departure69
Goto Top

MS 365 - Authenticator-App-Zwang?

Hallo.

Wir sind hinsichtlich Microsoft Office bisher immer gut mit Volumenlizenzen für Office 2016 Std. und zuletzt Office 2019 Std. gefahren.

In 2020 kam aber der Wunsch nach Microsoft Teams auf. Wir haben deshalb für alle Nutzer den entsprechenden Plan für Teams (Plan3? - weiß nicht mehr genau) und für ein paar Führungskräfte MS 365 nach Plan 5 (also "großes" Office) beschafft. Unsere hiesige On-Premise-AD-Domäne (mit On-Premise-Exchange) wird mit einer Azure-Domäne gesynct, und dies hat bis vo kurzem wunderbar funktioniert.

Heute meldete eine Teams-Nutzerin, daß der Anmeldedialog von Teams nun eine weitere, zusätzliche Authentifizierung über die Microsoft Authenticator-App verlangt. Ich habe mir den Dialog angesehen, man wird von den Dialogen stets zur Authenticator-App geführt, es gibt keinen Ausweg und es wird auch keine andere Authentifizierungsmethode angeboten. Die Kollegin konnte heute deshalb kein Teams verwenden.

Ich gehe davon aus, daß Microsoft hier eine 2FA erzwingen will, wogegen ich - grundsätzlich - nichts habe.

Problem ist aber: Die App braucht ein Smartphone. Latürnich haben unsere Leute nicht alle Smartphones vom Arbeitgeber erhalten (das sind Ausnahmen, eigentlich nur die Führungskräfte), und ich will und kann die Leute nicht zwingen, hierfür ihr privates Smartphone zu verwenden.

Weiß jemand einen Ausweg?


Vielen Dank.

Viele Grüße

von

departure69

Content-ID: 6244941754

Url: https://administrator.de/forum/ms-365-authenticator-app-zwang-6244941754.html

Ausgedruckt am: 24.12.2024 um 20:12 Uhr

elix2k
Lösung elix2k 06.03.2023 um 15:05:45 Uhr
Goto Top
Hi, einfach die App WinAuth auf dem PC installieren. So habe ich das gelöst...
141986
Lösung 141986 06.03.2023 aktualisiert um 15:07:33 Uhr
Goto Top
Hi,
war am gleichen Punkt

Weiß jemand einen Ausweg?
MFA Mobilnummer hinterlegen (AAD -> User wählen -> Authmethoden > SMS hinzufügen.)

Somit kann der Nutzer: "Ich kann gerade nicht auf die App zugreifen" klicken und kann sich dann eine SMS schicken lassen.

Die Aufforderung per App erhält der Admin am "Adminhandy" und die SMS erhält Chef-Handy.

Da der Login nicht täglich geprüft wird, geht das bei uns auch so ganz gut.

Grüße

Edit:
WinAuth
klingt auch nach einem Versuch, der es wert wäre. Danke für den Hinweiß
mbehrens
mbehrens 06.03.2023 um 15:09:11 Uhr
Goto Top
Zitat von @departure69:

Ich gehe davon aus, daß Microsoft hier eine 2FA erzwingen will, wogegen ich - grundsätzlich - nichts habe.

Problem ist aber: Die App braucht ein Smartphone. Latürnich haben unsere Leute nicht alle Smartphones vom Arbeitgeber erhalten (das sind Ausnahmen, eigentlich nur die Führungskräfte), und ich will und kann die Leute nicht zwingen, hierfür ihr privates Smartphone zu verwenden.

Weiß jemand einen Ausweg?

Wenn MFA genutzt werden soll, nutzte doch einfach einen anderen vom genutzten Azure Active Directory unterstützten Faktor, z. B. FIDO2, OATH, Zertifikate, ...
DerMaddin
Lösung DerMaddin 06.03.2023 um 15:18:46 Uhr
Goto Top
Man kann die 2FA für die eigene WAN-IP Adresse ausschalten. Hier der Link: https://account.activedirectory.windowsazure.com/usermanagement/mfasetti ...
2423392070
Lösung 2423392070 06.03.2023 um 15:22:07 Uhr
Goto Top
Microsoft ruft auch klassisch an.
Doskias
Lösung Doskias 06.03.2023 um 16:07:16 Uhr
Goto Top
Moin,

Wie die Kollegen schon sagen: 2FA bedeutet nicht zwangsläufig Handy/Authenticator-App.

