Office 365 Business / Authentifizierung / SMS Handhabe

[PEASANT KING]

Guten Tag,

vielleicht eine absolut bekloppte Frage, aber wie wird bei euch denn die erstmalige Freischaltung von Office 365 Business gehandhabt?
Also sprich MS fordert ja eine Mobilnummer oder Telefonnummer zum Zusenden des Auth Codes bei der erstmaligen Anmeldung, oder wenn man das Kennwort zurücksetzen möchte und sich dann damit anmeldet.

Wie macht ihr das denn? Im Moment läuft alles auf eine Mobilfunknummer für alle User, glaube aber das ist auf Dauer sehr unpraktikabel. Andererseits könnte jeder User, wenn er denn seine Nummer angibt, das Produkt auch unerlaubt außerhalb des Unternehmens begrenzt installieren und nutzen.

Danke für die Antworten vorab

 

[elefant]

Meinst du die Kennwort zurücksetzung oder die Ameldung mit zweitem Faktor?
Beides sollte man eigentlich nicht auf die selbe Nummer laufen lassen bei x-Mitarbeitern.

 

[xexex]

vielleicht eine absolut bekloppte Frage, aber wie wird bei euch denn die erstmalige Freischaltung von Office 365 Business gehandhabt?

Domäne des Unternehmens konfigurieren, Benutzer im Portal anlegen, Lizenzen zuweisen. Für niemanden wird dabei zwingend die Angabe einer Rufnummer erfordert und wenn dem so sein sollte, dann lässt sich die 2FA auch abschalten oder entsprechend auf Mail oder die Firmenrufnummer konfigurieren.

Die Installationen werden sowieso im Azure Portal erfasst und jede Anmeldung kann dort genaustens mit der IP Adresse und ungefährem Standort angezeigt werden. Wer will kann auch die Anmeldung mit dem Firmenaccount gezielt auf bestimmte IP Adressen einschränken, wobei das natürlich in Zeiten von Home Office eine eher unpraktikable Lösung ist.

 

[PEASANT KING]

Das klingt doch super @xexex. Mich wundert halt, das bei jeder ersten Anmeldung nach Installation MS eine weitere Authmethode fordert...
Ich glaube aber, das liegt an den Einstellungen im Azure Center, wo ich unter Sicherheitsstandards selber verwalten kann wie sich authentifiziert wird richtig?

 

[elefant]

Ich rate dann mal, das es um 2FA geht.
Natürlich wird dieser bei jeder neuen Anmeldung an einem anderen Client/Browser/Smartphone oder allgemein Endgerät abgefragt. Das ist der Sinn davon.
Ob es nun eine so kluge Lösung ist, die 2FA zu deaktiveren bleibt dir überlassen.

 

[PEASANT KING]

Es ist im Standard schon so gewesen.
Ich weiß natürlich was 2FA ist. Ich wollte es eigentlich auch nicht deaktivieren, ich habe nach einer Lösung gesucht, bzw. Erfahrungen, wie es bei Anderen im Unternehmen gehandhabt wird.

Vorallem, ob jedem User überlassen wird, seine eigene Mobilnummer zu verwenden, oder eine zentrale Nummer die dann von der IT nur verwendet wird.

Hier kam mir die Antwort von @xexex sehr gelegen.

 

[elefant]

Die Anwort von @xexex war ja, die 2FA zu deaktivieren.
Wir setzen im Unternehmen nicht auf SMS sondern den Microsoft Authenticator.
Heute braucht man eh für zich verschiedene Anwendungen einen 2FA-Client.

 

[xexex]

Es ist im Standard schon so gewesen.

Das ist erst seit einer kurzer Zeit standardmäßig so eingestellt.

https://docs.microsoft.com/de-de/az...entals/concept-fundamentals-security-defaults

Das blöde dabei ist, diese Einstellung überschreibt das was der Admin konfiguriert hat, mit mit dem was Microsoft für richtig hält. Microsoft hat das für seit Ende 2019 neu erstellte Konten aktiviert, es lässt sich aber an der gezeigten Stelle deaktivieren und 2FA dann den eigenen Vorstellungen entsprechend konfigurieren oder deaktivieren.

Die Anwort von @xexex war ja, die 2FA zu deaktivieren.

Meine Antwort war, das dies nicht standardmäßig so aktiv ist, wobei das ja durchaus nur bedingt stimmt, wenn man diese Einstellung bei einem neu erstellten Kunden nicht direkt deaktiviert.

 

[Snakeeater]

Ich habe mir einen Adminnutzer in unserem Officepaket angelegt, und mit eine M Business Basic Lizenz versehen. Als Authentifizierung habe ich eine weitere Mail sowie zwei OTPs angegeben. Trotzdem fragt mich das System beim einloggen nach einer "zweiten Authentifizierungsmethode" und bietet mir nur das hinterlegen einer Telefonnummer an.
Ich habe die oben benannte Funktion mittlerweile deaktiviert, allerdings noch ohne Erfolg die Abfrage erscheint weiterhin.
Brauchen wir eine spezielle Lizenz um die Authentifizierung mit Telefonnummer vollständig zu deaktivieren? liegt es daran da es sich um einen Adminaccount handelt?
Wenn ich das richtig versteh benötigt man für "Adaptive MFA mit bedingtem Zugriff" eine Azure AD Premium Lizenz, wäre schon ein ziemlich geiles Ding wenn man nur mit dieser die Abfrage einer Telefonnr. unterbinden kann.

EDIT:
Scheint sich erledigt zu haben, das Deaktivieren der Sicherheitsstandards scheint die Telefonnr. Abfrage tatsächlich zu unterbinden. Hat wohl nur gedauert bis mein Account das registriert hat.