MS 365 - Authenticator-App-Zwang?
Hallo.
Wir sind hinsichtlich Microsoft Office bisher immer gut mit Volumenlizenzen für Office 2016 Std. und zuletzt Office 2019 Std. gefahren.
In 2020 kam aber der Wunsch nach Microsoft Teams auf. Wir haben deshalb für alle Nutzer den entsprechenden Plan für Teams (Plan3? - weiß nicht mehr genau) und für ein paar Führungskräfte MS 365 nach Plan 5 (also "großes" Office) beschafft. Unsere hiesige On-Premise-AD-Domäne (mit On-Premise-Exchange) wird mit einer Azure-Domäne gesynct, und dies hat bis vo kurzem wunderbar funktioniert.
Heute meldete eine Teams-Nutzerin, daß der Anmeldedialog von Teams nun eine weitere, zusätzliche Authentifizierung über die Microsoft Authenticator-App verlangt. Ich habe mir den Dialog angesehen, man wird von den Dialogen stets zur Authenticator-App geführt, es gibt keinen Ausweg und es wird auch keine andere Authentifizierungsmethode angeboten. Die Kollegin konnte heute deshalb kein Teams verwenden.
Ich gehe davon aus, daß Microsoft hier eine 2FA erzwingen will, wogegen ich - grundsätzlich - nichts habe.
Problem ist aber: Die App braucht ein Smartphone. Latürnich haben unsere Leute nicht alle Smartphones vom Arbeitgeber erhalten (das sind Ausnahmen, eigentlich nur die Führungskräfte), und ich will und kann die Leute nicht zwingen, hierfür ihr privates Smartphone zu verwenden.
Weiß jemand einen Ausweg?
Vielen Dank.
Viele Grüße
von
departure69
Wir sind hinsichtlich Microsoft Office bisher immer gut mit Volumenlizenzen für Office 2016 Std. und zuletzt Office 2019 Std. gefahren.
In 2020 kam aber der Wunsch nach Microsoft Teams auf. Wir haben deshalb für alle Nutzer den entsprechenden Plan für Teams (Plan3? - weiß nicht mehr genau) und für ein paar Führungskräfte MS 365 nach Plan 5 (also "großes" Office) beschafft. Unsere hiesige On-Premise-AD-Domäne (mit On-Premise-Exchange) wird mit einer Azure-Domäne gesynct, und dies hat bis vo kurzem wunderbar funktioniert.
Heute meldete eine Teams-Nutzerin, daß der Anmeldedialog von Teams nun eine weitere, zusätzliche Authentifizierung über die Microsoft Authenticator-App verlangt. Ich habe mir den Dialog angesehen, man wird von den Dialogen stets zur Authenticator-App geführt, es gibt keinen Ausweg und es wird auch keine andere Authentifizierungsmethode angeboten. Die Kollegin konnte heute deshalb kein Teams verwenden.
Ich gehe davon aus, daß Microsoft hier eine 2FA erzwingen will, wogegen ich - grundsätzlich - nichts habe.
Problem ist aber: Die App braucht ein Smartphone. Latürnich haben unsere Leute nicht alle Smartphones vom Arbeitgeber erhalten (das sind Ausnahmen, eigentlich nur die Führungskräfte), und ich will und kann die Leute nicht zwingen, hierfür ihr privates Smartphone zu verwenden.
Weiß jemand einen Ausweg?
Vielen Dank.
Viele Grüße
von
departure69
Please also mark the comments that contributed to the solution of the article
Content-ID: 6244941754
Url: https://administrator.de/contentid/6244941754
Printed on: November 8, 2024 at 18:11 o'clock
37 Comments
Latest comment
Hi,
war am gleichen Punkt
Somit kann der Nutzer: "Ich kann gerade nicht auf die App zugreifen" klicken und kann sich dann eine SMS schicken lassen.
Die Aufforderung per App erhält der Admin am "Adminhandy" und die SMS erhält Chef-Handy.
Da der Login nicht täglich geprüft wird, geht das bei uns auch so ganz gut.
Grüße
Edit:
war am gleichen Punkt
Weiß jemand einen Ausweg?
MFA Mobilnummer hinterlegen (AAD -> User wählen -> Authmethoden > SMS hinzufügen.)Somit kann der Nutzer: "Ich kann gerade nicht auf die App zugreifen" klicken und kann sich dann eine SMS schicken lassen.
Die Aufforderung per App erhält der Admin am "Adminhandy" und die SMS erhält Chef-Handy.