Wir haben für einige 2FA auch ein zentrales IT-Konto hinterlegt. Login erfolgt dann via Nutzername, Kennwort und einem Code, der an das zweite Postfach geschickt wird und 15 Minuten gültig ist.

Gruß
Doskias
eggired
Lösung eggired 06.03.2023 um 18:26:08 Uhr
Goto Top
Hey,
alternativ geht auch der REINER SCT Authenticator. Den haben wir bei uns öfters im Einsatz.

Die Möglichkeit der Authenticator App auf dem privaten Handy kann man ja dennoch anbieten.

Von einer generellen Deaktivierung der 2FA für den Tenant würde ich selbst eher Abstand nehmen, da man sonst den Microsoft-Login um einen wichtigen Schutzfaktor vor unberechtigtem Zugriff beraubt.

Viele Grüße
eggired
dertowa
Lösung dertowa 06.03.2023 um 18:28:12 Uhr
Goto Top
Salut,
man kann doch im im AzureAD die Authentifizierungsmethoden einstellen?
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/AuthenticationMethod ...

Wüsste nicht, dass es aktuell einen Zwang zur Mehrfachauthentifizierung gibt?

Grüße
ToWa
jsysde
Lösung jsysde 06.03.2023 um 19:07:06 Uhr
Goto Top
N'Abend.

MFA geht auch per SMS und alternativer E-Mail-Adresse; letzteres kann z.B. die Support-Adresse sein, damit gleich ein Helpdeskler parat steht, sollte man in die Verlegenheit kommen.

Ansonsten: Password-Management wie z.B. Vaultwarden kann auch TOTP-Codes verarbeiten/bereitstellen.

Oder in Hardware: https://authenticator.reiner-sct.com/de/
Der tanJack deluxe kann das auch und noch mehr, ist aber teurer.

Cheers,
jsysde
Xaero1982
Lösung Xaero1982 06.03.2023 um 21:34:09 Uhr
Goto Top
Und der ganze Spaß hat hier nur indirekt etwas mit der Mehrfaktorauthentifizierung zu tun.

https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.React ...

Dort siehst du unten die Sicherheitsstandards deines Tenants. Wenn du das abdrehst bekommen die Nutzer die Anfrage nicht mehr. Solltest du dir aber überlegen.
departure69
departure69 07.03.2023 aktualisiert um 10:58:07 Uhr
Goto Top
@mbehrens:

Ob MFA genutzt werden soll, weiß ich gar nicht genau. Wenn, dann kommt dieses "Soll" von Microsoft, wir haben da gar nichts gemacht und wären auch nicht auf die Idee gekommen, eine solche haben zu wollen oder einzuführen.

Das kam aus heiterem Himmel, und das einzige, was in den Dialogen angeboten/vorgeschlagen wird, war diese Authenticator-App, auch diese Vorauswahl oder dieser Vorschlag, diese App nutzen zu müssen, kam nicht von uns, sondern unverlangt von Microsoft.

Ich sehe mir aber jetzt mal die anderen möglichen Authentifizierungsmöglichkeiten an.

Danke.

Viele Grüße

von

departure69
departure69
departure69 07.03.2023 um 10:36:34 Uhr
Goto Top
@eggired:

Danke für Deine Antwort.

Eine weitere Hardware an allen Rechnern, auch, wenn sie nur so klein ist wie die Geräte von Reiner SCT (wir haben da tatsächlich ein paar wenige im Einsatz, aber für völlig andere Zwecke) wollen wir eigentlich vermeiden.

Wir haben unsere AD-/domänenweite Passwortsicherheit erst vor kurzem heraufgesetzt und kein Problem damit, auch gegenüber Microsoft/Azure/MS365 weiterhin ausschließlich mit Passworten zu arbeiten.

Trotzdem danke.

Viele Grüße

von

departure69
departure69
departure69 07.03.2023 aktualisiert um 10:59:43 Uhr
Goto Top
@Xaero1982:

Danke für Deine Antwort.

