plexi87
Goto Top

O365 - M365 Anmeldungen - Anmeldewellen

Hallo Zusammen

Ich möchte mal wissen, wie sich die Anmeldungen am den Office Apps bei Euch und euren Kunden verhalten. Ich habe langsam aber sicher das Gefühl, dass ich mehr Zeit mit Anmelden verbringe als mit der eigentlichen Arbeit face-wink

Kann man diese ganzen Anmeldungen irgendwie via GPO steuern, auch ohne Condition Access?

Gerade gestern hatten wir ein dutzend Anrufe wegen Neuanmeldungen an den Office Programmen. Scheint mit den Windows 10 / 11 Updates vom April zusammenzuhängen. War das bei Euch auch so?

Zudem erscheinen immer wieder neue Anmeldefenster.

Punkt 1:
Die Sicherheitsstandards von Microsoft.
1

Diese Einstellung ist heute in jedem Tenant aktiv und wurden bei den alten ja automatisch aktiviert. Sie erzwingen die MFA Registrierung für den Benutzer spätestens, nachdem sich dieser ca. 10 mal angemeldet hat. Kann man ausschalten, muss man aber nicht face-smile

Punkt 2:
Anmeldung an Office Apps oder an diesem Gerät. Jeder kennt es, jeden nervt es.
3

Wie geht ihr damit um? Alle Benutzer klicken in der Regel auf "OK". Damit ist das Konto im Windows 10 hinterlegt und meldet sich an jeder erdenklichen App an. Windows 11 ist da noch schlimmer.

Eines unserer grössten Probleme damit ist, dass wenn unsere VPN Applikation eine Verbindung via SAML aufbauen soll, der falsche User Account verwendet wird, anstelle den Benutzer auswählen zu lassen, welches Konto für die Verbindung verwendet werden soll. Erst wenn der Account im Windows gelöscht wurde, wird das Anmeldefenster wieder angezeigt. Das gleiche Verhalten zeigt sich auf Microsoft Seiten oder Dienste. Wer sagt, dass ich diesen Account verwenden will, wenn ich mehrere nutze?

Gibt es dafür eine praktikable Lösung?

Punkt 3:
Seit kurzem, wird dieses Anmeldefenster angezeigt. Meist in Kombination mit dem Fenster aus Punkt 2 (Vermutlich danach). Leider bin ich mir nicht sicher, wann es genau auftaucht. Aber es scheint die moderne Variante von Punkt 2 zu sein.
4

Punkt 4:
Zu guter Letzt wird im Zusammenhang mit einer Azure VM noch dieses Fenster angezeigt:
5

Das Verhalten ist leider immer ein wenig unterschiedlich. Wir haben Azure AD Geräte aber auch normale Home PCs welche für die Arbeit eingesetzt werden. Andere Geräte sind wiederum in einer lokalen Domäne und nutzten die Office Applikationen.

Ich würde mich über ein paar Inputs zum Thema "handling" freuen.

Plexi87

Content-ID: 22664113597

Url: https://administrator.de/forum/o365-m365-anmeldungen-anmeldewellen-22664113597.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

Looser27
Looser27 12.04.2024 um 18:05:11 Uhr
Goto Top
Moin,

Schöne neue Microsoft Welt....
Das letzte Teams Update hat bei ums teilweise die User abgemeldet, was zu zusätzlichem Frust geführt hat.

Ansonsten tapfer bleiben...

Gruß Looser
Globetrotter
Globetrotter 12.04.2024 um 18:20:22 Uhr
Goto Top
Hi @all..
Bei uns hing das Teams auch schief... den ganzen anderen O365 und W365 Quatsch ham wir nich face-smile

Gruss Globe!
dertowa
dertowa 12.04.2024 um 19:10:26 Uhr
Goto Top
Man ist selten der erste oder?
Microsoft Problem SSO (AD - Entra)?
Lochkartenstanzer
Lochkartenstanzer 13.04.2024 um 00:23:24 Uhr
Goto Top
Gibt es dafür eine praktikable Lösung

Ja. MS-Cloud-Produkte meiden. face-smile

lks
Visucius
Visucius 13.04.2024 um 09:03:38 Uhr
Goto Top
Die Frage ist am Ende, ab welchem Punkt Microsoft nicht mehr „alternativlos“ ist.

