Jump to content

2FA - Einige Fragen dazu


Blase
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

wir sind mit unserer eigenen Firma schon eine ganze Weile im Azure AD. Just heute haben wir eine Mail von MS bekommen:

 

Zitat

 

Ab der Woche March 22, 2023 erleichtern wir Ihnen das Aktivieren von Sicherheitsstandards, indem wir Ihnen eine Nachricht anzeigen, wenn Sie sich über Ihren Webbrowser bei Ihrem Azure Active Directory (Azure AD)-Konto anmelden. Wenn Sie gemäß der Nachricht keine Maßnahmen ergreifen, werden die Sicherheitsstandards nach 14 Tagen aktiviert. Wenn Sie beginnen möchten, können Sie noch heute Sicherheitsstandards aktivieren.

Wenn Sie Sicherheitsstandards aktivieren:
•    Sie als globaler Administrator werden aufgefordert, sich mithilfe der Microsoft Authenticator-App und Ihrer Telefonnummer für die Multi-Faktor-Authentifizierung zu registrieren.
•    Alle anderen in Ihrer Organisation werden aufgefordert, sich bei der Microsoft Authenticator-App für die Multi-Faktor-Authentifizierung zu registrieren.

 

 

Lese ich daraus, dass man so oder so die 2FA aktivieren muss (bei Untätigkeit schaltet MS das einfach so aktiv)? Und das nicht nur als globaler Administrator, sondern auch sämtliche AD/Exchange Benutzer das aktivieren müssen?

 

Mir ist grundsätzlich natürlich der Sinn und Zweck der 2FA bewusst - aber es stellt uns dennoch vor einige Probleme.

 

Ganz allgemein sind wir auch IT Dienstleister und haben diverse unserer Kunden im Exchange Online oder größeren M365 Produkten drin. Bei einigen ist sogar schon 2FA, mit authentificator App auf dem jeweiligen Handy, aktiv. Aber eben nicht bei allen. 

 

Meine ganz allgemeinen Fragen in dem Kontext:

 

  • Bekommen jetzt im März einfach alle Kunden solche Mails? Oder haben wir sie als Firma einfach "schon" jetzt bekommen, weil wir schon recht lange im Azure AD dabei sind? Also bekommt man das dann erst nach X Jahren / Monaten nach der Ursprünglichen Einführung? 
  • Kann man das zumindest für die Benutzer bei Bedarf unterbinden, bzw. schlicht nicht aktivieren? Klingt in der Mal zumindest nicht so.
  • Und wie handhabt ihr das, wenn zB in einer Firma nur ein geringer Teil der Belegschaft Firmenhandys hat und der Rest nur private Geräte nutzt. Natürlich sollte es keine große Sache sein, dort auf dem privaten Handy die authentificator App drauf zu tun - aber manche Benutzer könnten sich dennoch quer stellen. 


Freue mich auf Feedback.

 

MfG Blase

Link zu diesem Kommentar

Moin,

 

ja, das liest du richtig. Die Idee ist: Microsoft ist hier der Provider des Kunden und muss für hohe Sicherheit sorgen. Wenn der Kunde aus Unkenntnis oder Nachlässigkeit nichts tut, dann schaltet MS die MFA an, um das Sicherheitsniveau zu erhöhen.

 

Als Kunde kannst du das ausdrücklich abschalten und das auch im Voraus. Das musst du aber eben ausdrücklich und absichtlich tun. Damit ist sich Microsoft sicher - und kann das im Zweifel auch nachweisen -, dass der Kunde selbst das bewusst abgeschaltet hat.

 

Gruß, Nils

 

Link zu diesem Kommentar

Hallo Nils,

 

habe vielen Dank für deine Antwort.

 

Wenn ich unseren verantwortlichen Kollegen hier aber richtig verstanden habe, kam oben beschriebene Mail, obwohl wir bei uns ausdrücklich den Bereich abgeschaltet haben. 

 

Muss man also, in einem gewissen Turnus vielleicht, diese Abschaltung erneut bestätigen? Oder haben wir es möglicherweise "nicht richtig" abgeschaltet?

 

Ich persönlich kenne leider den Bereich, bzw. die Oberfläche nicht. Versuche hier nur den Sachverhalt zu klären.

 

MfG Blase

Link zu diesem Kommentar

Hi,

 

bei einem Teil unserer Kunden aktivieren sich die Security Defaults ab und an "von alleine" wieder. Dann wird es entweder wieder abgeschaltet bzw. empfohlen, einen Azure AD Plan 1 / Plan 2 oder einen Plan, der eben eine dieser Pläne beinhaltet, zu nutzen.

 

vor 9 Stunden schrieb Blase:

Und wie handhabt ihr das, wenn zB in einer Firma nur ein geringer Teil der Belegschaft Firmenhandys hat und der Rest nur private Geräte nutzt. Natürlich sollte es keine große Sache sein, dort auf dem privaten Handy die authentificator App drauf zu tun - aber manche Benutzer könnten sich dennoch quer stellen.

Hier wäre dann auch Azure AD P1 / P2 ein Ansatz. Da könntest du mit Conditional Access und/oder FIDO2 / Windows Hello bzw. weiteren Methoden neben der App als zweiten Faktor arbeiten.

 

Ein weiterer Ansatz wäre eine externe 2FA zu integrieren, die dir die für dich passenden Methoden zur Verifizierung bietet.

 

Gruß

Jan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...