Blase 15 Geschrieben 23. März 2023 Melden Teilen Geschrieben 23. März 2023 Moin, wir sind mit unserer eigenen Firma schon eine ganze Weile im Azure AD. Just heute haben wir eine Mail von MS bekommen: Zitat Ab der Woche March 22, 2023 erleichtern wir Ihnen das Aktivieren von Sicherheitsstandards, indem wir Ihnen eine Nachricht anzeigen, wenn Sie sich über Ihren Webbrowser bei Ihrem Azure Active Directory (Azure AD)-Konto anmelden. Wenn Sie gemäß der Nachricht keine Maßnahmen ergreifen, werden die Sicherheitsstandards nach 14 Tagen aktiviert. Wenn Sie beginnen möchten, können Sie noch heute Sicherheitsstandards aktivieren. Wenn Sie Sicherheitsstandards aktivieren: • Sie als globaler Administrator werden aufgefordert, sich mithilfe der Microsoft Authenticator-App und Ihrer Telefonnummer für die Multi-Faktor-Authentifizierung zu registrieren. • Alle anderen in Ihrer Organisation werden aufgefordert, sich bei der Microsoft Authenticator-App für die Multi-Faktor-Authentifizierung zu registrieren. Lese ich daraus, dass man so oder so die 2FA aktivieren muss (bei Untätigkeit schaltet MS das einfach so aktiv)? Und das nicht nur als globaler Administrator, sondern auch sämtliche AD/Exchange Benutzer das aktivieren müssen? Mir ist grundsätzlich natürlich der Sinn und Zweck der 2FA bewusst - aber es stellt uns dennoch vor einige Probleme. Ganz allgemein sind wir auch IT Dienstleister und haben diverse unserer Kunden im Exchange Online oder größeren M365 Produkten drin. Bei einigen ist sogar schon 2FA, mit authentificator App auf dem jeweiligen Handy, aktiv. Aber eben nicht bei allen. Meine ganz allgemeinen Fragen in dem Kontext: Bekommen jetzt im März einfach alle Kunden solche Mails? Oder haben wir sie als Firma einfach "schon" jetzt bekommen, weil wir schon recht lange im Azure AD dabei sind? Also bekommt man das dann erst nach X Jahren / Monaten nach der Ursprünglichen Einführung? Kann man das zumindest für die Benutzer bei Bedarf unterbinden, bzw. schlicht nicht aktivieren? Klingt in der Mal zumindest nicht so. Und wie handhabt ihr das, wenn zB in einer Firma nur ein geringer Teil der Belegschaft Firmenhandys hat und der Rest nur private Geräte nutzt. Natürlich sollte es keine große Sache sein, dort auf dem privaten Handy die authentificator App drauf zu tun - aber manche Benutzer könnten sich dennoch quer stellen. Freue mich auf Feedback. MfG Blase Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 23. März 2023 Melden Teilen Geschrieben 23. März 2023 Moin, ja, das liest du richtig. Die Idee ist: Microsoft ist hier der Provider des Kunden und muss für hohe Sicherheit sorgen. Wenn der Kunde aus Unkenntnis oder Nachlässigkeit nichts tut, dann schaltet MS die MFA an, um das Sicherheitsniveau zu erhöhen. Als Kunde kannst du das ausdrücklich abschalten und das auch im Voraus. Das musst du aber eben ausdrücklich und absichtlich tun. Damit ist sich Microsoft sicher - und kann das im Zweifel auch nachweisen -, dass der Kunde selbst das bewusst abgeschaltet hat. Gruß, Nils Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 23. März 2023 Autor Melden Teilen Geschrieben 23. März 2023 Hallo Nils, habe vielen Dank für deine Antwort. Wenn ich unseren verantwortlichen Kollegen hier aber richtig verstanden habe, kam oben beschriebene Mail, obwohl wir bei uns ausdrücklich den Bereich abgeschaltet haben. Muss man also, in einem gewissen Turnus vielleicht, diese Abschaltung erneut bestätigen? Oder haben wir es möglicherweise "nicht richtig" abgeschaltet? Ich persönlich kenne leider den Bereich, bzw. die Oberfläche nicht. Versuche hier nur den Sachverhalt zu klären. MfG Blase Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 23. März 2023 Melden Teilen Geschrieben 23. März 2023 Moin, nach meiner Einschätzung deutet das eher darauf hin, dass ihr es nicht richtig gemacht habt. An dieser Stelle enden meine Detailkenntnisse, als Manager muss ich das nicht genauer wissen. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 23. März 2023 Melden Teilen Geschrieben 23. März 2023 Hi, bei einem Teil unserer Kunden aktivieren sich die Security Defaults ab und an "von alleine" wieder. Dann wird es entweder wieder abgeschaltet bzw. empfohlen, einen Azure AD Plan 1 / Plan 2 oder einen Plan, der eben eine dieser Pläne beinhaltet, zu nutzen. vor 9 Stunden schrieb Blase: Und wie handhabt ihr das, wenn zB in einer Firma nur ein geringer Teil der Belegschaft Firmenhandys hat und der Rest nur private Geräte nutzt. Natürlich sollte es keine große Sache sein, dort auf dem privaten Handy die authentificator App drauf zu tun - aber manche Benutzer könnten sich dennoch quer stellen. Hier wäre dann auch Azure AD P1 / P2 ein Ansatz. Da könntest du mit Conditional Access und/oder FIDO2 / Windows Hello bzw. weiteren Methoden neben der App als zweiten Faktor arbeiten. Ein weiterer Ansatz wäre eine externe 2FA zu integrieren, die dir die für dich passenden Methoden zur Verifizierung bietet. Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.