Wir hierzulande sind diesbezüglich aber ja besonders stolz auf unseren Durchhaltewillen 😏
dertowa
dertowa 13.04.2024 um 10:03:29 Uhr
Goto Top
Zitat von @Visucius:

Wir hierzulande sind diesbezüglich aber ja besonders stolz auf unseren Durchhaltewillen 😏

Die Frage ist auch, was an Problemen wir uns selbst machen, dadurch dass die US-Softwareanbieter sich in der EU an andere Regularien halten müssen.
Dann wird umgebaut und die Seiteneffekte dürfen wir dann ausbaden. face-smile

Grüße
ToWa
bjoern649
bjoern649 13.04.2024 um 13:08:35 Uhr
Goto Top
Vor allem der Punkt 2 macht bei uns oft Probleme, da einige Leute leider mehrere Geschäftskonten haben und dann jedesmal OK klicken, was immer zu einer Fehlermeldung führt face-sad

Habe leider auch noch keine Lösung gefunden

Gruss
DaStivi
DaStivi 14.04.2024 um 20:33:23 Uhr
Goto Top
Hallo, ich hab täglich mit diesen Themen als Berater und bei Unterstützung von meinen Kunden mit diesen Sachen zu tun...

Es gibt ein paar Grundregeln die man unbedingt beachten muss:

Die DNS Einträge die MS beim Setup der Domäne vorschlägt sollte man alle konfigurieren... Vor allem die beiden Enterprise-Registration müssen eingetragen sein damit später dann keine Fehler kommen und die Domäne muss natürlich zu den Usern (User Prinzipal Name, UPN) passen!

Auch direkt ein wichtiger Punkt, falls ein AD vorhanden ist, AD Sync verwenden! Und der UPN im AD ist der anmeldename im M365 , sollte auch gleich der primären Emailadresse sein!

Zu den Fragen,

Punkt 1:
Security Defaults am besten nicht deaktivieren! Außer es gibt conditional Access! Egal was, irgendwas sollte MFA auf die eine oder andere Art erzwingen! Ohne dem ist es grob fahrlässig einen M365 Tenant zu betreiben.

Punkt 2:
Dieser Abmeldedialog ist gleichzeitig eine Intune Registrierung, außer man klickt auf "No, sign in only to this app"

Prinzipiell ist das Intune onboarding eine gute Sache, wenn nicht ohnehin schon verwendet ist es ein verbauen für später !

Diesen Dialog kann man direkt umgehen! Es gibt eine GPO die das steuert und direkt ohne weitere Nachfrage den Rechner mit den Benutzer Credentials in Intune onboarded!

Damit das aber klappt, egal ob manuell oder per GPO müssen die beiden DNS Cnames gesetzt sein! Sonst kommt's zu Fehlern !

Für 3. Und 4.
Würde ich erstmal schauen ob die beiden notwendigen MS urls für Single sign on sauber per GPO verteilt werden bzw auf den Rechnern konfigurieret sind! (Intranetzone, Internetsystemsteuerung)
Starmanager
Starmanager 14.04.2024 um 21:33:18 Uhr
Goto Top
Noch ein Tipp wenn die Anmeldungen immer wieder auftauchen. Einfach unter der guten alten Systemsteuerung -> Anmeldeinformationsverwaltung die Windows-Anmeldeinformationen alle loeschen. Danach ueberall in den Office Apps abmelden, Edge nicht vergessen den Rechner neu starten und einmal eine Anmeldung durchfuehren. Das kann im Einzelfall auch mal ein paar Minuten dauern aber dann ist wieder Ruhe.
dertowa
dertowa 15.04.2024 um 09:00:24 Uhr
Goto Top
Zitat von @DaStivi:

Auch direkt ein wichtiger Punkt, falls ein AD vorhanden ist, AD Sync verwenden! Und der UPN im AD ist der anmeldename im M365 , sollte auch gleich der primären Emailadresse sein!

