{"id":295055,"date":"2024-05-06T00:14:00","date_gmt":"2024-05-05T22:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295055"},"modified":"2024-05-10T09:55:20","modified_gmt":"2024-05-10T07:55:20","slug":"authentificator-zwang-fr-microsoft-office","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/06\/authentificator-zwang-fr-microsoft-office\/","title":{"rendered":"Authenticator-Zwang f&uuml;r Microsoft Office?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" height=\"60\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/05\/08\/authentificator-mandatory-for-microsoft-office\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Nochmals ein Thema aus der \"Gruft\" hervorgeholt, welches ich bereits Ende M\u00e4rz 2024 hier im Blog aufgegriffen hatte. Ein Blog-Leser hat mich Ende April 2024 kontaktiert und fragte, ob es einen \"Authentificator-Zwang f\u00fcr Microsoft Office\" gebe? Microsoft geht kontinuierlich vorw\u00e4rts, eine Multifaktor-Authentifizierung bei seinen Produkten wie Microsoft 365\/Office 365 zu erzwingen.<\/p>\n<p><!--more--><\/p>\n<h2>Eine Leseranfrage<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/39a9196171884258bbcbeba484436135\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Michael V. hat mich bereits am 24. April 2024 unter dem Betreff \"Authentificator-Zwang f\u00fcr Microsoft Office?\" per E-Mail kontaktiert, weil er als globaler Administrator einer Microsoft Cloud-Instanz eine Mail von Microsoft erhalten hat. Diese Mail informierte ihn \u00fcber eine \u00c4nderung der Sicherheitsstandards f\u00fcr einen benannten Tenant.<\/p>\n<p><img decoding=\"async\" title=\"Authentificator-Zwang f\u00fcr Microsoft Office?\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/05\/image-3.png\" alt=\"Authentificator-Zwang f\u00fcr Microsoft Office?\" \/><\/p>\n<p>Im betreffenden Tenant w\u00fcrden noch Legacy-Authentifizierungsprotokolle mit Anmeldung per Benutzername und Passwort verwendet, hei\u00dft es in der Mail.\u00a0 Diese verwendeten Legacy-Authentifizierungsprotokolle seien weniger sicher als moderne Protokolle und erleichtern Angreifern das Erfassen von Anmeldeinformationen.<\/p>\n<p>Diese Legacyprotokolle blockieren normalerweise die Aktivierung von Sicherheitsstandards, schreibt Microsoft. Man habe jedoch spezielle Ausnahmen angewendet, damit Nutzer weiterhin Legacy-Authentifizierungs-Apps verwenden k\u00f6nnen, w\u00e4hrend die Anwender bereits eine mehrstufige Authentifizierung f\u00fcr alle anderen Apps verwenden. Diese Ausnahmen gelten f\u00fcr Apps, die der Nutzer beim speziellen Tenant einen Monat vor Donnerstag, 18. April 2024 verwendet haben.<\/p>\n<p>Es hei\u00dft, dass dieser genannte Mandant (Tenant) ab Dienstag, den 21. Mai 2024, in der Sicherheitsstandardeinstellung f\u00fcr auf eine mehrstufige Authentifizierung umgestellt werde. Diese k\u00f6nne mehr als 99,9 % der Identit\u00e4tsangriffe blockieren. Meldet sich der globale Administrator zwischen Dienstag, 23. April 2024 und Dienstag, 21. Mai 2024 beim Konto an, wird eine Meldung angezeigt, in der er aufgefordert wird, proaktiv die Sicherheitsstandards zu aktivieren. Wenn der globale Administrator sich nach Ablauf dieses Zeitrahmens nicht angemeldet oder diese Einstellung aktiviert hat, wird die Einstellung automatisch f\u00fcr den Mandanten (Tenant) aktiviert.<\/p>\n<p>Ab diesem Punkt ist dann nur noch eine mehrstufige Anmeldung der Benutzer am Tenant, zum Beispiel mit der Microsoft Authenticator App m\u00f6glich. Die Mail, die ich am Artikelende komplette eingestellt habe, gibt dem globalen Administrator Hinweise, was ihn erwartet. Microsoft empfiehlt, Benutzer \u00fcber folgende Punkte zu informieren, um Verwirrung zu vermeiden:<b> <\/b><\/p>\n<ul>\n<li>Melden sich Nutzer an, wird eine Aufforderung angezeigt, die Microsoft Authenticator App zu installieren und ein Konto daf\u00fcr anzulegen. Nutzer k\u00f6nnen dies sofort tun oder auf sp\u00e4ter verschieben. Nach 14 Tagen wird die Option zum Zur\u00fcckstellen jedoch ausgeblendet, und die Nutzer m\u00fcssen sich f\u00fcr die mehrstufige Authentifizierung registrieren, bevor sie sich anmelden k\u00f6nnen.