ende zur MFA führt, da ich die direkte Geräteregistration im AzureAD damit eingedämmt habe.
Die Lösung ist also erstmal den richtigen Knopf zu nutzen.
Eine Erklärung für die Anmeldefenster habe ich allerdings noch nicht, da diese durch Seamless single sign-on eigentlich unterdrückt werden sollten.
Da es nun aber auch weitere Nutzer trifft, habe ich nun erstmal einen Workaround und eine Richtung in der ich mich bewegen kann.
alter Beitrag ------------------------------
Jetzt wird es ein wenig verrückt.
Gerade ruft mich eine Kollegin an, ihr Outlook forderte Sie zur Anmeldung auf.
Kennwort sollte sie eingeben, untypisch da die Konten mit Azure synchronisiert werden.
Dies mal getan, dann kam der MFA Assi...
Abgebrochen, PC-Neustart getestet und wieder das selbe Spiel.
Im Entra AdminCenter kann ich das auch erkennen:
Woher es rührt steht dort nicht, dass es unsinnig ist, ist aber Fakt, denn:
Eine Anmeldung an den WebApps von einem anderen System geht problemlos nur mit Kennwort.
Ebenfalls funktioniert eine Anmeldung bei der Kollegin direkt im AD-Account im "InPrivate"-Modus des Browsers.
Auffällig, das Arbeitskonto wurde in den Kontoeinstellungen auch gar nicht mehr aufgeführt.
Die Anmeldemaske zur Kennworteingabe verweist auf "vertrauliche Informationen":
Irgendwas war/ist also in den Accounteinstellungen des Benutzers auf dem PC hinterlegt, was eine MFA erforderlich machte.
Da ich zur MFA-Geschichte das Bürotelefon als Option ergänzt hatte, konnten wir den Account damit wieder hinzufügen, das erklärt mir aber nicht die Ursache und warum es nur bei einer Kollegin spontan auftrat...
Grüße
ToWa
Es ist vollkommen logisch, dass der OK-Knopf am Ende zur MFA führt, da ich die direkte Geräteregistration im AzureAD damit eingedämmt habe.
Eine Erklärung für die Anmeldefenster habe ich allerdings noch nicht, da diese durch Seamless single sign-on eigentlich unterdrückt werden sollten.
Da es nun aber auch weitere Nutzer trifft, habe ich nun erstmal einen Workaround und eine Richtung in der ich mich bewegen kann.
alter Beitrag ------------------------------
Jetzt wird es ein wenig verrückt.
Gerade ruft mich eine Kollegin an, ihr Outlook forderte Sie zur Anmeldung auf.
Kennwort sollte sie eingeben, untypisch da die Konten mit Azure synchronisiert werden.
Dies mal getan, dann kam der MFA Assi...
Abgebrochen, PC-Neustart getestet und wieder das selbe Spiel.
Im Entra AdminCenter kann ich das auch erkennen:
Woher es rührt steht dort nicht, dass es unsinnig ist, ist aber Fakt, denn:
Eine Anmeldung an den WebApps von einem anderen System geht problemlos nur mit Kennwort.
Ebenfalls funktioniert eine Anmeldung bei der Kollegin direkt im AD-Account im "InPrivate"-Modus des Browsers.
Auffällig, das Arbeitskonto wurde in den Kontoeinstellungen auch gar nicht mehr aufgeführt.
Die Anmeldemaske zur Kennworteingabe verweist auf "vertrauliche Informationen":
Irgendwas war/ist also in den Accounteinstellungen des Benutzers auf dem PC hinterlegt, was eine MFA erforderlich machte.
Da ich zur MFA-Geschichte das Bürotelefon als Option ergänzt hatte, konnten wir den Account damit wieder hinzufügen, das erklärt mir aber nicht die Ursache und warum es nur bei einer Kollegin spontan auftrat...
Grüße
ToWa