Nö, die primäre Mailadresse darf ruhig anders lauten, für Microsoft ist dies kein direktes Problem, nur das Verständnis der MA hakt da ein wenig, wenn irgendwo als Anmeldung "E-Mail" steht und diese nicht ihre E-Mail eingeben müssen.

Prinzipiell ist das Intune onboarding eine gute Sache, wenn nicht ohnehin schon verwendet ist es ein verbauen für später !

Das ist absolut keine gute Sache, was will man mit den ganzen PCs innerhalb der lokalen Domain im Intune?
Ich habe bislang nur negative Erfahrungen gesammelt, wenn sich die Systeme im Intune registrieren und dann auch der Microsoftaccount in dem System "hinterlegt" ist.
Das ist in meinen Augen nur Chaos, vor allem wenn die Kollegen dann mal den Arbeitsplatz wechseln.

Diesen Dialog kann man direkt umgehen! Es gibt eine GPO die das steuert und direkt ohne weitere Nachfrage den Rechner mit den Benutzer Credentials in Intune onboarded!
Wer will das denn automatisch aufnehmen lassen?
Es ist in meinen Augen vollkommen unnötig die Systeme im Intune registriert zu haben.

Für 3. Und 4.
Würde ich erstmal schauen ob die beiden notwendigen MS urls für Single sign on sauber per GPO verteilt werden bzw auf den Rechnern konfigurieret sind! (Intranetzone, Internetsystemsteuerung)

Es ist übrigens nur eine URL und nicht zwei.
Adding the Microsoft Entra service URL (https://autologon.microsoftazuread-sso.com)

Grüße
ToWa
Plexi87
Plexi87 15.04.2024 um 10:48:41 Uhr
Goto Top
Hallo Zusammen

Besten Dank für die Rückmeldungen. Geteiltes Leid ist schliesslich halbes Leid.

Wir / Ich möchte einfach besser verstehen, wann es zu diesen Anmeldungen kommt. Gerade wenn man ein default Setup hat. In komplexeren Umgebungen kann ich nachvollziehen, dass einige Parameter passen müssen. Gerade im Zusammenhang mit SSO und weiteren Features.

@idastivi

Punkt 1:
Ja, ich gebe dir absolut recht. Die Admin Accounts sowieso.

ABER: Es gibt Leute die wollen eben nicht 5mal am Tag MFA machen. Gerade die ganz kleinen, welche auch so schon mit der IT und Ihrem eigenen Handy überfordert sind. Für die muss es eben einfach "funktionieren". Da wähle ich lieber ein starkes Passwort, als das ich einen genervten Kunden habe. Zum Glück eher die Ausnahme. Brauch man für Conditional Access noch immer eine Azure P1 Lizenz für jeden Benutzer oder ist diese mittlerweile auch für Business Premium oder Business Standard dabei?

Punkt 2:
Kann man dieser GPO auch den Wert "No, sign in only to this app" mitgeben?
Mir ist klar, dass "this app" eben "this app" ist. Aber das ich mich bei OneDrive, Outlook und Word 3 mal hintereinander anmelden muss, weil ich zuvor eben nicht auf den "OK-Button" geklickt habe ist schon eine Zumutung.

Macht es denn Sinn, den privaten Home Rechner in der Azure Cloud der Firma zu registrieren, nur weil dort ein Office der Firma verwendet wird? Kann man das Global ausschalten? Was ist hier best practice?

Bei internen Domänen-Rechnern kann ich damit leben, schliesslich möchte ich vielleicht irgendwann eine Intune Funktion oder etwas dergleichen über die Cloud verwalten können. Zudem synchronisieren wir die Benutzer der Geschäftsrechner bereits über AD-Connect.

Weiss jemand, was man sich verbaut, wenn man die Richtlinie block your users from adding additional work accounts to your corporate domain joined, Azure AD joined, or hybrid Azure AD joined Windows 10 devices. verwendet?