Da der Login nicht täglich geprüft wird, geht das bei uns auch so ganz gut.
Grüße
Edit:
WinAuth
klingt auch nach einem Versuch, der es wert wäre. Danke für den HinweißZitat von @departure69:
Ich gehe davon aus, daß Microsoft hier eine 2FA erzwingen will, wogegen ich - grundsätzlich - nichts habe.
Problem ist aber: Die App braucht ein Smartphone. Latürnich haben unsere Leute nicht alle Smartphones vom Arbeitgeber erhalten (das sind Ausnahmen, eigentlich nur die Führungskräfte), und ich will und kann die Leute nicht zwingen, hierfür ihr privates Smartphone zu verwenden.
Weiß jemand einen Ausweg?
Problem ist aber: Die App braucht ein Smartphone. Latürnich haben unsere Leute nicht alle Smartphones vom Arbeitgeber erhalten (das sind Ausnahmen, eigentlich nur die Führungskräfte), und ich will und kann die Leute nicht zwingen, hierfür ihr privates Smartphone zu verwenden.
Weiß jemand einen Ausweg?
Wenn MFA genutzt werden soll, nutzte doch einfach einen anderen vom genutzten Azure Active Directory unterstützten Faktor, z. B. FIDO2, OATH, Zertifikate, ...
Man kann die 2FA für die eigene WAN-IP Adresse ausschalten. Hier der Link: https://account.activedirectory.windowsazure.com/usermanagement/mfasetti ...
Microsoft ruft auch klassisch an.
Hey,
alternativ geht auch der REINER SCT Authenticator. Den haben wir bei uns öfters im Einsatz.
Die Möglichkeit der Authenticator App auf dem privaten Handy kann man ja dennoch anbieten.
Von einer generellen Deaktivierung der 2FA für den Tenant würde ich selbst eher Abstand nehmen, da man sonst den Microsoft-Login um einen wichtigen Schutzfaktor vor unberechtigtem Zugriff beraubt.
Viele Grüße
eggired
alternativ geht auch der REINER SCT Authenticator. Den haben wir bei uns öfters im Einsatz.
Die Möglichkeit der Authenticator App auf dem privaten Handy kann man ja dennoch anbieten.
Von einer generellen Deaktivierung der 2FA für den Tenant würde ich selbst eher Abstand nehmen, da man sonst den Microsoft-Login um einen wichtigen Schutzfaktor vor unberechtigtem Zugriff beraubt.
Viele Grüße
eggired
Salut,
man kann doch im im AzureAD die Authentifizierungsmethoden einstellen?
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/AuthenticationMethod ...
Wüsste nicht, dass es aktuell einen Zwang zur Mehrfachauthentifizierung gibt?
Grüße
ToWa
man kann doch im im AzureAD die Authentifizierungsmethoden einstellen?
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/AuthenticationMethod ...
Wüsste nicht, dass es aktuell einen Zwang zur Mehrfachauthentifizierung gibt?
Grüße
ToWa
N'Abend.
MFA geht auch per SMS und alternativer E-Mail-Adresse; letzteres kann z.B. die Support-Adresse sein, damit gleich ein Helpdeskler parat steht, sollte man in die Verlegenheit kommen.
Ansonsten: Password-Management wie z.B. Vaultwarden kann auch TOTP-Codes verarbeiten/bereitstellen.
Oder in Hardware: https://authenticator.reiner-sct.com/de/
Der tanJack deluxe kann das auch und noch mehr, ist aber teurer.
Cheers,
jsysde
MFA geht auch per SMS und alternativer E-Mail-Adresse; letzteres kann z.B. die Support-Adresse sein, damit gleich ein Helpdeskler parat steht, sollte man in die Verlegenheit kommen.
Ansonsten: Password-Management wie z.B. Vaultwarden kann auch TOTP-Codes verarbeiten/bereitstellen.
Oder in Hardware: https://authenticator.reiner-sct.com/de/
Der tanJack deluxe kann das auch und noch mehr, ist aber teurer.
Cheers,
jsysde
Und der ganze Spaß hat hier nur indirekt etwas mit der Mehrfaktorauthentifizierung zu tun.
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.React ...
Dort siehst du unten die Sicherheitsstandards deines Tenants. Wenn du das abdrehst bekommen die Nutzer die Anfrage nicht mehr. Solltest du dir aber überlegen.
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.React ...
Dort siehst du unten die Sicherheitsstandards deines Tenants. Wenn du das abdrehst bekommen die Nutzer die Anfrage nicht mehr. Solltest du dir aber überlegen.