Wie ich es eben gerade an @eggired geantwortet habe, haben wir erst vor kurzem unsere Passwortsicherheit in der DDP massiv erhöht (und den Usern beigebracht, wie sie sich komplexe Kennwörter, die die Richtlinie erfüllen - 12 Zeichen, alphanumerisch, Groß- und Kleinschreibung, Sonderzeichen - bilden können, die man sich trotzdem merken kann und die deshalb hinterher NICHT als Post-It am Bildschirm kleben), somit würden wir eine MFA vermeiden wollen, zumindest solange, wie das noch möglich ist bzw. bis es irgendwann wirklich erzwungen wird.

Ich muß gerade zugeben (hat nichts mit Dir zu tun, @Xaero1982), daß ich von dem ganzen Abo-, 365-, Teams- und ähnlichem Kram mehr und mehr genervt bin.

Unser Chef will demnächst MS365 Plan 5 für alle Mitarbeiter. Ich hab' ihm vorgerechnet, daß uns die VL-Versionen von MS Office bei 10jährigem Support jährlich 25,- EUR/Mitarbeiter kosten, bei MS365 Plan 5 hingegen dasselbe fast monatlich.

Mit dem Abo-Kram haben die Hersteller - nicht nur Microsoft - eine Melkkuh gefunden, die ihresgleichen sucht.

Aber nun genug gejammert, wenn das noch geht, drehe ich diesen Kram erstmal ab und lasse dann von der Leitung entscheiden, ob wir eine 2FA/MFA einführen für MS365 (eigentlich nur für Teams!!!) möchten.

Ein Wahnsinn.


Vielen Dank.

Viele Grüße

von

departure69
2423392070
2423392070 07.03.2023 um 11:08:25 Uhr
Goto Top
Zitat von @departure69:


Unser Chef will demnächst MS365 Plan 5 für alle Mitarbeiter. Ich hab' ihm vorgerechnet, daß uns die VL-Versionen von MS Office bei 10jährigem Support jährlich 25,- EUR/Mitarbeiter kosten, bei MS365 Plan 5 hingegen dasselbe fast monatlich.


Ein Wahnsinn.


Vielen Dank.

Viele Grüße

von

departure69

Und dein Chef? Dein Gehalt zahlt die Caritas? Eure Hardware wird euch geschenkt? Der Strom, die Klimatisierung, der Baukosten usw... Alles vom Himmel gefallen?

VL-Lizenzkosten für OnPrem mit Abo kosten zu vergleichen ist nicht Mal mutig und würde große Zweifel an deiner Person rechtfertigen.
departure69
departure69 07.03.2023 aktualisiert um 11:40:40 Uhr
Goto Top
@2423392070:

Und dein Chef? Dein Gehalt zahlt die Caritas? Eure Hardware wird euch geschenkt? Der Strom, die Klimatisierung, der Baukosten usw... Alles vom Himmel gefallen?


Naja, ich versuche als IT-Systembetreuer halt zu Sparen, zumindest, kein Geld unnötig aus dem Fenster zu werfen. Und wir kriegen VL-Versionen von Microsoft Office über Rahmenverträge extrem günstig (akt. Bsp.: Microsoft Office 2021 Std. für 250,- EUR pro User). Selbst dann, wenn die Kauf-Officeversionen nur noch 7 Jahre Support haben (früher waren's mal 10 Jahre), sind das bis zum EOL 84 Monate und somit 2,98 EUR/Monat. MS365 Plan 5 kostet monatlich mindestens das Fünffache. Selbst Teams allein wäre monatlich teurer. Somit ist MS365 Plan 5 gegenüber O2K21 VL Std. in meinen Augen geradezu heftige Geldverschwendung. So war das gemeint.

VL-Lizenzkosten für OnPrem mit Abo kosten zu vergleichen ist nicht Mal mutig

Ob das mutig ist, ist mir wurst, aber es ist - aus Kostengründen - richtig!

und würde große Zweifel an deiner Person rechtfertigen.

Und was soll das jetzt? Was hab' ich denn jetzt verbrochen? Weil ich Geldverschwendung anprangere? Versteh' ich nicht.