Grüsse
Plexi87
DaStivi
DaStivi 15.04.2024 um 12:20:26 Uhr
Goto Top
Zitat von @dertowa:

Für 3. Und 4.
Würde ich erstmal schauen ob die beiden notwendigen MS urls für Single sign on sauber per GPO verteilt werden bzw auf den Rechnern konfigurieret sind! (Intranetzone, Internetsystemsteuerung)

Es ist übrigens nur eine URL und nicht zwei.
Adding the Microsoft Entra service URL (https://autologon.microsoftazuread-sso.com)

Grüße
ToWa

Microsoft weiß selbst nicht was sie sagen... es gibt dazu unterschiedliche Offizielle Aussagen:

hier einmal ein Link wo zwei URLs drinnen stehen:
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-c ...

und hier im Quickstart mit einer URL:
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-c ...
dertowa
dertowa 15.04.2024 um 13:43:22 Uhr
Goto Top
Zitat von @DaStivi:

hier einmal ein Link wo zwei URLs drinnen stehen:
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-c ...

face-big-smile lustig, ich hätte behauptet die zweite URL stammt aus vergangenen Zeiten, da die auch in diversen HowTo's auftaucht. Der MS Artikel ist allerdings erst Ende 2023 überarbeitet worden.

In der Known-Issue und Troubleshoot - Liste ist die zweite URL ebenfalls nicht vorhanden:
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/tshoot-c ...

Bei uns läuft heute nach den Registryeinträgen: Microsoft Problem SSO (AD - Entra)? wieder alles nach Plan mit SSO, die zweite URL scheint daher absolut vernachlässigbar. face-smile
...aber vermutlich schadet sie auch nicht.

Grüße
ToWa
cspitznagel
cspitznagel 15.04.2024 um 14:59:23 Uhr
Goto Top
Hallo,
also um diese zweite MFA Abfrage abzuschalten. Muss man bei den Allgemeinen Einstellungen die allgemeine Sicherheitsrichtlinie deaktiviert werden. Was natürlich nicht empfehlenswert ist.

Ich habe das bei uns festgestellt, da wir bei allen Usern die MFA deaktiviert haben. Aber seit ein paar Wochen, reicht diese Einstellung leider nicht mehr aus. Nun kann man MFA nur noch verhindern indem auch noch die allgemeine Sicherheitsrichtlinie deaktiviert.
Somit fangen auch hier die Problem mit Mitarbeitern an die kein eigenes Firmenhandy haben und somit BOYD wieder ein größeres Thema werden wird. Und Mitarbeiter das evtl. auf Ihren privaten Smartphone nicht haben wollen.

Wird wohl mit dem Problem zusammenhängen, das sogar MS und HP Microsoft365 bzw. Office365 Konten gehackt wurden und so nebenbei das MS ein allgemeines Sicherheitszertifikat verloren hat und Microsoft gar nicht mehr weiß - wie weit die Hacker in Ihre Systeme eingedrungen sind. Anbei ein Link dazu:

https://www.derstandard.at/story/3000000210976/russischer-hackerangriff- ...

Liebe Grüße aus Wien
Christian
DaStivi
DaStivi 15.04.2024 aktualisiert um 20:18:14 Uhr
Goto Top
also wenn warum auch immer User ihr privates Smartphone, wo sie wahrscheinlich heutzutage ohnehin schon für e-banking und wahrscheinlich auch andere Private Social media Accounts schon einen 2ten Faktor ausführen, trotz alledem nicht nehmen wollen (wobei ich die Begründung nicht verstehe, weil nur durch den Authenticator wird das Gerät ja nicht von der Firma gemanaget oder sonst wie überwacht, aber egal) dann muss man als Firma/GF/CISO dennoch drauf bestehen das einen 2ten Faktor gibt... diesen zu deaktivieren halte ich immer noch für Grob Fahrlässig!

Was ist die alternative? entweder gibts für die Mitarbeiter ein Firmentelefon mit dem Authenticator oder die günstigere Lösung wäre eine Yubikey zb... das gehört wie ein Firmenschlüssel/Zutrittskarte/Firmenotebook zum Arbeitsinventar. Muss der User dann jedes mal anstecken und antouchen, aber wenn er sein Handy nicht verwenden will um komfortabel am Handy klicken zu können, dann bitte...