Zitat von @departure69:
Unser Chef will demnächst MS365 Plan 5 für alle Mitarbeiter. Ich hab' ihm vorgerechnet, daß uns die VL-Versionen von MS Office bei 10jährigem Support jährlich 25,- EUR/Mitarbeiter kosten, bei MS365 Plan 5 hingegen dasselbe fast monatlich.
Ein Wahnsinn.
Vielen Dank.
Viele Grüße
von
departure69
Unser Chef will demnächst MS365 Plan 5 für alle Mitarbeiter. Ich hab' ihm vorgerechnet, daß uns die VL-Versionen von MS Office bei 10jährigem Support jährlich 25,- EUR/Mitarbeiter kosten, bei MS365 Plan 5 hingegen dasselbe fast monatlich.
Ein Wahnsinn.
Vielen Dank.
Viele Grüße
von
departure69
Und dein Chef? Dein Gehalt zahlt die Caritas? Eure Hardware wird euch geschenkt? Der Strom, die Klimatisierung, der Baukosten usw... Alles vom Himmel gefallen?
VL-Lizenzkosten für OnPrem mit Abo kosten zu vergleichen ist nicht Mal mutig und würde große Zweifel an deiner Person rechtfertigen.
Du prangerst keine Verschwendung an, sondern zeigst dass du keine Ahnung von Kosten und Controlling hast.
Mit ein paar Usern lohnt sich OnPrem spätestens wenn es um Exchnage geht nicht und ab ein paar mehr Usern ist die Cloud nicht teuer, sondern die Kosten haben andere Namen.
Oder glaubst du, dass alles anderen nicht rechnen können?
Ich weiß gar nicht wie lange sich dieser Blödsinn noch halten will unter "Admins" mit Controlling-Ausflügen.
Mit ein paar Usern lohnt sich OnPrem spätestens wenn es um Exchnage geht nicht und ab ein paar mehr Usern ist die Cloud nicht teuer, sondern die Kosten haben andere Namen.
Oder glaubst du, dass alles anderen nicht rechnen können?
Ich weiß gar nicht wie lange sich dieser Blödsinn noch halten will unter "Admins" mit Controlling-Ausflügen.
Gegen das Einsparen von Geld bei IT-Ausgaben ist nichts einzuwenden, aber man sollte links und rechts schauen was so neues in der IT passiert. Ich möchte nicht in einem Unternehmen arbeiten in dem Software und evtl. auch Hardware so lange eingesetzt wird, bis es keinen Support mehr dafür gibt oder gravierende Probleme entstehen, weil Software A zu alt ist und kein passender Ersatz mehr zu finden ist oder keine Firma mehr Fachleute dafür hat.
Zum Glück ist unser "CEO" da anderer Ansicht und auch ein Technikfan. Er selbst treibt es voran, dass Windows 11 an alle ausgerollt wird und die Software entsprechend aktuell ist.
Überall in der Welt von kommerzieller Software geht der Weg in Richtung SaaS und auch Office 2021 ist ab 2025 am Ende.
Zum Glück ist unser "CEO" da anderer Ansicht und auch ein Technikfan. Er selbst treibt es voran, dass Windows 11 an alle ausgerollt wird und die Software entsprechend aktuell ist.
Überall in der Welt von kommerzieller Software geht der Weg in Richtung SaaS und auch Office 2021 ist ab 2025 am Ende.
Unser Vorstand setzt zu Teilen auf SaaS und Cloud weil es günstiger ist.
Die wenigen wirklichen Profis die wir haben, setzen wir nur wenn nötig hin zum administrieren, des Kindergartens von MS.
Wir wollen und müssen Geld verdienen, das ist die eigene IT Selbstzweck.
Ein Abo ist immer günstiger und ist auch von der Kostenart mit Vorteilen verbunden.
Es geht aber nicht darum Anschaffungspreise auf auf Laufzeiten zu verteilen, dass ist Milchmädchen-Aschbacken-Kuchenbacken-Arithmetik. Es geht darum, was der gesamte Laden kostet und was die IT leisten kann, dass einfacher mehr Geld verdient werden kann.
Auf seinen OnPrem-Strukturen sich um Kopf und Kragen zu Reden ist der Grund warum 11 von 10 der erfolgreichste IT-Unternehmen aus Deutschland kommen.
Die wenigen wirklichen Profis die wir haben, setzen wir nur wenn nötig hin zum administrieren, des Kindergartens von MS.
Wir wollen und müssen Geld verdienen, das ist die eigene IT Selbstzweck.