Viele Grüße

von

departure69
2423392070
2423392070 07.03.2023 um 11:50:10 Uhr
Goto Top
Du prangerst keine Verschwendung an, sondern zeigst dass du keine Ahnung von Kosten und Controlling hast.

Mit ein paar Usern lohnt sich OnPrem spätestens wenn es um Exchnage geht nicht und ab ein paar mehr Usern ist die Cloud nicht teuer, sondern die Kosten haben andere Namen.

Oder glaubst du, dass alles anderen nicht rechnen können?
Ich weiß gar nicht wie lange sich dieser Blödsinn noch halten will unter "Admins" mit Controlling-Ausflügen.
departure69
departure69 07.03.2023 aktualisiert um 12:04:12 Uhr
Goto Top
@2423392070:

Hhmmm, der Exchange ist ein 2016er, der auch noch 3 Jahre bis zum EOL hat. Der ist bezahlt und war - ebenfalls durch Beschaffung im Rahmenvertrag - sehr günstig.

Ich hab' auch gar nicht behauptet, daß ich Ahnung von Kosten und Controlling habe, habe aber die in meinem Bereich anfallenden Kosten klar im Blick. Und nach derzeitigem Stand ist meine Betrachtung richtig, die Zahlen sprechen für sich. Aber es mag gerne sein, daß das anderswo anders ist.

Aber ich gerate Off-Topic, darum ging's mir ja gar nicht, ich mußte nur kurz meinen Unmut loswerden ... nicht böse gemeint, gegen niemanden.

Ich kümmere mich jetzt um die - vermutlich irgendwann zwangsweise bevorstehende - MFA bei Teams bzw. MS365 und bin gespannt, was daraus wird. "WinAuth" gefällt mir schonmal sehr gut.

Allen, die hier geantwortet haben, sag' ich vielen Dank. face-smile


Viele Grüße

von

departure69
DerMaddin
DerMaddin 07.03.2023 um 12:05:53 Uhr
Goto Top
Gegen das Einsparen von Geld bei IT-Ausgaben ist nichts einzuwenden, aber man sollte links und rechts schauen was so neues in der IT passiert. Ich möchte nicht in einem Unternehmen arbeiten in dem Software und evtl. auch Hardware so lange eingesetzt wird, bis es keinen Support mehr dafür gibt oder gravierende Probleme entstehen, weil Software A zu alt ist und kein passender Ersatz mehr zu finden ist oder keine Firma mehr Fachleute dafür hat.

Zum Glück ist unser "CEO" da anderer Ansicht und auch ein Technikfan. Er selbst treibt es voran, dass Windows 11 an alle ausgerollt wird und die Software entsprechend aktuell ist.

Überall in der Welt von kommerzieller Software geht der Weg in Richtung SaaS und auch Office 2021 ist ab 2025 am Ende.
2423392070
2423392070 07.03.2023 um 12:27:51 Uhr
Goto Top
Unser Vorstand setzt zu Teilen auf SaaS und Cloud weil es günstiger ist.
Die wenigen wirklichen Profis die wir haben, setzen wir nur wenn nötig hin zum administrieren, des Kindergartens von MS.

Wir wollen und müssen Geld verdienen, das ist die eigene IT Selbstzweck.

Ein Abo ist immer günstiger und ist auch von der Kostenart mit Vorteilen verbunden.

Es geht aber nicht darum Anschaffungspreise auf auf Laufzeiten zu verteilen, dass ist Milchmädchen-Aschbacken-Kuchenbacken-Arithmetik. Es geht darum, was der gesamte Laden kostet und was die IT leisten kann, dass einfacher mehr Geld verdient werden kann.
Auf seinen OnPrem-Strukturen sich um Kopf und Kragen zu Reden ist der Grund warum 11 von 10 der erfolgreichste IT-Unternehmen aus Deutschland kommen.
2423392070
2423392070 07.03.2023 um 12:29:56 Uhr
Goto Top
Zitat von @DerMaddin:


Zum Glück ist unser "CEO" da anderer Ansicht und auch ein Technikfan. Er selbst treibt es voran, dass Windows 11 an alle ausgerollt wird und die Software entsprechend aktuell ist.