<\/li>\n<li>Die Nutzer m\u00fcssen die Schritte zum Einrichten der Microsoft Authenticator-App zum Herunterladen der App auf ein mobiles Ger\u00e4t befolgen und dann ihr Konto bei der App registrieren.<\/li>\n<\/ul>\n<p>Der Text der Mail ist am Beitragsende zu finden. Der Blog-Leser schrieb dazu, dass er bei der Anmeldung im Browser dann auch folgendes Fenster angezeigt bekommen habe:<\/p>\n<p><img decoding=\"async\" title=\"Umstellung MS 365 auf MFA\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/05\/MS365-MFA-02.jpg\" alt=\"Umstellung MS 365 auf MFA\" \/><\/p>\n<p>Der Leser fragte dazu: <em>Bedeutet das, dass sich JEDER bei uns einen Authentificator (und im Fall von der MS-L\u00f6sung einen potentiellen Tracker) auf's <u>private<\/u> Handy laden muss? Was ist, wenn wir das nicht wollen\/k\u00f6nnen? Mehr Sicherheit ist ja sch\u00f6n und gut, aber ich h\u00f6re jetzt schon den Aufschrei bei meinen Kollegen \u2026 <\/em><\/p>\n<h2>Information und Diskussion hier im Blog<\/h2>\n<p>An dieser Stelle m\u00f6chte ich auf meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/03\/28\/microsoft-365-exchange-online-erzwingt-pltzlich-mfa-per-microsoft-authenticator-app\/\">Microsoft 365\/Exchange Online erzwingt pl\u00f6tzlich MFA per Microsoft Authenticator-App<\/a> vom 28. M\u00e4rz 2024 verweisen, wo ich eine entsprechende Lesermeldung von Alex aufgegriffen hatte. Dessen Benutzer hatten massive Probleme mit Exchange Online, weil die Microsoft 365-Anwendungen pl\u00f6tzlich eine Multifaktor-Authentifizierung per Microsoft Authenticator-App per Smartphone forderten.<\/p>\n<p>Dort hatte ich grob darauf hingewiesen, dass das Thema bereits seit Mai 2023 ansteht (siehe mein Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/04\/21\/stellt-microsoft-die-sicherheitsstandards-fr-mandanten-in-azure-ad-zum-8-mai-2023-auf-mfa-um\/\">Stellt Microsoft die Sicherheitsstandards f\u00fcr Mandanten in Azure AD zum 8. Mai 2023 auf MFA um?<\/a>). Auch Microsoft hat dazu den Support-Beitrag <a href=\"https:\/\/learn.microsoft.com\/de-de\/entra\/fundamentals\/security-defaults#enabling-security-defaults\">Sicherheitsstandards in Microsoft Entra ID<\/a> mit Stand 24.11.2023 ver\u00f6ffentlicht. Der Diskussions- und Informationsstand aus der Leserschaft zu diesem Artikel lautet:<\/p>\n<ul>\n<li>Microsoft stellt seit M\u00e4rz 2024 weitere Tenants auf die Mulitfaktor-Authentifizierung mittels Microsoft Authenticator-App per Smartphone um.<\/li>\n<li>Eine Reihe Nutzer, deren Administratoren das Thema nicht auf dem Radar hatten, sind dann pl\u00f6tzlich ausgesperrt, weil keine Microsoft Authenticator-App installiert ist.<\/li>\n<li>Es gibt F\u00e4lle, wo die Umstellung auf Microsoft Authenticator-App erfolgte, die Nutzer aber trotzdem Anmeldeprobleme bekommen, weil der Prozess nicht funktioniert.<\/li>\n<li>Bez\u00fcglich der Diskussion, was Firmen machen, deren Mitarbeiter kein Firmenhandy zwecks Installation der Microsoft Authenticator-App haben, kam von Jonas in <a href=\"https:\/\/borncity.com\/blog\/2024\/03\/28\/microsoft-365-exchange-online-erzwingt-pltzlich-mfa-per-microsoft-authenticator-app\/#comment-177840\">diesem Kommentar<\/a> der Hinweis, dass sie den <a href=\"https:\/\/shop.reiner-sct.com\/authenticator\/reiner-sct-authenticator-mini\" target=\"_blank\" rel=\"nofollow noopener\">REINER SCT Authenticator mini<\/a> verwenden. Auch Hardware wie Yubikey lie\u00dfen sich zum Speichern der Zugangstokens verwenden, wie andere Leser kommentieren.