Ein Abo ist immer günstiger und ist auch von der Kostenart mit Vorteilen verbunden.
Es geht aber nicht darum Anschaffungspreise auf auf Laufzeiten zu verteilen, dass ist Milchmädchen-Aschbacken-Kuchenbacken-Arithmetik. Es geht darum, was der gesamte Laden kostet und was die IT leisten kann, dass einfacher mehr Geld verdient werden kann.
Auf seinen OnPrem-Strukturen sich um Kopf und Kragen zu Reden ist der Grund warum 11 von 10 der erfolgreichste IT-Unternehmen aus Deutschland kommen.
Zitat von @DerMaddin:
Zum Glück ist unser "CEO" da anderer Ansicht und auch ein Technikfan. Er selbst treibt es voran, dass Windows 11 an alle ausgerollt wird und die Software entsprechend aktuell ist.
Überall in der Welt von kommerzieller Software geht der Weg in Richtung SaaS und auch Office 2021 ist ab 2025 am Ende.
Zum Glück ist unser "CEO" da anderer Ansicht und auch ein Technikfan. Er selbst treibt es voran, dass Windows 11 an alle ausgerollt wird und die Software entsprechend aktuell ist.
Überall in der Welt von kommerzieller Software geht der Weg in Richtung SaaS und auch Office 2021 ist ab 2025 am Ende.
Guter Mann. Bei uns heißt der COO und ich als CIO für meinen Bereich habe auch so einen Chef, der aus Prinzip sich neue Sachen anguckt und mit mir zusammen die Buchhalter, Controller und Einkäufer in die Spur schickt.
Will ich nicht missen.
Würde da ein anderer Charakter sitzen wäre nicht nur ich Weg.
Zitat von @departure69:
Naja, ich versuche als IT-Systembetreuer halt zu Sparen, zumindest, kein Geld unnötig aus dem Fenster zu werfen.
Das ist löblich, aber:Naja, ich versuche als IT-Systembetreuer halt zu Sparen, zumindest, kein Geld unnötig aus dem Fenster zu werfen.
Und wir kriegen VL-Versionen von Microsoft Office über Rahmenverträge extrem günstig (akt. Bsp.: Microsoft Office 2021 Std. für 250,- EUR pro User). Selbst dann, wenn die Kauf-Officeversionen nur noch 7 Jahre Support haben (früher waren's mal 10 Jahre), sind das bis zum EOL 84 Monate und somit 2,98 EUR/Monat. MS365 Plan 5 kostet monatlich mindestens das Fünffache. Selbst Teams allein wäre monatlich teurer. Somit ist MS365 Plan 5 gegenüber O2K21 VL Std. in meinen Augen geradezu heftige Geldverschwendung. So war das gemeint.
Ich hab jetzt (auf die schnelle) nur MS Project Plan 5 gefunden, oder meinst du Office 365 E5? aber was du hier machst ist Äpfel mit Birnen zu vergleichen. Wenn du Office 2021 Std für 250 € dem Abo-Variante gegenüber stellen willst, dann musst du Microsoft 365 Apps for Business nehmen. Apps for business entspricht am ehesten Office 2021. Der Office 365 E5 beinhaltet weitaus mehr. Apps for Business kostet 8,80 € im Monat. bei 250 € für die Kauf-Version sind das 28,4 Monate nachdem Apps for Business teurer ist als die Kauf-Version. Du hast dafür immer die aktuelle Release-Variante und wenn ich mir die Releases von Office der letzten 3 Versionen anschaue (2016,2019,2021) dann ist die neue Version nach 28 Monaten wirklich nicht zu teuer. Klar, die Kauf-Version kann ich länger nutzen, aber ich habe lieber Überall die gleiche Version als überall unterschiedliche Versionen, die sich alleine beim Drucken anders verhalten.
Darüber hinaus: Im Office 365 musst du zwar jeden User lizensieren, dafür darf er sich an 5 Rechnern damit anmelden. Dadurch, dass du Office 2021 aber pro Rechner lizensierst, Office 365 aber pro User, ist das ganze schwer zu vergleichen. Hast du einen User der sich an 2 Rechnern anmelden muss (zum Beispiel festen Office-Rechner und einen mobilen Laptop), dann kannst du das mit einer Office 365 Lizenz abdecken, wo du sonst 2 Office 2021 Lizenzen brauchen würdest. Wenn sich hingegen 3 Leute einen Rechner teilen, dann würde eine Office 2021 Lizenz reichen. Bei Office 365 brauchst du aber 3 Lizenzen. Allein dieses unterschiedliche Lizensierung macht das ganze schwer vergleichbar, deswegen Äpfel und Birnen.