Überall in der Welt von kommerzieller Software geht der Weg in Richtung SaaS und auch Office 2021 ist ab 2025 am Ende.

Guter Mann. Bei uns heißt der COO und ich als CIO für meinen Bereich habe auch so einen Chef, der aus Prinzip sich neue Sachen anguckt und mit mir zusammen die Buchhalter, Controller und Einkäufer in die Spur schickt.
Will ich nicht missen.
Würde da ein anderer Charakter sitzen wäre nicht nur ich Weg.
Doskias
Doskias 07.03.2023 um 12:33:18 Uhr
Goto Top
Zitat von @departure69:
Naja, ich versuche als IT-Systembetreuer halt zu Sparen, zumindest, kein Geld unnötig aus dem Fenster zu werfen.
Das ist löblich, aber:

Und wir kriegen VL-Versionen von Microsoft Office über Rahmenverträge extrem günstig (akt. Bsp.: Microsoft Office 2021 Std. für 250,- EUR pro User). Selbst dann, wenn die Kauf-Officeversionen nur noch 7 Jahre Support haben (früher waren's mal 10 Jahre), sind das bis zum EOL 84 Monate und somit 2,98 EUR/Monat. MS365 Plan 5 kostet monatlich mindestens das Fünffache. Selbst Teams allein wäre monatlich teurer. Somit ist MS365 Plan 5 gegenüber O2K21 VL Std. in meinen Augen geradezu heftige Geldverschwendung. So war das gemeint.

Ich hab jetzt (auf die schnelle) nur MS Project Plan 5 gefunden, oder meinst du Office 365 E5? aber was du hier machst ist Äpfel mit Birnen zu vergleichen. Wenn du Office 2021 Std für 250 € dem Abo-Variante gegenüber stellen willst, dann musst du Microsoft 365 Apps for Business nehmen. Apps for business entspricht am ehesten Office 2021. Der Office 365 E5 beinhaltet weitaus mehr. Apps for Business kostet 8,80 € im Monat. bei 250 € für die Kauf-Version sind das 28,4 Monate nachdem Apps for Business teurer ist als die Kauf-Version. Du hast dafür immer die aktuelle Release-Variante und wenn ich mir die Releases von Office der letzten 3 Versionen anschaue (2016,2019,2021) dann ist die neue Version nach 28 Monaten wirklich nicht zu teuer. Klar, die Kauf-Version kann ich länger nutzen, aber ich habe lieber Überall die gleiche Version als überall unterschiedliche Versionen, die sich alleine beim Drucken anders verhalten.
Darüber hinaus: Im Office 365 musst du zwar jeden User lizensieren, dafür darf er sich an 5 Rechnern damit anmelden. Dadurch, dass du Office 2021 aber pro Rechner lizensierst, Office 365 aber pro User, ist das ganze schwer zu vergleichen. Hast du einen User der sich an 2 Rechnern anmelden muss (zum Beispiel festen Office-Rechner und einen mobilen Laptop), dann kannst du das mit einer Office 365 Lizenz abdecken, wo du sonst 2 Office 2021 Lizenzen brauchen würdest. Wenn sich hingegen 3 Leute einen Rechner teilen, dann würde eine Office 2021 Lizenz reichen. Bei Office 365 brauchst du aber 3 Lizenzen. Allein dieses unterschiedliche Lizensierung macht das ganze schwer vergleichbar, deswegen Äpfel und Birnen.

Gruß
Doskias
dertowa
dertowa 07.03.2023 um 15:13:00 Uhr
Goto Top
Zitat von @departure69:
Das kam aus heiterem Himmel, und das einzige, was in den Dialogen angeboten/vorgeschlagen wird, war diese Authenticator-App, auch diese Vorauswahl oder dieser Vorschlag, diese App nutzen zu müssen, kam nicht von uns, sondern unverlangt von Microsoft.

Salut,

aus heiterem Himmel kommt da eigentlich gar nichts.
Ich erinnere mich noch daran, dass ich im Admincenter vor mind. 1 Jahr einen Hinweis hatte, dass MFA für unseren Mandanten ansteht und ich entsprechende Anpassungen vornehmen soll, wenn dies nicht in unserem Interesse wäre.