Diese 2 Faktor Maßnahmen kommen ja nicht weil die Admins oder die Firma die User quälen will... das muss die Firma halt auch klar kommunizieren, braucht man doch nur die Nachrichten anschauen, jeden Tag gibts irgendwo eine (oder mehrere) Firmen die wegen oftmals nicht vorhanden sein solcher Maßnahmen gehackt werden und selbst wenn es ein Backup usw. gibt, entsteht schaden in zig-zehn- oder hunderttausenden Euros einfach weil danach alle Hebel in Bewegung gesetzt werden damit man sich wieder Sicher fühlt! Und als GF vergeht dann bei sowas halt schnell das lachen...
cspitznagel
cspitznagel 16.04.2024 um 07:49:48 Uhr
Goto Top
Hallo an die Gruppe,
ja, ich habe auch auch geschrieben das dies nicht empfehlenswert ist. Aber trotzdem kann man als Firma seinen Mitarbeitern nicht vorschreiben private Geräte für Firmenzwecke nutzen zu müssen. Nicht mehr und nicht weniger.

Aber ich denke in diesen Punkt etwas weiter. Und es gibt bei uns in Österreich einen netten Spruch den man hier etwas abwandeln kann.

derzeit: wofür ist die Cloud gut ?
Wir lösen mit der Cloud Probleme die wir vor der Cloud nicht hatten face-wink
vorher: wofür ist IT gut ?
Wir lösen mit der IT Probleme die wir vorher nicht hatten face-wink

Und diese erweiterte Security würden wir wohl mit OnPromise Lösungen nicht benötigen. Daher bevorzuge ich auch nach wie vor OnPromise Lösungen.

Abgesehen das es weitere gute Gründe für OnPromise Lösungen gibt. Und wer ewig der Microsoft folgen möchte und den anderen Hyperscalern auch gut.
Er soll sich nachher nur nicht Beschwerden, da er sich in eine Abhängigkeit sowohl technisch als auch kaufmännisch begeben hat. Übrigens ist einmal MS genau mit diesen Argumenten gegen die IBM angetreten (wer erinnert sich noch an daran ?)

Und das heißt nun nicht das ich absolut gegen Cloudlösungen bin, ich war im Jahr 2009 - 2010 wie die Microsoft Exchange Online eingeführt hat absolut dafür. Allerdings hat MS es damals für kleine Unternehmen (und zwar wirklich kleine Unternehmen empfohlen und entwickelt), nämlich für eine Größenordnung 1-10 Benutzer.
Was aber danach gekommen ist, ist aus meiner Sicht eine Gewinnmaximierung, Abhängigkeit usw. und hat nichts mit den Kundenwünschen mehr zu tun, da heute leider vielfach keine ITler mehr die Entscheidung für ein Produkt treffen sondern die Geschäftsführung, Controller usw., früher legte der IT Leiter ein Konzept vor und nicht der Geschäftsführer hat gehört von einem tollen Produkt wie Office365 und das ist auch noch so absolut günstig - aber auch nur auf den ersten Blick)

Denn das der letzte Exchange Server den ich mir noch angesehen habe eine Mindestspeicher von 128 GB benötigt. Ist wirklich unfassbar.
Immerhin ging es sich noch 2008 aus das mit 8-16 GB abzubilden (SBS2008 !!!) zu betreiben. Und dazwischen ist nicht soviel an Funktion dazugekommen im Exchange das dies eine solche Speicherausrüstung rechtfertigen würde.

So das war jetzt ein weiter Bogen. Aber genau das führt uns zu solchen MFA Problemen und das wird in der Zukunft nicht besser werden, da die Daten nun anstatt bei uns im eignen Rechenzentrum in einen Microsoft Rechenzentrum haben und das natürlich auch von überall und jeden Abrufbar sein muss der das PW und die MFA hat.
Und bleibt immer noch das Problem die Microsoft weiss nicht wie weit die Hacker in Ihre Systeme eingedrungen sind und noch immer aktiv sind!

