141986
01.03.2023, aktualisiert um 07:31:53 Uhr
1264
6
0
MS-AAD - Bulkupdate MFA HandyNr alle User
Guten Morgen werte Kolleginnen und Kollegen,
ein Kunde nutzt MFA via MS Auth App - nun soll ein zusätzlicher Weg etabliert werden, nämlich die SMS Verifikation.
Nun handelt es sich um mehrere hundert User die geupdated werden sollen.
Gibt es hier einen eleganten Weg das via Script zu lösen? Online wurde ich nicht wirklich fündig bzw. es gibt wohl ein MS Script dafür, jedoch ist der Link broken bzw. ein 404er begrüßt mich.
In dessen AAD kann man leider keine Batches erstellen für dieses Vorhaben.
Würde mich freuen, wenn ich mir die mühselige Arbeit ersparen kann:
Danke + guten Start in den Tag,
65k
Edit: weil wichtig und vergessen: es soll nur eine speziell definierte Handynummer hinterlegt werden (alle User bekommen gleiche HandyNr für MFA)
ein Kunde nutzt MFA via MS Auth App - nun soll ein zusätzlicher Weg etabliert werden, nämlich die SMS Verifikation.
Nun handelt es sich um mehrere hundert User die geupdated werden sollen.
Gibt es hier einen eleganten Weg das via Script zu lösen? Online wurde ich nicht wirklich fündig bzw. es gibt wohl ein MS Script dafür, jedoch ist der Link broken bzw. ein 404er begrüßt mich.
In dessen AAD kann man leider keine Batches erstellen für dieses Vorhaben.
Würde mich freuen, wenn ich mir die mühselige Arbeit ersparen kann:
- Login
- MFA bestätigen
- HandyNummer hinzufügen
- SMS bestätigen
Danke + guten Start in den Tag,
65k
Edit: weil wichtig und vergessen: es soll nur eine speziell definierte Handynummer hinterlegt werden (alle User bekommen gleiche HandyNr für MFA)
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6171961506
Url: https://administrator.de/forum/ms-aad-bulkupdate-mfa-handynr-alle-user-6171961506.html
Ausgedruckt am: 15.05.2025 um 20:05 Uhr
6 Kommentare
Neuester Kommentar
Soweit mein Fortschritt:
Das klappt zumindest soweit, dass dem User die Authentifizierungsmethode "Telefonnummer" hinzugefügt wird, jedoch ohne Telefonnummer (Primäres Mobilgerät: null)
Setze ich bspw. OneWaySMS als default, kann ich die Telefonauthmethode nicht mehr deaktivieren, was Sinn macht und mir auch bestätigt, dass die Daten dahin gehen, wo sie sein sollten. Bis auf die Telefonnummer.
Hat hier wer einer eine Idee, warum das Feld leer bleibt? Fehlermeldungen gibt es seitens dem Script her keine.
LG
Update:
Die Handynummer wird vernünftig in das MobilePhone Feld im AD angelegt aber diese wird nicht zur SMS Verifikation verwendet. Ich stehe gerade derb auf dem Schlauch..
# Popup login page if not logged in
# Connect-MsolService
$UserPrincipalName = "UPN"
$MobileNumber = "+49 13245789"
#$AlternateMobiles = "+49 23245789"
# Create new SAM objects
<#
Supported SAM types:
OneWaySMS - Text code sent to mobile
PhoneAppOTP - Authenticator code
PhoneAppNotification - Push notification
TwoWayVoiceMobile - Phone call
Note: Probably not able to use the App methods unless enrolled
#>
$SAM1 = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$SAM2 = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$SAM3 = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$SAM4 = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
# Configure as required
$SAM1.IsDefault = $false
$SAM1.MethodType = "OneWaySMS"
$SAM2.IsDefault = $false
$SAM2.MethodType = "PhoneAppOTP"
$SAM3.IsDefault = $true # <<<< Is default method
$SAM3.MethodType = "PhoneAppNotification"
$SAM4.IsDefault = $false
$SAM4.MethodType = "TwoWayVoiceMobile"
$SAMethods = @($SAM1, $SAM2, $SAM3, $SAM4)
Set-MsolUser -UserPrincipalName $UserPrincipalName -StrongAuthenticationMethods $SAMethods `
-MobilePhone $MobileNumberDas klappt zumindest soweit, dass dem User die Authentifizierungsmethode "Telefonnummer" hinzugefügt wird, jedoch ohne Telefonnummer (Primäres Mobilgerät: null)
Setze ich bspw. OneWaySMS als default, kann ich die Telefonauthmethode nicht mehr deaktivieren, was Sinn macht und mir auch bestätigt, dass die Daten dahin gehen, wo sie sein sollten. Bis auf die Telefonnummer.