<\/li>\n<\/ul>\n<p>Thomas hat sich dann in <a href=\"https:\/\/borncity.com\/blog\/2024\/03\/28\/microsoft-365-exchange-online-erzwingt-pltzlich-mfa-per-microsoft-authenticator-app\/#comment-177854\">diesem Kommentar gemeldet<\/a> und schrieb, dass bei denen sich die User beharrlich weigern, die Microsoft-App auf das private Handy zu installieren. Abhilfe schafft ein MFA-Reset, und dann man die Option \"andere Methoden\" wie Telefon, alternative E-Mail etc. anzugeben. Hier sollten Betroffene unter den Administratoren die Kommentare im meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/03\/28\/microsoft-365-exchange-online-erzwingt-pltzlich-mfa-per-microsoft-authenticator-app\/\">Microsoft 365\/Exchange Online erzwingt pl\u00f6tzlich MFA per Microsoft Authenticator-App<\/a> durchgehen, da dort weitere Hinweise gegeben werden. Hier ist \u00fcbrigens noch der Text der Microsoft-Mail:<\/p>\n<blockquote><p><b>Von:<\/b> Microsoft Security &lt;MSSecurity-noreply@microsoft.com&gt;<br \/>\n<b>Gesendet:<\/b> Dienstag, 23. April 2024 00:17<br \/>\n<b>An:<\/b> <b>Betreff:<\/b> Wichtig: Wir werden bis zum Dienstag, 21. Mai 2024 die Sicherheitsverbesserungen f\u00fcr Ihre Organisation aktivieren.<\/p>\n<p><strong>Die Einstellung f\u00fcr die Sicherheitsstandards f\u00fcr Ihren <i>xxxxxxxxxxxxxxxxxx<\/i> Mandanten wird von Dienstag, 21. Mai 2024 aktiviert<\/strong><\/p>\n<p><i>Sie erhalten diese E-Mail, da Sie ein globaler Administrator f\u00fcr <\/i><i>xxxxxxxxxxxxx sind, was Legacy-Authentifizierungsprotokolle verwendet.<\/i><br \/>\nIm Rahmen der laufenden Bem\u00fchungen zur Verbesserung der Sicherheit <b>aktivieren wir die Sicherheitsstandardeinstellung in Ihrem Mandanten, die mehrstufige Authentifizierung enth\u00e4lt,<\/b> und mehr als 99,9 % der Identit\u00e4tsangriffe blockieren kann.<br \/>\nWenn Sie sich zwischen Dienstag, 23. April 2024 und Dienstag, 21. Mai 2024 bei Ihrem Konto anmelden, wird eine Meldung angezeigt, in der Sie aufgefordert werden, proaktiv die Sicherheitsstandards zu aktivieren. Wenn Sie sich nach Ablauf dieses Zeitrahmens nicht angemeldet oder diese Einstellung aktiviert haben, wird sie automatisch f\u00fcr Sie aktiviert.<br \/>\nDie von Ihnen verwendeten Legacy-Authentifizierungsprotokolle sind weniger sicher als moderne Protokolle und erleichtern Angreifern das Erfassen von Anmeldeinformationen. Diese Legacyprotokolle blockieren normalerweise die Aktivierung von Sicherheitsstandards. <b>Wir haben jedoch spezielle Ausnahmen angewendet, damit Sie weiterhin Legacy-Authentifizierungs-Apps verwenden k\u00f6nnen<\/b> w\u00e4hrend Sie die mehrstufige Authentifizierung f\u00fcr alle anderen Apps verwenden. Diese Ausnahmen gelten f\u00fcr Apps, die Sie einen Monat vor Donnerstag, 18. April 2024 verwendet haben.<\/p>\n<p>Erforderliche Aktion<\/p>\n<p>Nachdem die Einstellung f\u00fcr die Sicherheitsstandards aktiviert wurde, muss sich jeder in Ihrer Organisation f\u00fcr die mehrstufige Authentifizierung registrieren. <b>Um Verwirrung zu vermeiden, teilen Sie Ihren Benutzern bitte mit, was sie erwarten: <\/b><\/p>\n<p>\u00b7 Wenn sie sich anmelden, wird eine Aufforderung angezeigt, die Microsoft Authenticator App zu installieren und ein Konto daf\u00fcr anzulegen. Sie k\u00f6nnen dies sofort tun oder auf sp\u00e4ter verschieben. Nach 14 Tagen wird die Option zum Zur\u00fcckstellen jedoch ausgeblendet, und sie m\u00fcssen sich f\u00fcr die mehrstufige Authentifizierung registrieren, bevor sie sich anmelden k\u00f6nnen.<\/p>\n<p>\u00b7 Sie m\u00fcssen die Schritte zum Einrichten der Microsoft Authenticator-App zum Herunterladen der App auf ein mobiles Ger\u00e4t befolgen und dann ihr Konto bei der App registrieren<\/p>\n<p>Erfahren Sie mehr \u00fcber die Sicherheitsstandardeinstellung. Wenn Sie Fragen haben oder Hilfe ben\u00f6tigen, kontaktieren Sie den Support.<\/p>\n<h4>Kontoinformationen<\/h4>\n<p><b>Mandantenname:<\/b><\/p>\n<p>xxxxxxxxxxxxxxxxxx<\/p>\n<p><b>Mandanten-ID:<\/b><\/p>\n<p>0000-0000-0000-0000-0000<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Nochmals ein Thema aus der \"Gruft\" hervorgeholt, welches ich bereits Ende M\u00e4rz 2024 hier im Blog aufgegriffen hatte. Ein Blog-Leser hat mich Ende April 2024 kontaktiert und fragte, ob es einen \"Authentificator-Zwang f\u00fcr Microsoft Office\" gebe? Microsoft geht kontinuierlich vorw\u00e4rts, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/05\/06\/authentificator-zwang-fr-microsoft-office\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[4322,4328],"class_list":["post-295055","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295055"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295055\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}