Gruß
Doskias
Zitat von @departure69:
Das kam aus heiterem Himmel, und das einzige, was in den Dialogen angeboten/vorgeschlagen wird, war diese Authenticator-App, auch diese Vorauswahl oder dieser Vorschlag, diese App nutzen zu müssen, kam nicht von uns, sondern unverlangt von Microsoft.
Das kam aus heiterem Himmel, und das einzige, was in den Dialogen angeboten/vorgeschlagen wird, war diese Authenticator-App, auch diese Vorauswahl oder dieser Vorschlag, diese App nutzen zu müssen, kam nicht von uns, sondern unverlangt von Microsoft.
Salut,
aus heiterem Himmel kommt da eigentlich gar nichts.
Ich erinnere mich noch daran, dass ich im Admincenter vor mind. 1 Jahr einen Hinweis hatte, dass MFA für unseren Mandanten ansteht und ich entsprechende Anpassungen vornehmen soll, wenn dies nicht in unserem Interesse wäre.
Wurde getan und seither ist da auch nichts passiert.
Grüße
ToWa
Zitat von @2423392070:
Und dein Chef? Dein Gehalt zahlt die Caritas? Eure Hardware wird euch geschenkt? Der Strom, die Klimatisierung, der Baukosten usw... Alles vom Himmel gefallen?
VL-Lizenzkosten für OnPrem mit Abo kosten zu vergleichen ist nicht Mal mutig und würde große Zweifel an deiner Person rechtfertigen.
Zitat von @departure69:
Unser Chef will demnächst MS365 Plan 5 für alle Mitarbeiter. Ich hab' ihm vorgerechnet, daß uns die VL-Versionen von MS Office bei 10jährigem Support jährlich 25,- EUR/Mitarbeiter kosten, bei MS365 Plan 5 hingegen dasselbe fast monatlich.
Ein Wahnsinn.
Vielen Dank.
Viele Grüße
von
departure69
Unser Chef will demnächst MS365 Plan 5 für alle Mitarbeiter. Ich hab' ihm vorgerechnet, daß uns die VL-Versionen von MS Office bei 10jährigem Support jährlich 25,- EUR/Mitarbeiter kosten, bei MS365 Plan 5 hingegen dasselbe fast monatlich.
Ein Wahnsinn.
Vielen Dank.
Viele Grüße
von
departure69
Und dein Chef? Dein Gehalt zahlt die Caritas? Eure Hardware wird euch geschenkt? Der Strom, die Klimatisierung, der Baukosten usw... Alles vom Himmel gefallen?
VL-Lizenzkosten für OnPrem mit Abo kosten zu vergleichen ist nicht Mal mutig und würde große Zweifel an deiner Person rechtfertigen.
Kostenvergleiche OnPrem mit CloudAbo sind nicht mutig sondern Pflicht für jeder IT Verantwortlichen der seinen Job ernst nimmt. Ich habe grundsätzlich Zweifel an smarten und meinungsstarken Sales /Pre-Sales Typen die Cloud first schreien aber noch nie eine Zeile Code geschrieben haben und sofort nach dem Support fragen wenn sie versuchen den Netzwerkstecker in die USB Buchse zu rammen. Kostet mich nur ein lockeres Excel Sheet um die Argumente zu zerlegen.
Zitat von @Saftnase:
Kostenvergleiche OnPrem mit CloudAbo sind nicht mutig sondern Pflicht für jeder IT Verantwortlichen der seinen Job ernst nimmt. ...Kostet mich nur ein lockeres Excel Sheet um die Argumente zu zerlegen.
Kostenvergleiche OnPrem mit CloudAbo sind nicht mutig sondern Pflicht für jeder IT Verantwortlichen der seinen Job ernst nimmt. ...Kostet mich nur ein lockeres Excel Sheet um die Argumente zu zerlegen.
Nicht zwingend, denn dann kommt wieder jemand her und sagt die monatlichen Kosten kann man wunderbar direkt in die unternehmerischen Kosten packen, langfristige Anschaffungen sind zu aktivieren und abzuschreiben.
Je nach Betrachtungswinkel hat man durch die stetigen, laufenden Kosten also auch noch einen Vorteil.
Grüße
Du scheinst die Bedeutung des Wortes Kosten zu kennen.
An Kennzahlen gemessen ist OnPrem sehr teuer und nicht alle Kennzahlen kann ich frei bewerten, sondern es gibt Maßstäbe dazu. Teilweise international genormt, zur besseren Vergleichbarkeit.