Und der nächste Schritt in die nächste Abhängigkeit ist getan und es wird immer schwieriger da raus zu kommen.

Liebe Grüße aus Wien
Christian
dertowa
dertowa 16.04.2024 um 08:21:37 Uhr
Goto Top
Zitat von @cspitznagel:

Hallo an die Gruppe,
ja, ich habe auch auch geschrieben das dies nicht empfehlenswert ist. Aber trotzdem kann man als Firma seinen Mitarbeitern nicht vorschreiben private Geräte für Firmenzwecke nutzen zu müssen. Nicht mehr und nicht weniger.

Salut,
das sehe ich genauso, vor allem da ich hier teilweise sogar Kollegen betreue, die weder Smartphone noch PC/Internet zuhause haben. Nicht viele klar, aber auch die wollen einfach nur arbeiten.
Daher läuft bei mir gerade eine Evaluierung über die neuen Entra-Richtlinien.
screenshot 2024-04-16 081929

Tatsächlich steht bei der MFA Anmeldung dann als "andere Methode" nur der Sprachanruf zur Verfügung.
Den kann eigentlich auch jeder bedienen, da jeder eine Telefonnummer in der Firma hat.

Grüße
ToWa
Visucius
Visucius 16.04.2024 aktualisiert um 08:37:02 Uhr
Goto Top
@cspitznagel 👍

Nur beim Thema 2FA werden wir das wohl auf lange Sicht nicht durchhalten können. Sieht man sich die Trends an (Zertifikate, zero trust, usw) werden wir wohl auch bei lokalen Setup vermehrt 2FA sehen (z.B. VPN). Ist das Gerät vertrauenswürdig, willst Du ab einer gewissen Firmengröße im nächsten Schritt ja sicherstellen, wer da dran sitzt.

Und immer mehr Endkunden/MAs haben eine App dann sowieso schon wegen irgendeines Dienstes auf dem Smartphone. In dem Zusammenhang wäre es imho sogar wünschenswert sie „in die richtige Richtung“ zu stupsen (z.B. OPNsource). Schlicht, weil sich z.B. die MS eigene App nicht ohne weiteres übertragen lässt – damit uU. (weitere) Abhängigkeiten generiert werden, usw.

PS: Nachdem mir irgendwann (viel zu spät) klar wurde, wie dünn die Sicherheits“firnis“ bei einem weltweit zugänglichen 365-Account (name/pw) eigentlich ist, wenn der Name ja schon weitgehend bekannt ist – sind in den mir betreuten Tenants alle admin-Accounts schon lange auf 2FA. Mit den User-Accounts hinke ich noch hinterher..
dertowa
dertowa 16.04.2024 um 09:42:50 Uhr
Goto Top
Zitat von @Visucius:

...sind in den mir betreuten Tenants alle admin-Accounts schon lange auf 2FA...

Das ist in meinen Augen aber auch die relevanteste Sicherheitseinstellung.
Genau wie im lokalen AD, wenn es funktionierendes Rechtekonzept da ist, dann sind die Admin-Accounts vor allem anderen schützenswert.
Das Risiko für den "normalen" Benutzeraccount ist sicherlich gegeben und bei einem Angriff ärgerlich, sollte aber nicht unternehmenskritisch sein.

Grüße
ToWa
Plexi87
Plexi87 18.04.2024 um 16:05:53 Uhr
Goto Top
Hallo Zusammen

Ich konnte das Verhalten nun wie folgt beobachten. Ich war unterwegs bei einem Kunden und habe an unserem dortigen EDV-PC das Teams geöffnet. Ich ging auf den Button "Anmelden" und gab meine Benutzerdaten ein.

Gleich nach der MFA Abfrage, wurde die Meldung von Punkt 2 eingeblendet. Fast Zeitgleich legte sich das Fenster aus Punkt 4 über das besagte Fenster.

Irgend eine Idee wieso? Schliesslich machen wir kein SSO an fremden Standorten oder Geräten. Ich war mit einem Domänenadministrator des Kunden an einem fremden AD-PC an einem externen Standort angemeldet.

Danke für die Ideen im Voraus.

Plexi87