Microsoft will, dass Administratoren seit dem 15. Oktober 2024 die Anmeldung an Azure per Multifaktor-Authentifizierung (MFA) vornehmen, wobei aber eine Verschiebung um bis zu 5 Monate möglich ist.
Anzeige
Nico hatte mich auf das Thema hingewiesen, wobei der 15. Oktober 2024 bereits vorbei ist. Microsoft verlangt in Azure seit dem 15.10. 2024, dass sich alle Admins über MFA authentifizieren. So steht es im M365 Admin-Nachrichtencenter.
In den Einstellungen kann man auf Wunsch die zwangsweise Einführung auf den 25. März 2025 verschieben.
Anzeige
Was Nico in diesem Kontext verwirrt: Im Nachrichtencenter heißt es "verlangt Microsoft […] von Administratoren, dass sie bei der Anmeldung […] MFA verwenden". In Azure selbst liest man im Text "[MFA] … ist für alle Benutzer erforderlich ….".
Frage an die Leserschaft: Habt ihr alle auf MFA umgestellt oder das bis März 2025 zurückgestellt? Und gilt die MFA-Anmeldung nur für Administratoren, oder doch für alle Benutzer? Meines Wissens nach ist MFA für Administratoren verpflichtend.
Anzeige
An der Realität vorbei, wo sich Dritte im Freelancer Bereich ohne dauerhaften direkten Firmenbezug remote um Administration Anpassungen kümmern sollen.
Ähnlich bei Einrichtung/Anpassung von Google API/Maps/Merchant/Analytics usw. Produkten, das kann man als Freelancer inzwischen nicht mehr machen ohne komplexe Login Prozesse und/oder Rechteerstellung was die Eigentümer der Accounts völlig überfordert und sich bei ein paar/zehn/hundert Kunden im Google Account des Freelancers auch gar nicht sauber getrennt einrichten lässt.
M365 und Azure bisher nie ohne MFA gesehen und genutzt, daher kenne ich das nicht anders. Zusätzlich noch P2 und PIM für die Admins, da ist MFA bei uns obligatorisch mit CA alles noch forciert.
Hallo,
unsere Interpretation: Gilt für alle Zugriffe auf die Admin-Portale. Unsere Vermutung: Auch für die Lizenz-Portale – und damit über die Hintertür für alle Benutzer.
Ja, wir haben verschoben und bereiten uns vor.
Nun grundsätzlich ist MFA ja eine sinnvolle Sache. Ob es MS auch mit normalen Usern durchzieht, ist mir aktuell aber auch noch nicht ganz klar. Aus versehen für alle aktiviert ist aber schnell passiert.
Recht umständlich ist es auch eine Alternativen zur MS-App auf dem Smartphone zu verwenden. Zum Beispiel SMS. MS hinterlässt einem den Eindruck, dass eigentlich nur die App wirklich gut ist. Wird auch standardmässig bei der Telefon-Wahl aktiviert. Auch weist MS an jeder Stelle auf veraltete MFA Techniken hin, aber so richtig erkennen ob man nun alte oder neue aktiviert hat, ist gar nicht so einfach auf Anhieb möglich. Etwas unausgegoren diese Oberfläche.
Auch das Formular für die Aktivierung ist nicht so richtig integriert und wirkt drangebabbt. Ist man z.B. mit mehreren User in unterschiedlichen Domains angemeldet und wechselt auf diesen speziellen Teil der Oberfläche wo man MFA erzwingen kann, kommt man immer auf die Struktur der gleichen Domain, auch wenn man den User gewechselt hat. Sehr verwirrend.
Ich persönlich finde es aber allgemein fragwürdig, das private oder geschäftliche Smartphone als Generalschlüssel für das ganze Leben zu verwenden. Aber das ist nur meine Meinung. Öffnet wieder Tür und Tor für Manipulationen.
Hallo Hansi,
deine Bedenken hinsichtlich privatem Smartphone kann ich gut verstehen und schliesse mich an. Das geschäftliche allerdings ist doch genau für sowas finde ich.
Bei uns sind allerdings alle User mit MFA abgesichert.