Mir einen Raum zu schaffen in der Liegenschaft und eine Millionen Euro ins Rack zu stellen ist teuerer als die selbe Summe Geld Microsoft zu geben, für den selben Zeitraum und vergleichbare Leistung.
Selbe Summe Geld auf dem Konto, andere Form der Kosten mit zugehörigen Vorteilen und Konsequenzen.
An Kennzahlen gemessen ist OnPrem sehr teuer und nicht alle Kennzahlen kann ich frei bewerten, sondern es gibt Maßstäbe dazu. Teilweise international genormt, zur besseren Vergleichbarkeit.
Mir einen Raum zu schaffen in der Liegenschaft und eine Millionen Euro ins Rack zu stellen ist teuerer als die selbe Summe Geld Microsoft zu geben, für den selben Zeitraum und vergleichbare Leistung.
Selbe Summe Geld auf dem Konto, andere Form der Kosten mit zugehörigen Vorteilen und Konsequenzen.
ich muß aber auch sagen daß das stark nach Cloud Anbieter variiert, AWS kommt uns für klassische Active Directory-Umgebungen, ein paar Fileshares, RDS (gemanagter SQL Server) doppelt so teuer wie Azure. Im Gesamtpaket, mit der ganzen IT Security und dem Operations drumherum und dem Support sind mir die nicht unerheblichen Kosten plausible. Bei AWS ist meiner Erfahrung nach der Support um Klassen besser wie in Azure, Azure ist halt billiger.
Aber auch Großunternehmen haben gewisse Sparzwänge bzw feste Budgets für Abteilungen... da heißt es vermeidbare Kosten für den Betrieb lieber in Personal zu investieren, denn unsere Auftragsbücher sind voll.
Deshalb geht bei uns halt auch nicht alles sofort in die Cloud sondern wir wägen das sorgfältig ab. Weil On Premise ohne Oeprations, IT Support und Security 60 (Azure)-80% (AWS) billiger ist, macht das manchmal trotzdem Sinn, nen Server und VPN Appliances zu kaufen und die hosten zu lassen - jedenfalls stellt sich das bei uns so dar. Wir habne eigene Fachleute, die für so eine nichtproduktive Umgebung ca. einen Tag pro Monat investieren.
Edit die "Federation" muß jemand einrichten, der M365 Adminrechte für die Lizenzen hat. Dann kann man mit einem Unternehmenslogin auf office.com ebenfalls ein Login machen, dazu gibts vier URLs die man da hinterlegen muß, z.B. die für den SSO Ping.
Solange es aber keine Unternehmensvorgaben gibt kann jeder User selber unter dieser URL seine MFAs einstellen
aka.ms/mfasetup
Aber auch Großunternehmen haben gewisse Sparzwänge bzw feste Budgets für Abteilungen... da heißt es vermeidbare Kosten für den Betrieb lieber in Personal zu investieren, denn unsere Auftragsbücher sind voll.
Deshalb geht bei uns halt auch nicht alles sofort in die Cloud sondern wir wägen das sorgfältig ab. Weil On Premise ohne Oeprations, IT Support und Security 60 (Azure)-80% (AWS) billiger ist, macht das manchmal trotzdem Sinn, nen Server und VPN Appliances zu kaufen und die hosten zu lassen - jedenfalls stellt sich das bei uns so dar. Wir habne eigene Fachleute, die für so eine nichtproduktive Umgebung ca. einen Tag pro Monat investieren.
Edit die "Federation" muß jemand einrichten, der M365 Adminrechte für die Lizenzen hat. Dann kann man mit einem Unternehmenslogin auf office.com ebenfalls ein Login machen, dazu gibts vier URLs die man da hinterlegen muß, z.B. die für den SSO Ping.
Solange es aber keine Unternehmensvorgaben gibt kann jeder User selber unter dieser URL seine MFAs einstellen
aka.ms/mfasetup
Hallo noch mal,
ich wollte auch noch den grundlegenden Hinweis teilen, da ich gerade bei einem Mandanten noch mal über das Thema gestolpert bin.
Die grundsätzlichen Sicherheitsstandards sind hier zu finden:
um dort aber die entsprechenden Einträge zu sehen ist ggf. der Sicherheitsstandard des Mandanten anzupassen:
Grüße
ToWa
ich wollte auch noch den grundlegenden Hinweis teilen, da ich gerade bei einem Mandanten noch mal über das Thema gestolpert bin.