Wurde getan und seither ist da auch nichts passiert. face-smile

Grüße
ToWa
Saftnase
Saftnase 07.03.2023 um 15:36:29 Uhr
Goto Top
Zitat von @2423392070:

Zitat von @departure69:


Unser Chef will demnächst MS365 Plan 5 für alle Mitarbeiter. Ich hab' ihm vorgerechnet, daß uns die VL-Versionen von MS Office bei 10jährigem Support jährlich 25,- EUR/Mitarbeiter kosten, bei MS365 Plan 5 hingegen dasselbe fast monatlich.


Ein Wahnsinn.


Vielen Dank.

Viele Grüße

von

departure69

Und dein Chef? Dein Gehalt zahlt die Caritas? Eure Hardware wird euch geschenkt? Der Strom, die Klimatisierung, der Baukosten usw... Alles vom Himmel gefallen?

VL-Lizenzkosten für OnPrem mit Abo kosten zu vergleichen ist nicht Mal mutig und würde große Zweifel an deiner Person rechtfertigen.

Kostenvergleiche OnPrem mit CloudAbo sind nicht mutig sondern Pflicht für jeder IT Verantwortlichen der seinen Job ernst nimmt. Ich habe grundsätzlich Zweifel an smarten und meinungsstarken Sales /Pre-Sales Typen die Cloud first schreien aber noch nie eine Zeile Code geschrieben haben und sofort nach dem Support fragen wenn sie versuchen den Netzwerkstecker in die USB Buchse zu rammen. Kostet mich nur ein lockeres Excel Sheet um die Argumente zu zerlegen.
dertowa
dertowa 07.03.2023 um 16:13:37 Uhr
Goto Top
Zitat von @Saftnase:
Kostenvergleiche OnPrem mit CloudAbo sind nicht mutig sondern Pflicht für jeder IT Verantwortlichen der seinen Job ernst nimmt. ...Kostet mich nur ein lockeres Excel Sheet um die Argumente zu zerlegen.

Nicht zwingend, denn dann kommt wieder jemand her und sagt die monatlichen Kosten kann man wunderbar direkt in die unternehmerischen Kosten packen, langfristige Anschaffungen sind zu aktivieren und abzuschreiben.

Je nach Betrachtungswinkel hat man durch die stetigen, laufenden Kosten also auch noch einen Vorteil. face-smile

Grüße
2423392070
2423392070 07.03.2023 um 16:41:10 Uhr
Goto Top
Du scheinst die Bedeutung des Wortes Kosten zu kennen.

An Kennzahlen gemessen ist OnPrem sehr teuer und nicht alle Kennzahlen kann ich frei bewerten, sondern es gibt Maßstäbe dazu. Teilweise international genormt, zur besseren Vergleichbarkeit.

Mir einen Raum zu schaffen in der Liegenschaft und eine Millionen Euro ins Rack zu stellen ist teuerer als die selbe Summe Geld Microsoft zu geben, für den selben Zeitraum und vergleichbare Leistung.
Selbe Summe Geld auf dem Konto, andere Form der Kosten mit zugehörigen Vorteilen und Konsequenzen.
GrueneSosseMitSpeck
GrueneSosseMitSpeck 07.03.2023 aktualisiert um 19:44:15 Uhr
Goto Top
ich muß aber auch sagen daß das stark nach Cloud Anbieter variiert, AWS kommt uns für klassische Active Directory-Umgebungen, ein paar Fileshares, RDS (gemanagter SQL Server) doppelt so teuer wie Azure. Im Gesamtpaket, mit der ganzen IT Security und dem Operations drumherum und dem Support sind mir die nicht unerheblichen Kosten plausible. Bei AWS ist meiner Erfahrung nach der Support um Klassen besser wie in Azure, Azure ist halt billiger.

Aber auch Großunternehmen haben gewisse Sparzwänge bzw feste Budgets für Abteilungen... da heißt es vermeidbare Kosten für den Betrieb lieber in Personal zu investieren, denn unsere Auftragsbücher sind voll.

