dertowa
Feb 22, 2024, updated at Feb 23, 2024 (UTC)
view1903
view6
0
Goto Top

Microsoft MFA erstmal zwangsweise die App?

GermanQuestionMicrosoft
Hallo zusammen,
ich kämpfe gerade mit einem Azure Tenant und der MFA. face-sad
Problem ist, dass der Microsoft Authenticator (oder eine alternative App) bei neuen Accounts offenbar immer erzwungen wird:

mfa

Ich bin im Entra Admin Center schon hergegangen und habe unter:
- Schutz
-- Authentifizierungsmethoden
--- Einstellungen
---> Vom System bevorzugte Multi-Faktor-Methode <- Deaktiviert
--- Registrierungskampagne <- Deaktiviert

Die Migration der Authentifizierungsmethoden ist erledigt und in den
Richtlinien sind diverse Möglichkeiten aktiviert:
  • Microsoft Authenticator
  • SMS
  • Sprachanruf
  • E-Mail OTP

Offensichtlich interessiert es Microsoft nicht und es soll heute jeder ein Smartphone parat haben?
Hat jemand eine Patentlösung dafür, um diese Bevormundung zu beenden? face-big-smile

P.S.: Selbst wenn ich die Einrichtung über die Sicherheitsinformationen im Account angehe, bekomme
ich nicht alle Methoden angeboten:
account
--> hier habe ich den Benutzer testweise mal aus der Authenticator Gruppe ausgeschlossen. face-big-smile

Wenn ich dann das MFA-Setup aufrufe bekomme ich dennoch den o.g. Authenticator Dialog, beim
Klick auf weiter erscheint dann allerdings:
off-mfa

Grüße
ToWa
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 3638230783

Url: https://administrator.de/contentid/3638230783

Printed on: April 27, 2024 at 07:04 o'clock

6 Comments
Latest comment
Goto Top
Member: StefanKittel
StefanKittel Feb 23, 2024 at 08:41:26 (UTC)
Goto Top
Moin towa,

Zitat von @dertowa:
...es soll heute jeder ein Smartphone parat haben?
Ja

Hat jemand eine Patentlösung dafür, um diese Bevormundung zu beenden? face-big-smile
Nein

Ich empfehle Usern TOTP mit dem Google Authenticator (oder einer anderen TOTP App) zu verwenden.
Der MS Authenticator funktioniert aus unbekannten Grund auf 5-10% aller privaten Smartphones schlicht nicht.

Notfalls per SMS-TAN.

2FA ist sinnvoll und wichtig.
Kennwörter waren noch nie gut. Nur halt billig und einfach zu implementieren.

Stefan
heart1
Member: dertowa
dertowa Feb 23, 2024 at 08:46:25 (UTC)
Goto Top
Zitat von @StefanKittel:

Moin towa,

Der MS Authenticator funktioniert aus unbekannten Grund auf 5-10% aller privaten Smartphones schlicht nicht.

Kann ich nicht bestätigen, aber das ist hier auch nicht Thema.

Notfalls per SMS-TAN.

Dafür müsste diese aber auch angeboten werden und darum geht es hier.

2FA ist sinnvoll und wichtig.
Richtig und wird ebenfalls nicht in Frage gestellt.

Grüße
ToWa
Member: MayBeSec
MayBeSec Feb 23, 2024 at 11:01:51 (UTC)
Goto Top
Ist bei Dir "Bedingter Zugriff" konfiguriert?

https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/Polici ...
Member: dr.weishaupt
dr.weishaupt Feb 23, 2024 at 14:06:48 (UTC)
Goto Top
Hallo ToWa

Das klingt mir nach aktivierten Security Defaults. Diese lassen sich deaktivieren, schau mal hier nach:

Disabling security defaults

Grüsse
Daniel
Member: dertowa
dertowa Feb 23, 2024 at 20:52:06 (UTC)
Goto Top
Zitat von @dr.weishaupt:

Das klingt mir nach aktivierten Security Defaults. Diese lassen sich deaktivieren, schau mal hier nach:

Salut,
ja die Sicherheitsstandards sind an, ist ein neuer Tenant.
Mich wundert, dass Microsoft in dem Zusammenhang zwar die eigene App, eine Telefonnummer und eine "alternative" Telefonnummer zulässt, aber keine SMS oder E-Mail.

So ganz einleuchtend ist das dann mit den Authentifizierungs-Richtlinien nicht?

Ich schmeiß das mal raus, allerdings ist MFA dann auch nicht mehr verpflichtend, also muss ich mich da wohl wieder mit einer Richtlinie auseinandersetzen. face-big-smile

Grüße
ToWa
Member: dertowa
dertowa Mar 19, 2024, updated at Mar 20, 2024 at 07:54:22 (UTC)
Goto Top
Eine Nacht rüber u.g. geschlafen, daher editiere ich davor.
Es ist vollkommen logisch, dass der OK-Knopf am Ende zur MFA führt, da ich die direkte Geräteregistration im AzureAD damit eingedämmt habe.
bild1
Die Lösung ist also erstmal den richtigen Knopf zu nutzen.

Eine Erklärung für die Anmeldefenster habe ich allerdings noch nicht, da diese durch Seamless single sign-on eigentlich unterdrückt werden sollten.

Da es nun aber auch weitere Nutzer trifft, habe ich nun erstmal einen Workaround und eine Richtung in der ich mich bewegen kann. face-big-smile

alter Beitrag ------------------------------

Jetzt wird es ein wenig verrückt.
Gerade ruft mich eine Kollegin an, ihr Outlook forderte Sie zur Anmeldung auf.
Kennwort sollte sie eingeben, untypisch da die Konten mit Azure synchronisiert werden.

Dies mal getan, dann kam der MFA Assi...

Abgebrochen, PC-Neustart getestet und wieder das selbe Spiel.
Im Entra AdminCenter kann ich das auch erkennen:
mfa1

Woher es rührt steht dort nicht, dass es unsinnig ist, ist aber Fakt, denn:
Eine Anmeldung an den WebApps von einem anderen System geht problemlos nur mit Kennwort.
Ebenfalls funktioniert eine Anmeldung bei der Kollegin direkt im AD-Account im "InPrivate"-Modus des Browsers.

Auffällig, das Arbeitskonto wurde in den Kontoeinstellungen auch gar nicht mehr aufgeführt.
Die Anmeldemaske zur Kennworteingabe verweist auf "vertrauliche Informationen":
mfa2

Irgendwas war/ist also in den Accounteinstellungen des Benutzers auf dem PC hinterlegt, was eine MFA erforderlich machte.

Da ich zur MFA-Geschichte das Bürotelefon als Option ergänzt hatte, konnten wir den Account damit wieder hinzufügen, das erklärt mir aber nicht die Ursache und warum es nur bei einer Kollegin spontan auftrat...

Grüße
ToWa
GermanQuestionMicrosoft