Microsoft erzwingt MFA

[Boffe]

Hallo zusammen,

Wir haben Microsoft365 Business Standard im Einsatz.
In Kürze wird Microsoft für die User die MFA zur Pflicht machen.
Die einzige kostenfreie Methode scheint dabei der Microsoft Authenticator zu bleiben.

Wir haben bei uns im Unternehmen aber noch viele Mitarbeiter, welche ihren Microsoft Account nur lokal, am PC in der Firma nutzen.
Diese User haben gar nicht die Möglichkeit, die App als zweiten Faktor zu nutzen.

Wie muss man diese Fälle handeln ?

 

[Evil E-Lex]

Warum soll das nicht gehen? Ich kenn jetzt das konkrete Setup von MS365 nicht, aber wenn es funktioniert wie überall sonst, läuft das so: Die MFA-App generiert nur einen Code der einmal mit dem passenden Seed eingerichtet wird. Üblicherweise scannt man dazu einen QR-Code vom Bildschrim ab. Die verwendete Authenticator-App ist dabei ebenfalls egal.

Hier steht es sogar beschrieben: Einrichten einer Authentator-App als Überprüfungsmethode in zwei Schritten
Direkt im ersten Absatz:

Sie können eine Authentator-App einrichten, um eine Benachrichtigung an Ihr mobiles Gerät zu senden oder Ihnen einen Prüfcode als Sicherheitsüberprüfungsmethode zu senden. Sie müssen die App Microsoft Authenticator nicht verwenden, und Sie können während des Einrichtungsvorgangs eine andere App auswählen. In diesem Artikel wird jedoch die App Microsoft Authenticator verwendet.

 

[Smily]

Moment, wenn ein User Microsoft 365 Office hat, dann habt ihr ihm doch im Azure die Lizenz zugewiesen.
Und dann hat er einen Microsoft Account.
Was meinst du mit "lokal benutzen", hat der PC kein Internet?

Jeder User wird sich unter https://login.microsoftonline.com mit seinem Account anmelden können.

Es gibt auch noch weitere Möglichkeiten



Ich sehe daher das Problem nicht?

 

[Boffe]

Die Authenticator App von MS gibt es nur für Mobile Geräte, viele meiner User haben aber keins und wollen auch nicht ihr privates Smartphone verwenden.

 

[Smily]

"Telefonnummer" in meinem Screenshot ist ne SMS.

Dann gibt es noch solche Dongles

Wie man den aber damit verbindet, weiß ich nicht, weil hat das Systemhaus gemacht.

 

[Boffe]

Moment, wenn ein User Microsoft 365 Office hat, dann habt ihr ihm doch im Azure die Lizenz zugewiesen.
Und dann hat er einen Microsoft Account.
Was meinst du mit "lokal benutzen", hat der PC kein Internet?

Jeder User wird sich unter https://login.microsoftonline.com mit seinem Account anmelden können.

Es gibt auch noch weitere Möglichkeiten

Anhang anzeigen 1483841

Ich sehe daher das Problem nicht?

Die Email Variante wird von MS nur für die Kennwortwiederherstellung erlaubt, nicht für den Account Login.

Die Variante SMS funktioniert aktuell noch, allerdings erscheint beim Verwenden ein Hinweis, dass diese nach 3maliger Nutzung nicht mehr funktioniert und man künftig den Authenticator verwenden muss.

 

[Smily]

Oh, OK, dann Firmen-Handy, privates Telefon (was echt nicht schlimm ist, aber bei uns heulen einige auch rum wegen ner 10 MB App...) oder den Dongle.

Ergänzung (16. Mai 2024)

So sieht das mit Dongle in Azure aus, aber wie gesagt, weiß nicht wo der hinzugefügt wird.

 

[thealex]

Geht nicht wirklich per Telefon(anruf)? Nutzen bei uns auch einige, die partout nicht ihr privates Smartphone dafür verwenden möchten. Dann klingelt das Festnetz, man muss den Login dann mit Tastendruck bestätigen. Das ist aktuell bei uns die einzige Alternative zum Authenticator, den wir den Leuten anbieten.

Geht natürlich nur, wenn die Leute ein dienstl. Telefon am Arbeitsplatz haben.

 

[Baya]

Ich nutze "WinAuth" am PC für solche Anmeldungen an Zuliefererportalen z.B.
Vielleicht ist das ja auch was?

 

[TheHille]

Wir haben da auch vor wenigen Wochen gemacht.

Wir sind dann auf Firmen-Telefonnummer gegangen, alle anderen mit Firmenhandy entweder SMS oder Auth-App.