Die grundsätzlichen Sicherheitsstandards sind hier zu finden:
um dort aber die entsprechenden Einträge zu sehen ist ggf. der Sicherheitsstandard des Mandanten anzupassen:
- https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlad ...
- Sicherheitsstandards verwalten
- Deaktiviert (nicht empfohlen) <- das muss man dann auch noch mal bestätigen
Grüße
ToWa
Ja ich ja auch, sogar noch vor dir aber das lässt sich offenbar nur noch mit einer AD Premium verwalten.
Die ist nicht überall vorhanden.
Zum Test blieb mir gerade nur die Option die moderne Authentifizierung abzudrehen.
Danach konnte ich zumindest den Test für den neuen Mandanten machen.
... natürlich bleibt es anschließend bei der Multi-Faktor-Methode und die moderne Authentifizierung bleibt auch an.
Grüße
Zitat von @dertowa:
Ja ich ja auch, sogar noch vor dir aber das lässt sich offenbar nur noch mit einer AD Premium verwalten.
Die ist nicht überall vorhanden.
Zum Test blieb mir gerade nur die Option die moderne Authentifizierung abzudrehen.
Danach konnte ich zumindest den Test für den neuen Mandanten machen.
... natürlich bleibt es anschließend bei der Multi-Faktor-Methode und die moderne Authentifizierung bleibt auch an.
Grüße
Ja ich ja auch, sogar noch vor dir aber das lässt sich offenbar nur noch mit einer AD Premium verwalten.
Die ist nicht überall vorhanden.
Zum Test blieb mir gerade nur die Option die moderne Authentifizierung abzudrehen.
Danach konnte ich zumindest den Test für den neuen Mandanten machen.
... natürlich bleibt es anschließend bei der Multi-Faktor-Methode und die moderne Authentifizierung bleibt auch an.
Grüße
Das hier:
MS 365 - Authenticator-App-Zwang?
hat aber nichts mit den Sicherheitsstandards des Tenants zu tun.
Die werden hier ein- oder abgeschaltet:
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.React ...
Edit: -> Eigenschaften
Unter Sicherheitsstandards verwalten
Und um das abzuschalten braucht man keine Premiumlizenz.
Zitat von @Xaero1982:
hat aber nichts mit den Sicherheitsstandards des Tenants zu tun.
Die werden hier ein- oder abgeschaltet:
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.React ...
Unter Sicherheitsstandards verwalten
Und um das abzuschalten braucht man keine Premiumlizenz.
hat aber nichts mit den Sicherheitsstandards des Tenants zu tun.
Die werden hier ein- oder abgeschaltet:
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.React ...
Unter Sicherheitsstandards verwalten
Und um das abzuschalten braucht man keine Premiumlizenz.
Der Meinung war / bin ich auch, aber den Punkt gibt es gar nicht, bzw. er ist irgendwo anders hingewandert?
Ggf. bin ich auch einfach blind...
Grüße
ToWa
Meine Lösung:
Auf Admin-Seite:
- Unter: https://admin.microsoft.com/ als Organisations-Admin anmelden und nach dem User suchen + anhaken
- Im oberen Bereich auf "Multi-Faktor-Authentifizierung" klicken
- Auf die Lupe klicken und nach dem betroffenen User suchen
- User anklicken und auf der rechten Seite "Deaktivieren" klicken
- Anschließend, wieder auf der rechten Seite auf "Aktivieren" und "Erzwingen" klicken
Auf User-Seite:
- Unter https://office.com/ muss sich der User mit seiner E-Mail-Adresse und Passwort anmelden
- Oben rechts auf sein Profil klicken und auf "Konto anzeigen" klicken
- Auf der linken Seite auf "Sicherheitsinformation" anklicken
- Auf "+ Anmeldemethode hinzufügen" klicken
- Authenticator-App auswählen und Hinzufügen klicken
- Auf "Ich möchte eine andere Authentifikator-App verwenden" klicken
- Auf "Weiter" und "Das Bild wird nicht gescannt?" klicken
- Im Microsoft-Store folgende App laden und installieren: "Protecc"
- In "Protecc" oben auf das + klicken, anschließend auf "Enter Key" klicken
- Kontoname und Geheimer Schlüssel kopieren und in die entsprechenden Felder der App "Protecc" einfügen
- "Next" klicken
Ich habe die App "Protecc" per intune Softwareverteilung prophylaktisch auf alle PCs und Laptops ausgerollt. Da scheinbar nicht alle User betroffen sind, verteile ich nur den betroffenen Usern eine selbstgemachte einfache Schritt für Schritt Anleitung mit Screenshots, zwecks Einrichtung 2FA, nachdem ich die 2FA der betroffenen Accounts wie oben beschrieben de- und aktiviert habe.
