markaurel
Goto Top

Obligatorische mehrstufige Authentifizierung (MFA) für alle Azure-Anmeldeversuch

Guten Abend zusammen!

Laut folgendem M$ Artikel 1 wird im 2. Halbjahr eine verbindliche MFA Authentifizierung für wesentliche - ich nenne es jetzt der Einfachheit halber - 365er Admin Portale obligatorisch.

Ich hätte dbzgl. ein paar Fragen und hoffe ihr könnt mir dazu wieder einmal weiterhelfen. Ich bitte darum NICHT eine Diskussion bzgl. Sinnhaftigkeit und Sicherheit usw. zu entfachen. Der betroffene Tenant gehört zu einer Non-Profit Einrichtung und es sind damit keinerlei finanzielle noch wirtschaftliche Faktoren verbunden. Eine generelle MFA Pflicht wäre in dem speziellen Fall eher hinderlich als förderlich.

Frage 1:
Verstehe ich es richtig, dass die obligatorische MFA-Pflicht sich "nur" auf "Admins" bezieht, welche sich an den oben im Artikel genannten Admin Portalen anmelden wollen? Jedoch nicht auf "User" welche keinen Zugriff auf ein Admin-Center haben?

Frage 2:
Bei dem betroffenen Tenant ist derzeit bei allen Benutzern die MFA deaktiviert. Manche User haben ein Entra gejointes Gerät auf welchen sie sich mit dem User anmelden. Ist demnach eine Anmeldung mit dem 365er Account auf den gejointen Geräten nach wie vor - ohne MFA - möglich?

Frage 3:
Bis dato habe ich folgende Einstellungen gesetzt um die MFA für Admins und User zu umgehen:

  • Microsoft Entra Admin Center / Schutz / Autentifizierungsmethoden / Einstellungen:
Vom System bevorzugte Multi-Faktor-Authentifizierung:
Zustand: Deaktiviert

bzw.

  • Microsoft Entra Admin Center / Schutz/ Bedingter Zugriff / Richtlinien:
Richtlinienname: Multifactor authentication for admins accessing Microsoft Admin Portals:
Zustand: Aus

Werden die beiden Einstellungen/Richtlinien - wie im Artikel angekündigt - im 2. Halbjahr 2024 "overruled", so dass eine MFA für Admins unumgänglich wird?

Ich bitte wieder um eure Hilfe.

Besten Dank.

M.A.

Content-ID: 91713872282

Url: https://administrator.de/forum/obligatorische-mehrstufige-authentifizierung-mfa-fuer-alle-azure-anmeldeversuch-91713872282.html

Ausgedruckt am: 19.12.2024 um 16:12 Uhr

Celiko
Lösung Celiko 16.08.2024 aktualisiert um 00:24:02 Uhr
Goto Top
Frage 1:
Verstehe ich es richtig, dass die obligatorische MFA-Pflicht sich "nur" auf "Admins" bezieht, welche sich an den oben im Artikel genannten Admin Portalen anmelden wollen? Jedoch nicht auf "User" welche keinen Zugriff auf ein Admin-Center haben?

Es geht darum, dass alle User, die administrative Tätigkeiten im Tenant durchführen einen MFA brauchen.
Applications ist in deinem Link aufgelistet - es geht also nur um die Admin Portale und später die CLI, Powershell usw.

Frage 2:
Bei dem betroffenen Tenant ist derzeit bei allen Benutzern die MFA deaktiviert. Manche User haben ein Entra gejointes Gerät auf welchen sie sich mit dem User anmelden. Ist demnach eine Anmeldung mit dem 365er Account auf den gejointen Geräten nach wie vor - ohne MFA - möglich?

Kannst das einstellen wie du lustig bist für die Enduser solange sie keine Adminportale aufrufen, auf die sie sowieso keinen Zugriff haben sollten.
Zusätzlich kannst du die MFAs mit CAs (conditional access) anpassen - bspw. kann ein gejointes Gerät als zweiter Faktor dienen.

Frage 3:
Werden die beiden Einstellungen/Richtlinien - wie im Artikel angekündigt - im 2. Halbjahr 2024 "overruled", so dass eine MFA für Admins unumgänglich wird?
Ich denke eher, dass da eine neue default Conditional Access definiert wird, die einen MFA forciert für gewissen Applications.
Und, ob dann die Richtlinien ausgehebelt werden, weil es von Microsoft kommt... möglich und wahrscheinlich.
Wird sich dann zeigen lassen :X
Sicher bin ich mir aber nicht.

Da muss ich aber noch erwähnen, dass der Token eine Weile Gültigkeit hat... Je nachdem, wie die Policy gebaut wird.
Der Admin muss dann also nicht bei jedem Aufruf der Seite einen MFA ausführen.
Wir bspw. fordern von allen Admins nach 18 Stunden immer einen MFA an, weil dann der Token abläuft.

VG
markaurel
markaurel 16.08.2024 um 07:33:04 Uhr
Goto Top
Morgen Celiko!

Danke für deine Antwort!
Ich hätte die Angelegenheit(en) ebenso gesehen. Es gibt aber Sicherheit, sich bei solchen/manchen Dingen eben mit jemanden abzusprechen.

Kurzum: ich komme um eine MFA für den Admin nicht herum. Alles andere kann ich belassen wie es ist.

Danke.

MfG

M.A.
Serie: Obligatorische mehrstufige Authentifizierung MFA für alle Azure-Anmeldeversuch
Obligatorische mehrstufige Authentifizierung (MFA) für alle Azure-Anmeldeversuch2