Shadowwulf 0 Geschrieben 12. April Melden Teilen Geschrieben 12. April Guten Morgen zusammen, aufgrund der Anforderung nach mehr Sicherheit, möchten wir MFA in unserer Systemumgebung aktivieren/einführen. Anforderung ist, dass MFA nur abverlangt sein soll, wenn der User sein Kennwort ändern oder zurücksetzen/neu erstellen möchte. Bei einer normalen Anmeldung z.B. OWA soll nicht abgefragt werden wenn möglich. Ist das überhaupt in der Form möglich? Ist das über eine normale Aktivierung im Admin Center (MFA aktivieren) möglich oder kann/muss das über CA eingerichtet werden. Von der Lizenzierung haben wir da alle Möglichkeiten (O365 E3 / EMS E3). Über Azure AD Connect syncen wir die notwendigen Objekte in die Cloud. Bin für jede Information dankbar Danke & Grüße Andy Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 12. April Melden Teilen Geschrieben 12. April Zwei Sachen ... bezieht sich die Anforderung auf Passwortwechsel im normalen AD? Gehe ich mal davon aus .. dann dürfte das nicht gehen. Der Benutzer meldet sich ja lokal am AD an und der Passwort Hash wird zu Azure gesynct. Oder schreibt ihr vom Azure zurück ins AD? zum anderen ... die Anforderung ist mit Verlaub blödsinnig. Es macht keinen Sinn nur bei einem Passwortwechsel MFA haben zu wollen, wenn dann macht MFA aus Sicherheitsgründen nur Sinn bei jeglicher Anmeldung an den diversen MS Diensten. 1 Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 12. April Melden Teilen Geschrieben 12. April Hi, du könntest per Conditional Access die vertrauenswürdigen Standorte per IP Adresse bestimmen und/oder auf "Device ist registriert" prüfen und dann ohne 2FA arbeiten. Falls es eine Anwendung für "Kennwort ändern" gib, könntest du da dann wiederum 2FA per CA Policy erzwingen. Ansonsten schließe ich mich allerdings @Squire an. Gruß Jan 1 Zitieren Link zu diesem Kommentar
Shadowwulf 0 Geschrieben 14. April Autor Melden Teilen Geschrieben 14. April Danke erstmal für die Infos @Squire ja wir schreiben auch in die AD zurück und zu deinem 2 Absatz das sehe ich genauso. War halt eine generelle Frage aus dem Team. @testperson das hört sich sehr interessant an und muss ich mal ein bisschen testen. Danke und einen schönen Rest Sonntag Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 14. April Melden Teilen Geschrieben 14. April BTW: es heißt das AD - meine ich… OT /aus Schönen Sonntag allerseits Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.