Grund ist hier wohl (Zitat "buerger-cert-newsletter_smime@newsletter.gsb.bund.de"):
Microsofts Authenticator mit neuem Schutz gegen Ermüdungsangriffe
Microsoft verbessert die Sicherheit seines Authenticators, der für die Mehr-Faktor-Authentisierung verwendet wird. Die App unterdrückt nun verdächtige Anfragen, um sogenannte Ermüdungsangriffe zu verhindern. In der Vergangenheit ermüdeten Angreiferinnen und Angreifer ihre Opfer so lange mit Anfragen, bis sie schließlich Zugriff erhielten. Die aktualisierte Funktion fordert Nutzerinnen und Nutzer auf, die Authenticator-App zu öffnen und eine angezeigte Zahl einzugeben, anstatt verdächtige Anfragen direkt anzuzeigen. Dies soll die Sicherheit erhöhen und die Effektivität von Cyberangriffen erschweren.
Heise Online über das Update bei Authenticator:
https://www.heise.de/news/Microsoft-Authenticator-unterdrueckt-verdaecht ...
Bonus:
Ein schönes Video, welches eventuell relevant für jeden Azure-Admin sein könnte:
https://www.youtube.com/watch?v=ZJu8ArhzUOM
Auf Admin-Seite:
- Unter: https://admin.microsoft.com/ als Organisations-Admin anmelden und nach dem User suchen + anhaken
- Im oberen Bereich auf "Multi-Faktor-Authentifizierung" klicken
- Auf die Lupe klicken und nach dem betroffenen User suchen
- User anklicken und auf der rechten Seite "Deaktivieren" klicken
- Anschließend, wieder auf der rechten Seite auf "Aktivieren" und "Erzwingen" klicken
Auf User-Seite:
- Unter https://office.com/ muss sich der User mit seiner E-Mail-Adresse und Passwort anmelden
- Oben rechts auf sein Profil klicken und auf "Konto anzeigen" klicken
- Auf der linken Seite auf "Sicherheitsinformation" anklicken
- Auf "+ Anmeldemethode hinzufügen" klicken
- Authenticator-App auswählen und Hinzufügen klicken
- Auf "Ich möchte eine andere Authentifikator-App verwenden" klicken
- Auf "Weiter" und "Das Bild wird nicht gescannt?" klicken
- Im Microsoft-Store folgende App laden und installieren: "Protecc"
- In "Protecc" oben auf das + klicken, anschließend auf "Enter Key" klicken
- Kontoname und Geheimer Schlüssel kopieren und in die entsprechenden Felder der App "Protecc" einfügen
- "Next" klicken
Ich habe die App "Protecc" per intune Softwareverteilung prophylaktisch auf alle PCs und Laptops ausgerollt. Da scheinbar nicht alle User betroffen sind, verteile ich nur den betroffenen Usern eine selbstgemachte einfache Schritt für Schritt Anleitung mit Screenshots, zwecks Einrichtung 2FA, nachdem ich die 2FA der betroffenen Accounts wie oben beschrieben de- und aktiviert habe.
Grund ist hier wohl (Zitat "buerger-cert-newsletter_smime@newsletter.gsb.bund.de"):
Microsofts Authenticator mit neuem Schutz gegen Ermüdungsangriffe
Microsoft verbessert die Sicherheit seines Authenticators, der für die Mehr-Faktor-Authentisierung verwendet wird. Die App unterdrückt nun verdächtige Anfragen, um sogenannte Ermüdungsangriffe zu verhindern. In der Vergangenheit ermüdeten Angreiferinnen und Angreifer ihre Opfer so lange mit Anfragen, bis sie schließlich Zugriff erhielten. Die aktualisierte Funktion fordert Nutzerinnen und Nutzer auf, die Authenticator-App zu öffnen und eine angezeigte Zahl einzugeben, anstatt verdächtige Anfragen direkt anzuzeigen. Dies soll die Sicherheit erhöhen und die Effektivität von Cyberangriffen erschweren.
Heise Online über das Update bei Authenticator:
https://www.heise.de/news/Microsoft-Authenticator-unterdrueckt-verdaecht ...
Bonus:
Ein schönes Video, welches eventuell relevant für jeden Azure-Admin sein könnte:
https://www.youtube.com/watch?v=ZJu8ArhzUOM