Deshalb geht bei uns halt auch nicht alles sofort in die Cloud sondern wir wägen das sorgfältig ab. Weil On Premise ohne Oeprations, IT Support und Security 60 (Azure)-80% (AWS) billiger ist, macht das manchmal trotzdem Sinn, nen Server und VPN Appliances zu kaufen und die hosten zu lassen - jedenfalls stellt sich das bei uns so dar. Wir habne eigene Fachleute, die für so eine nichtproduktive Umgebung ca. einen Tag pro Monat investieren.

Edit die "Federation" muß jemand einrichten, der M365 Adminrechte für die Lizenzen hat. Dann kann man mit einem Unternehmenslogin auf office.com ebenfalls ein Login machen, dazu gibts vier URLs die man da hinterlegen muß, z.B. die für den SSO Ping.

Solange es aber keine Unternehmensvorgaben gibt kann jeder User selber unter dieser URL seine MFAs einstellen

aka.ms/mfasetup
Juppeck01
Juppeck01 11.03.2023 um 02:05:41 Uhr
Goto Top
Das Problem haben wir nicht. Wir machen M365 und nutzen auch eine Hybrid-Lösung und synch'n nach o365 hoch.
Die Credentials werden mit mit einem Dienst nach o365 erledigt.
Mir ist es auch möglich, out-of-Office mit dem Browser auf meinen M365 Tennant anzumelden.
Es muss also was anderes sein.
dertowa
dertowa 21.03.2023 um 19:47:02 Uhr
Goto Top
Hallo noch mal,
ich wollte auch noch den grundlegenden Hinweis teilen, da ich gerade bei einem Mandanten noch mal über das Thema gestolpert bin.
Die grundsätzlichen Sicherheitsstandards sind hier zu finden:

modern

um dort aber die entsprechenden Einträge zu sehen ist ggf. der Sicherheitsstandard des Mandanten anzupassen:

Grüße
ToWa
Xaero1982
Xaero1982 21.03.2023 um 20:13:15 Uhr
Goto Top
Das was du da zeigst ist nur die Moderne Authentifizierung. Die Sicherheitsstandards werden über Azure verwaltet. Hatte ich schon am 06.03 geschrieben.

Die Moderne Authentifizierung abdrehen würde ich nicht.

Grüße
dertowa
dertowa 21.03.2023 um 20:36:22 Uhr
Goto Top
Zitat von @Xaero1982:

Hatte ich schon am 06.03 geschrieben.

Ja ich ja auch, sogar noch vor dir face-big-smile aber das lässt sich offenbar nur noch mit einer AD Premium verwalten.
Die ist nicht überall vorhanden.

Zum Test blieb mir gerade nur die Option die moderne Authentifizierung abzudrehen.
Danach konnte ich zumindest den Test für den neuen Mandanten machen.

... natürlich bleibt es anschließend bei der Multi-Faktor-Methode und die moderne Authentifizierung bleibt auch an. face-smile

Grüße
Xaero1982
Xaero1982 21.03.2023, aktualisiert am 22.03.2023 um 09:05:30 Uhr
Goto Top
Zitat von @dertowa:

Zitat von @Xaero1982:

Hatte ich schon am 06.03 geschrieben.

Ja ich ja auch, sogar noch vor dir face-big-smile aber das lässt sich offenbar nur noch mit einer AD Premium verwalten.
Die ist nicht überall vorhanden.

Zum Test blieb mir gerade nur die Option die moderne Authentifizierung abzudrehen.
Danach konnte ich zumindest den Test für den neuen Mandanten machen.

... natürlich bleibt es anschließend bei der Multi-Faktor-Methode und die moderne Authentifizierung bleibt auch an. face-smile

Grüße

Das hier:
MS 365 - Authenticator-App-Zwang?
hat aber nichts mit den Sicherheitsstandards des Tenants zu tun.
Die werden hier ein- oder abgeschaltet:
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.React ...
Edit: -> Eigenschaften
Unter Sicherheitsstandards verwalten

Und um das abzuschalten braucht man keine Premiumlizenz.
dertowa
dertowa 22.03.2023 um 08:25:51 Uhr
Goto Top
Zitat von @Xaero1982:
hat aber nichts mit den Sicherheitsstandards des Tenants zu tun.
Die werden hier ein- oder abgeschaltet:
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.React ...
Unter Sicherheitsstandards verwalten

Und um das abzuschalten braucht man keine Premiumlizenz.