Die Tokens haben wir auch ausprobiert, können halt wieder verloren gehen. Auch das Handling ist eher meh für den Admin: https://www.token2.com/shop/product/token2-molto-1-i-multi-profile-totp-hardware-token

Die Yubikeys haben wir auch ausprobiert. Die sind vielleicht super, wenn man bei MS richtig reincashed, aber für uns war es nichts. Wir haben kein Entra P1 oder Business Premium sondern Business Standard. Die Tokens sind auch nicht ganz billig.

Email geht nur, wenn die 2FA-Email nicht die gleiche Domain hat, wie die Firma.

 

[Smily]

Oh, jetzt hab ich selbst was gelernt .
Doch, geht, wenn das Systemhaus uns das nicht gesperrt häte.

 

[AGB-Leser]

Anstelle der Microsoftapp kannst du doch jede andere OTP-App nutzen

Ergänzung (16. Mai 2024)

"Telefonnummer" in meinem Screenshot ist ne SMS.

Dann gibt es noch solche Dongles
Anhang anzeigen 1483842
Wie man den aber damit verbindet, weiß ich nicht, weil hat das Systemhaus gemacht.

Hardware OTP, die Daten zur Berechnung werden entweder manuell eingegeben, oder über einen Rechner per Kabel oder Funk

 

[Tamron]

@AGB-Leser Das Problem ist, dass überhaupt etwas auf deinem Privatgerät installiert wird. Da sperren sich die Heikes und Manfreds. Überwachung von den da oben geht gar nicht!!1111!!

Überall in der Welt ist das kein Problem. Nur in Deutschland sperren sich Menschen gegen eine App auf dem Handy.
Dann stell halt Conditional Access für deine Public IP in der Firma aus.
Viel Spaß bei irgendwelchen Security Incidents in der Zukunft, weil der Account von einem Mitarbeiter nicht richtig abgesichert war und dadurch ein Schaden entstanden ist.
Über 2FA/MFA zu diskutieren ist so sinnlos. Wenn das schon ein Problem ist, dann habt ihr ja noch ganz andere Baustellen.

 

[AGB-Leser]

Finde ich auch richtig so, man muss nicht jeden scheiß mitmachen

Aber bei OTP gibt's vertrauenswürdige Alternativen, deswegen habe ich auch kein Problem mit. Außerdem gibt's dann noch Sicherheitsschlüssel

 

[Drewkev]

Überall in der Welt ist das kein Problem. Nur in Deutschland sperren sich Menschen gegen eine App auf dem Handy.

Das ist hier in Österreich nicht viel anders ... zum Glück können wir derweil alternativ YubiKeys verwenden.

 

[Smily]

Eigentlich sollte jeder sowas auf dem Handy haben. Weil jeder hat Google Account, Paypal oder Amazon, und die bieten 2FA alle an.
Und man kann auch die Apps nehmen, die man eh schon nutzt. Aber ... die meisten checken das einfach nicht und heulen nachher, wenn ein Konto weg ist 🤷‍♂️ . Die Firma überwacht uns jetzt ... ja klar, ich hab dafür extra eine App programmiert, in den Appstore gestellt und als Hersteller Microsoft gefälscht...

 

[Drewkev]

Wir haben Microsoft365 Business Standard im Einsatz.
In Kürze wird Microsoft für die User die MFA zur Pflicht machen.

Gibt es dazu eigentlich eine Quelle? Wäre super.

@Smily
Du sprichst mir aus der Seele.

 

[Fatal3ty]

Business ist eigentlich die MFA seit paar Järchen schon Pflicht. Und ich habe meine MS Account, die nur für Xbox gespielt wird, freiwillig vor 3 Monaten 2FA aktiviert weil ich gemerkt hatte, dass nach dem Microsoft Leaks vom letzten Jahr immer wieder von den Chinesen (vermutlich Bot) versucht hatte, meine Account zuzugreifen, mit Begründung "Passwort falsch" stand da. Seitdem Ruhe.

Ich verwende die von Apple Schlüsselbund und funktioniert alles.

 

[T3Kila]

Alternativ könnt ihr den OAuth auch bspw. in Keepass hinterlegen. Kann sich jeder Mitarbeiter auf sein Home Laufwerk passwortgeschützt ablegen

 

[Boffe]

Hallo zusammen,

danke für die vielen Antworten, ich wollte jetzt aber keinen Shitstorm gegen unsere "User" da draußen provozieren

Stimmt schon, privat ist MFA mit Sicherheit bei allen angekommen, allein schon wegen Banking, Paypal o. Ä., nur im Beruf ist das leider dann plötzlich ganz was Neues/Schlimmes....
Aber die Diskussion kann man nur verlieren.

Ich habe jetzt zwischenzeitlich rausgefunden, dass die Autorisierung via Telefon trotz Ablauf der 3 Versuche weiterhin möglich ist, dann sollte ich das für die User ohne Smartphone auf diesem Weg lösen können.

Alternativ werde ich mir mal WinAuth anschauen, damit hätte ich noch eine Alternative, vielen Dank für eure Tipps !