Hat hier wer einer eine Idee, warum das Feld leer bleibt? Fehlermeldungen gibt es seitens dem Script her keine.
LG
Update:
Die Handynummer wird vernünftig in das MobilePhone Feld im AD angelegt aber diese wird nicht zur SMS Verifikation verwendet. Ich stehe gerade derb auf dem Schlauch..
Mach es mit dem MS Graph Module da mit geht dass einwandfrei ohne Umwege,das MSOL-Modul setzt langsam schon Spinnweben an und ist nicht mehr das Mittel der Wahl wenn es um Azure Verwaltung geht.
SMS Authentication and how to enable it in Azure AD
Gerade mal erfolgreich getestet. Nicht vergessen SMS-Auth wie beschrieben in Azure für die User freizuschalten.
https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/AuthenticationMetho ...
Danach lässt sich die SMS MFA für die User per Powershell aktivieren
Für mehr User dann halt einfach ne Foreach-Schleife über die User denen du die Methode zuweisen möchtest.
h.
SMS Authentication and how to enable it in Azure AD
Gerade mal erfolgreich getestet. Nicht vergessen SMS-Auth wie beschrieben in Azure für die User freizuschalten.
https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/AuthenticationMetho ...
Danach lässt sich die SMS MFA für die User per Powershell aktivieren
$User = "user@example.com"
$PhoneNumber = "+49 111111111"
Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes UserAuthenticationMethod.ReadWrite.All
New-MgUserAuthenticationPhoneMethod -UserId $User -phoneType "mobile" -phoneNumber $PhoneNumber
Get-MgUserAuthenticationPhoneMethod -UserId $UserFür mehr User dann halt einfach ne Foreach-Schleife über die User denen du die Methode zuweisen möchtest.
h.
1
Guten Morgen @6017814589,
danke Dir für deine ausführliche Information.
Habe es tatsächlich über mehrere Wege versucht. Interessant ist: selbst MS gibt eigentlich an, dass genau das (setzen von MFA PhoneNumber) nicht funktioniert über PS. Aktivieren ja, Nr. Hinterlegen nicht (es erscheint: MobilePhone: null). Mal schauen ob ich den Thread noch finde.
Ich teste die von Dir genannte Lösung im Laufe des Tages. Spannend dass ich deinen Thread nicht gefunden hatte.
Danke Dir für den Wink!
Hab' einen tollen Tag
VG,
65k
Edita:
danke Dir für deine ausführliche Information.
MSOL-Modul setzt langsam schon Spinnweben an und ist nicht mehr das Mittel der Wahl wenn es um Azure Verwaltung geht.
Habe es tatsächlich über mehrere Wege versucht. Interessant ist: selbst MS gibt eigentlich an, dass genau das (setzen von MFA PhoneNumber) nicht funktioniert über PS. Aktivieren ja, Nr. Hinterlegen nicht (es erscheint: MobilePhone: null). Mal schauen ob ich den Thread noch finde.
Ich teste die von Dir genannte Lösung im Laufe des Tages. Spannend dass ich deinen Thread nicht gefunden hatte.
Danke Dir für den Wink!
Hab' einen tollen Tag
VG,
65k
Edita:
New-MgUserAuthenticationPhoneMethod -UserId $User -phoneType "mobile" -phoneNumber $PhoneNumber
Genau das hatte ich getestet und hatte nen Fehler geschmissen (darum wieder zurück zur MSOL). Ich berichte .. Zitat von @141986:
Edita:
Edita:
New-MgUserAuthenticationPhoneMethod -UserId $User -phoneType "mobile" -phoneNumber $PhoneNumber
Genau das hatte ich getestet und hatte nen Fehler geschmissen (darum wieder zurück zur MSOL). Ich berichte .. Läuft hier im Test wie gesagt wie Schmitz Katze. Vermutlich fehlten dir Berechtigungen, aber ohne Fehlermeldung natürlich Glaskugel.
läuft hier im Test wie gesagt wie Schmitz Katze. Vermutlich fehlten dir Berechtigungen, aber ohne Fehlermeldung natürlich Glaskugel.
Absolut! Ich mag Dir deine Glaskugel nicht unnötig strapazieren, denn die wird heute bestimmt noch öfter gebraucht und wer mag schon blinde Glaskugeln.. :D
Ich berichte sobald ich mehr weiß bzw. vergesse es, wenn das Script oben klappt
Danke Dir für deinen Support!
LG
das MSOL-Modul setzt langsam schon Spinnweben an und ist nicht mehr das Mittel der Wahl wenn es um Azure Verwaltung geht.
Sieht Microsoft irgendwie noch anders - zumindest verteilen deren Supporter noch den Link in die Richtung:
learn.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-authenticationdata#set-and-read-the-authentication-data-through-powershell
.. was soll man dazu sagen
VG