Der Meinung war / bin ich auch, aber den Punkt gibt es gar nicht, bzw. er ist irgendwo anders hingewandert?
Ggf. bin ich auch einfach blind...
entra

Grüße
ToWa
Xaero1982
Xaero1982 22.03.2023 um 09:04:50 Uhr
Goto Top
Du musst auf Eigenschaften gehen face-smile
RookieBoy
RookieBoy 27.11.2023 aktualisiert um 15:00:20 Uhr
Goto Top
Meine Lösung:

Auf Admin-Seite:
- Unter: https://admin.microsoft.com/ als Organisations-Admin anmelden und nach dem User suchen + anhaken
- Im oberen Bereich auf "Multi-Faktor-Authentifizierung" klicken
- Auf die Lupe klicken und nach dem betroffenen User suchen
- User anklicken und auf der rechten Seite "Deaktivieren" klicken
- Anschließend, wieder auf der rechten Seite auf "Aktivieren" und "Erzwingen" klicken

Auf User-Seite:
- Unter https://office.com/ muss sich der User mit seiner E-Mail-Adresse und Passwort anmelden
- Oben rechts auf sein Profil klicken und auf "Konto anzeigen" klicken
- Auf der linken Seite auf "Sicherheitsinformation" anklicken
- Auf "+ Anmeldemethode hinzufügen" klicken
- Authenticator-App auswählen und Hinzufügen klicken
- Auf "Ich möchte eine andere Authentifikator-App verwenden" klicken
- Auf "Weiter" und "Das Bild wird nicht gescannt?" klicken
- Im Microsoft-Store folgende App laden und installieren: "Protecc"
- In "Protecc" oben auf das + klicken, anschließend auf "Enter Key" klicken
- Kontoname und Geheimer Schlüssel kopieren und in die entsprechenden Felder der App "Protecc" einfügen
- "Next" klicken

Ich habe die App "Protecc" per intune Softwareverteilung prophylaktisch auf alle PCs und Laptops ausgerollt. Da scheinbar nicht alle User betroffen sind, verteile ich nur den betroffenen Usern eine selbstgemachte einfache Schritt für Schritt Anleitung mit Screenshots, zwecks Einrichtung 2FA, nachdem ich die 2FA der betroffenen Accounts wie oben beschrieben de- und aktiviert habe.

Grund ist hier wohl (Zitat "buerger-cert-newsletter_smime@newsletter.gsb.bund.de"):

Microsofts Authenticator mit neuem Schutz gegen Ermüdungsangriffe

Microsoft verbessert die Sicherheit seines Authenticators, der für die Mehr-Faktor-Authentisierung verwendet wird. Die App unterdrückt nun verdächtige Anfragen, um sogenannte Ermüdungsangriffe zu verhindern. In der Vergangenheit ermüdeten Angreiferinnen und Angreifer ihre Opfer so lange mit Anfragen, bis sie schließlich Zugriff erhielten. Die aktualisierte Funktion fordert Nutzerinnen und Nutzer auf, die Authenticator-App zu öffnen und eine angezeigte Zahl einzugeben, anstatt verdächtige Anfragen direkt anzuzeigen. Dies soll die Sicherheit erhöhen und die Effektivität von Cyberangriffen erschweren.

Heise Online über das Update bei Authenticator:
https://www.heise.de/news/Microsoft-Authenticator-unterdrueckt-verdaecht ...

Bonus:
Ein schönes Video, welches eventuell relevant für jeden Azure-Admin sein könnte:
https://www.youtube.com/watch?v=ZJu8ArhzUOM
Xaero1982
Xaero1982 27.11.2023 um 21:43:56 Uhr
Goto Top
Das ist schön, hat aber rein gar nichts mit dem Beitrag zu tun face-smile
RookieBoy
RookieBoy 25.01.2024 um 11:17:34 Uhr
Goto Top
Was genau hat meine Lösung nicht mit dem Beitrag zu tun?
RookieBoy
RookieBoy 29.01.2024 um 17:53:53 Uhr
Goto Top
Was genau hat meine Lösung nicht mit dem Beitrag zu tun?