Obligatorische mehrstufige Authentifizierung (MFA) für alle Azure-Anmeldeversuch
Guten Abend zusammen!
Laut folgendem M$ Artikel 1 wird im 2. Halbjahr eine verbindliche MFA Authentifizierung für wesentliche - ich nenne es jetzt der Einfachheit halber - 365er Admin Portale obligatorisch.
Ich hätte dbzgl. ein paar Fragen und hoffe ihr könnt mir dazu wieder einmal weiterhelfen. Ich bitte darum NICHT eine Diskussion bzgl. Sinnhaftigkeit und Sicherheit usw. zu entfachen. Der betroffene Tenant gehört zu einer Non-Profit Einrichtung und es sind damit keinerlei finanzielle noch wirtschaftliche Faktoren verbunden. Eine generelle MFA Pflicht wäre in dem speziellen Fall eher hinderlich als förderlich.
Frage 1:
Verstehe ich es richtig, dass die obligatorische MFA-Pflicht sich "nur" auf "Admins" bezieht, welche sich an den oben im Artikel genannten Admin Portalen anmelden wollen? Jedoch nicht auf "User" welche keinen Zugriff auf ein Admin-Center haben?
Frage 2:
Bei dem betroffenen Tenant ist derzeit bei allen Benutzern die MFA deaktiviert. Manche User haben ein Entra gejointes Gerät auf welchen sie sich mit dem User anmelden. Ist demnach eine Anmeldung mit dem 365er Account auf den gejointen Geräten nach wie vor - ohne MFA - möglich?
Frage 3:
Bis dato habe ich folgende Einstellungen gesetzt um die MFA für Admins und User zu umgehen:
Zustand: Deaktiviert
bzw.
Zustand: Aus
Werden die beiden Einstellungen/Richtlinien - wie im Artikel angekündigt - im 2. Halbjahr 2024 "overruled", so dass eine MFA für Admins unumgänglich wird?
Ich bitte wieder um eure Hilfe.
Besten Dank.
M.A.
Laut folgendem M$ Artikel 1 wird im 2. Halbjahr eine verbindliche MFA Authentifizierung für wesentliche - ich nenne es jetzt der Einfachheit halber - 365er Admin Portale obligatorisch.
Ich hätte dbzgl. ein paar Fragen und hoffe ihr könnt mir dazu wieder einmal weiterhelfen. Ich bitte darum NICHT eine Diskussion bzgl. Sinnhaftigkeit und Sicherheit usw. zu entfachen. Der betroffene Tenant gehört zu einer Non-Profit Einrichtung und es sind damit keinerlei finanzielle noch wirtschaftliche Faktoren verbunden. Eine generelle MFA Pflicht wäre in dem speziellen Fall eher hinderlich als förderlich.
Frage 1:
Verstehe ich es richtig, dass die obligatorische MFA-Pflicht sich "nur" auf "Admins" bezieht, welche sich an den oben im Artikel genannten Admin Portalen anmelden wollen? Jedoch nicht auf "User" welche keinen Zugriff auf ein Admin-Center haben?
Frage 2:
Bei dem betroffenen Tenant ist derzeit bei allen Benutzern die MFA deaktiviert. Manche User haben ein Entra gejointes Gerät auf welchen sie sich mit dem User anmelden. Ist demnach eine Anmeldung mit dem 365er Account auf den gejointen Geräten nach wie vor - ohne MFA - möglich?
Frage 3:
Bis dato habe ich folgende Einstellungen gesetzt um die MFA für Admins und User zu umgehen:
- Microsoft Entra Admin Center / Schutz / Autentifizierungsmethoden / Einstellungen:
Zustand: Deaktiviert
bzw.
- Microsoft Entra Admin Center / Schutz/ Bedingter Zugriff / Richtlinien:
Zustand: Aus
Werden die beiden Einstellungen/Richtlinien - wie im Artikel angekündigt - im 2. Halbjahr 2024 "overruled", so dass eine MFA für Admins unumgänglich wird?
Ich bitte wieder um eure Hilfe.
Besten Dank.
M.A.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 91713872282
Url: https://administrator.de/forum/obligatorische-mehrstufige-authentifizierung-mfa-fuer-alle-azure-anmeldeversuch-91713872282.html
Ausgedruckt am: 19.12.2024 um 16:12 Uhr
2 Kommentare
Neuester Kommentar
Frage 1:
Verstehe ich es richtig, dass die obligatorische MFA-Pflicht sich "nur" auf "Admins" bezieht, welche sich an den oben im Artikel genannten Admin Portalen anmelden wollen? Jedoch nicht auf "User" welche keinen Zugriff auf ein Admin-Center haben?
Verstehe ich es richtig, dass die obligatorische MFA-Pflicht sich "nur" auf "Admins" bezieht, welche sich an den oben im Artikel genannten Admin Portalen anmelden wollen? Jedoch nicht auf "User" welche keinen Zugriff auf ein Admin-Center haben?
Es geht darum, dass alle User, die administrative Tätigkeiten im Tenant durchführen einen MFA brauchen.
Applications ist in deinem Link aufgelistet - es geht also nur um die Admin Portale und später die CLI, Powershell usw.
Frage 2:
Bei dem betroffenen Tenant ist derzeit bei allen Benutzern die MFA deaktiviert. Manche User haben ein Entra gejointes Gerät auf welchen sie sich mit dem User anmelden. Ist demnach eine Anmeldung mit dem 365er Account auf den gejointen Geräten nach wie vor - ohne MFA - möglich?
Bei dem betroffenen Tenant ist derzeit bei allen Benutzern die MFA deaktiviert. Manche User haben ein Entra gejointes Gerät auf welchen sie sich mit dem User anmelden. Ist demnach eine Anmeldung mit dem 365er Account auf den gejointen Geräten nach wie vor - ohne MFA - möglich?
Kannst das einstellen wie du lustig bist für die Enduser solange sie keine Adminportale aufrufen, auf die sie sowieso keinen Zugriff haben sollten.
Zusätzlich kannst du die MFAs mit CAs (conditional access) anpassen - bspw. kann ein gejointes Gerät als zweiter Faktor dienen.
Frage 3:
Werden die beiden Einstellungen/Richtlinien - wie im Artikel angekündigt - im 2. Halbjahr 2024 "overruled", so dass eine MFA für Admins unumgänglich wird?
Ich denke eher, dass da eine neue default Conditional Access definiert wird, die einen MFA forciert für gewissen Applications.Werden die beiden Einstellungen/Richtlinien - wie im Artikel angekündigt - im 2. Halbjahr 2024 "overruled", so dass eine MFA für Admins unumgänglich wird?
Und, ob dann die Richtlinien ausgehebelt werden, weil es von Microsoft kommt... möglich und wahrscheinlich.
Wird sich dann zeigen lassen :X
Sicher bin ich mir aber nicht.
Da muss ich aber noch erwähnen, dass der Token eine Weile Gültigkeit hat... Je nachdem, wie die Policy gebaut wird.
Der Admin muss dann also nicht bei jedem Aufruf der Seite einen MFA ausführen.
Wir bspw. fordern von allen Admins nach 18 Stunden immer einen MFA an, weil dann der Token abläuft.
VG
Serie: Obligatorische mehrstufige Authentifizierung MFA für alle Azure-Anmeldeversuch
Obligatorische mehrstufige Authentifizierung (MFA) für alle Azure-Anmeldeversuch2