Aber wenn dir die MFA Methode nicht gefällt könnte dich vl der Sicherheitsschlüssel interessieren ein Hardwaretoken ohne App oder zusätzliche Programme auf FIDO2 Standart wir benuzen diese Methode und die funktioniert bis jetzt sehr zuverlässig. Das kann man als zusätzliche Methode einrichten und als Standart definieren sollte mal der Tocken verloren gehen kann man immer noch das Smartphone einrichten.
Hintergrund bei uns ist allerdings, nicht jeder Mitarbeiter der einen 365 Account hat, hat ein Firmen Smartphone so kamen wir darauf.
Als Token würde ich die Yubikeys 5NFC empfehlen.
Am Smartphonezwang statt (Festnetz mit zu erlauben) sieht man, dass es der Industrie weniger auf die eigentliche Sicherheit abgesehen haben. Ein Festnetztelefon wird seltener ohne Zustimmung des Besitzers benutzt und bei einem Diebstahl nimmt der Dieb auch nicht die Nummer mit.
Trotz alledem wird bei 2FA fast nur aufs Smartphone gesetzt. Selbst ein nicht smartes Handy ist oft schon nicht ausreichend. Offenbar wird die 2FA auch dafür genutzt, so nebenbei an Daten für und von weiteren Geräten zu kommen.
Das wollte ich an dieser Stelle jetzt nicht unnötig breittreten da der Fokus ja auf MFA liegt, aber genauso kommt es mir auch vor. Durch das durchzwingen der Smartphone-App kommt man wieder an Nutzerdaten. Auch wenn SMS oder Anruf priorisiert wird, kommt erstmal der Aufruf zur App-Anmeldung.
Wenn man sich die Entwicklung der letzten Jahre anschaut, wird es sobald es verbreitet ist, entsprechende Begehrlichkeiten hervorbringen und die App wird ausgebaut, wird unsicherer und dient nicht mehr nur dem Auth-Zweck. Zudem können Smartphones recht einfach gehackt werden, dadurch bin ich eher geneigt kein Smartphone für die Authentifizierung von allem für gut zu befinden. Oder eben Telefone die nur diesem Zweck dienen. Oder Tokens. Die erfordern aber wieder Fremdsoftware, was mir auch nicht so schmeckt. Setze eigentlich lieber auf reine MS-Technologie in diesem Bereich. Eine Zwickmühle.
eine Frage an die Experten.
Ich habe im MS365 auch Hardware Keys aktiviert für MFA. Nur wird einem das bei der ersten Anmeldung nicht angeboten.
Ich lege einen Testkonto an, melde mich dann in einem anderen Browser mit diesem Konto an und nur die MS APP oder alternative OTP APP kann ich auswählen. Erst wenn ich das abgeschlossen habe kann ich in diesem Konto ein yubikey hinzufügen unter Sicherheit.
Hab ich irgendwas übersehen?
Hallo Karl,
Ja eine Kleinigkeit aber nur, das Konto mit dem du dich anmelden willst muss den Sicherheitsschlüssel als Standart haben, das stellt du dort ein wo du den Yubikey hinzugefügt hast.
Ja, das meinte ich weiter oben. Es geht anders, aber es ist nicht so easy zu aktivieren. Insbesondere für die Erstanmeldung. Ist aber möglich. Habe es leider auch verpasst aufzuschreiben wie es zuverlässig funktioniert. Bei der nächsten versuche ich das entsprechend zu erledigen.
Mein Distributor dreht völlig am Rad, unglaublich viele Help-Desk Einsätze oft ohne direkte Bezahlung mit allem was mit der Cloud/Azure/Entra zu tun hat welche nur schon für den Softwarekauf benötigt wird. Ein KMU hat gar keine Chance das ganze selber korrekt zu verwalten. MFA macht es nicht besser.
Und einmal mehr muss dadurch in einem Online-System die Berechtiung an eine andere Firma abgegeben werden wo man wieder keinen Einfluss hat wer und was zugreift. Keine Ahnung, aber gerade in der heutigen Zeit finde ich solche Konstrukte grässlich.