a.esposito
Goto Top

Microsoft verlangt MFA innerhalb der nächsten 14 Tage

Hallo zusammen,

ich hätte eine Frage, habe schon viel gesucht aber komme nicht wirklich auf eine Lösung. Im Admin-Portal erscheint neuerdings die Meldung dass innerhalb von 14 Tagen die Sicherheitsstandard aktiviert werden, darunter auch MFA.

Davon mal abgesehen dass mir die 14 Tage schon vor einer Woche angezeigt werden und heute immer noch "14 Tage" angezeigt werden, verstehe ich schon mal nicht.

ich habe schon etwas geforscht und betroffen sind hauptsächlich ältere Tenants vor Oktober 2019, MFA ist ja grundsätzlich was gutes, aber innerhalb von 14 Tage bekomme ich das organisatorisch schon mal nicht hin. Für unsere Admin-Accounts habe ich MFA auch schon aktiv, wir arbeiten aber nur in den Online-Admin-Portalen dort.

Kann man das Ganze noch abwenden? Muss ich jetzt Tag X abwarten und die Sicherheitsstandards danach wieder abschalten? laut einem MS Artikel soll das auch danach noch gehen, weiß jemand das sicher?

Auf welche Dienste und Anwendungen hat das Auswirkungen? Outlook? OWA? Mail-App am Smartphone?

Danke für jeden hilfreichen Tipp.

Content-ID: 93957421047

Url: https://administrator.de/forum/microsoft-verlangt-mfa-innerhalb-der-naechsten-14-tage-93957421047.html

Ausgedruckt am: 26.12.2024 um 14:12 Uhr

RoadRage3
RoadRage3 21.05.2024 um 11:19:22 Uhr
Goto Top
Zitat von @a.esposito:

Hallo zusammen,

Moin face-smile

ich hätte eine Frage, habe schon viel gesucht aber komme nicht wirklich auf eine Lösung. Im Admin-Portal erscheint neuerdings die Meldung dass innerhalb von 14 Tagen die Sicherheitsstandard aktiviert werden, darunter auch MFA.

Davon mal abgesehen dass mir die 14 Tage schon vor einer Woche angezeigt werden und heute immer noch "14 Tage" angezeigt werden, verstehe ich schon mal nicht.

ich habe schon etwas geforscht und betroffen sind hauptsächlich ältere Tenants vor Oktober 2019, MFA ist ja grundsätzlich was gutes, aber innerhalb von 14 Tage bekomme ich das organisatorisch schon mal nicht hin. Für unsere Admin-Accounts habe ich MFA auch schon aktiv, wir arbeiten aber nur in den Online-Admin-Portalen dort.

MS erwartet halt, dass Administratoren selber aktiv werden und diese Dinge einrichten und aktivieren. Wers verschläft wird gezwungen.

Kann man das Ganze noch abwenden? Muss ich jetzt Tag X abwarten und die Sicherheitsstandards danach wieder abschalten? laut einem MS Artikel soll das auch danach noch gehen, weiß jemand das sicher?

Manuell einschalten und anschließend die Sicherheitsstandards direkt wieder deaktivieren. Früher oder später zwingt Microsoft dir das aber wieder auf

Auf welche Dienste und Anwendungen hat das Auswirkungen? Outlook? OWA? Mail-App am Smartphone?

Outlook als Programm wird das einmalig Abfragen wenn du es nicht anders einstellst. Also immer dann, wenn man das Konto neu hinzufügt. Hab das auch bei einer Passwortänderung noch nie neu eingeben müssen.
OWA je nachdem wie es eingerichtet ist. Im Standard wird Microsoft das glaub jedes mal abfragen. Es sei denn, man gibt an, dass es ein vertrauenswürdiger Computer ist.
Mail-App am Smartphone hat sich bei mir bisher so wie das Outlook unter Windows verhalten.

Danke für jeden hilfreichen Tipp.

Gerne, hoffe dir hilfts

Ben
Nebellicht
Nebellicht 21.05.2024 aktualisiert um 11:21:32 Uhr
Goto Top
Hi. Die Frage tauchte hier schon einmal auf. Leider ist die Einstellung in den Tiefen vom owa bzw. Azure zu finden.
Ich konnte mich bisher nicht erinnern, hatte den Schalter jedoch umgelegt. Ggf. mal den Support von M dazu anschreiben in einer Support Anfrage und die Lösung - gerne hier - posten. Gruß nbll
a.esposito
a.esposito 21.05.2024 um 11:53:23 Uhr
Goto Top
an welcher Stelle es man abschalten kann weiß ich mittlerweile, wird hier ganz gut beschrieben:

Deaktivieren von Sicherheitsstandards
Organisationen, die Richtlinien für den bedingten Zugriff implementieren, die Sicherheitsstandards ersetzen, müssen Sicherheitsstandards deaktivieren.

So deaktivieren Sie Sicherheitsstandards in Ihrem Verzeichnis

Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Navigieren Sie zu >Identitätsübersichtseigenschaften>.
Wählen Sie Sicherheitsstandards verwalten aus.
Legen Sie Sicherheitsstandards auf Deaktiviert (nicht empfohlen) fest.
Wählen Sie Speichern aus.

Interessant wäre nur gewesen ob ich diese Meldung vorher noch abwenden kann oder ob ich Tag X tatsächlich abwarten muss um es dann händisch wieder zu deaktivieren.

Danke!
a.esposito
a.esposito 21.05.2024 um 11:54:27 Uhr
Goto Top
Danke! hilft mir auf jeden Fall weiter. Wichtig war es mir nur zu wissen ob ich diese Standards NACH der forcierten Umstellung auch wieder abschalten kann.

Ich versteh schon warum es wichtig ist, würde ich auch sofort aktivieren, aber bei 2000+ Usern benötige ich etwas mehr Zeit und Planung als nur 14 Tage.
9697748851
9697748851 21.05.2024 um 12:00:51 Uhr
Goto Top
aber bei 2000+ Usern benötige ich etwas mehr Zeit und Planung als nur 14 Tage.
Naja, das ist ja nicht erst seit 14 Tage ein Thema ...
Dr.Mabuse
Dr.Mabuse 21.05.2024 aktualisiert um 12:30:36 Uhr
Goto Top
Zitat von @9697748851:

aber bei 2000+ Usern benötige ich etwas mehr Zeit und Planung als nur 14 Tage.
Naja, das ist ja nicht erst seit 14 Tage ein Thema ...

Bin mir nicht sicher ob der folgende Link bei Dir funktioniert. MS hat den mal rausgegeben für Massenänderung, allerdings wollen die eigentlich nicht, dass man den nutzt face-wink

Siehe Bild - LINK
2024-multi-faktor-authentifizierung  [inprivate]

Hinter dem ...aspx kommt dann mein Tenant und der Token, kann ich hier ja schlecht mit senden face-smile
Aber wenn Du als globaler Admin im Azure Portal angemeldet bist, übernimmt er den Tenant dann meiner Meinung nach face-smile

Hoffe es klappt darüber, ansonsten, wir haben es im alten 365 Admin Portal Global abgeschaltet im Entra habe ich die Einstellung dafür nicht wiedergefunden.
9697748851
9697748851 21.05.2024 um 12:41:15 Uhr
Goto Top
Bin mir nicht sicher ob der folgende Link bei Dir funktioniert
Geht auch direkt übers Adminwebpanel:

mfa01

mfa02

Bringt Dich genau dahin.

allerdings wollen die eigentlich nicht, dass man den nutzt face-wink
Aha :D

Gruß
Dr.Mabuse
Dr.Mabuse 21.05.2024 um 12:47:22 Uhr
Goto Top
Geht auch direkt übers Adminwebpanel:

Du meinst m365 Admin Center oder?

Wie ich oben schon schrieb, ja das kommt aus dem alten Admin Portal,
aber das wird ja abgeschafft und im Entra habe ich es nicht gefunden
13034433319
13034433319 21.05.2024 aktualisiert um 13:08:47 Uhr
Goto Top
MS will zukünftig weg von den MFA Settings im Admin-Center die neuen Settings finden sich im Entra Portal in den Richtlinien der Authentifizierungsmethoden (Conditional Access). Also in den alten Settings im Admin Center MFA deaktivieren und im Entra unter Conditional Access für die User alles konfigurieren ...

> aber das wird ja abgeschafft und im Entra habe ich es nicht gefunden
Hier findest du es : FIDO2 Key für M365 verwenden

Gruß
a.esposito
a.esposito 21.05.2024 um 13:14:34 Uhr
Goto Top
nein, ist es nicht... aber die Meldung kam bei mir halt erst jetzt. Wir sind dieses Jahr mit dem Thema beschäftigt, haben auch für wichtige Dienste und User MFA mittels USB-Dongle im Einsatz. Bei M365 ist das aufgrund organisatorischer Themen ein Problem, technisch sind das zwei Klicks und es rennt. Organisatorisch habe ich leider Gegenwind von allen Seiten...
dertowa
dertowa 21.05.2024 aktualisiert um 15:08:17 Uhr
Goto Top
Zitat von @a.esposito:

Organisatorisch habe ich leider Gegenwind von allen Seiten...

Kenn ich, bis dann der Präzedenzfall eintrat: Externer Zugriff auf Account bei Exchange Online
Also ggf. "einfach" halten, aber definitiv aktivieren.

Grüße
ToWa
Teccopter
Teccopter 21.05.2024 um 18:44:17 Uhr
Goto Top
Hallo,
das Ganze steht in Entra mittlerweile so zur Verfügung. Da MS wohl alle paar Tage irgendwas wo anders hin schiebt macht es echt Spass sich mit den ATs zu beschäftigen:

MS Entra Admin starten – Eigenschaften als Suchwort – Mandanteneigenschaften – Unterster Punkt
a.esposito
a.esposito 22.05.2024 um 21:47:35 Uhr
Goto Top
eine Frage noch: wenn ich morgen die Sicherheitsstandards einfach mal aktivieren, fünf Minuten warten und es wieder deaktiviere... Wäre die Meldung dann weg und der Vorgang erstmal abgeschlossen bis zur nächsten Erinnerung?

Ändert erstmal garnichts aber so hätte ich eine gewisse Kontrolle wann dieser Tag X kommt und wäre nicht auf eine Überraschung angewiesen....