Microsoft Online Welt und 2FA differenziert

[Anubis2k 14]

Hallo zusammen,

 

nach längerer Zeit, hätte ich da mal wieder eine Frage, abseits der Dienstleister etc., mit denen ich sonst so verkehre und mir Tipps hole.

 

Wir haben bei uns in der Entra ID / Azure ID / O365 Welt, eine zwei Faktor Authentifizierung aktiviert.

 

Noch nicht für alle, aber sehr sehr viele haben das schon.

 

Gibt es eine Möglichkeit, dass wir 2FA für alle User aktivieren können, ABER wenn ein User in sein Outlook Web Access rein möchte und von unserer Firma aus (WAN mit IP X) darauf zugreifen möchte, kein 2FA benötigt?

 

Hier kann man sich über Sinnhaftigkeit streiten oder nicht, dieses ist aber nicht Sinn meiner Frage und nicht erwünscht.

 

Mir geht es nur darum, kann ich 2FA aktivieren und wenn man von unserem Firmennetz auf OWA zugreift, soll ganz normal Login mit Kennwort möglich sein.

 

Liegt auch daran, dass es Leute gibt die einfach keine 2FA App bei sich auf dem Handy haben möchten.

 

Denen wollen wir die Möglichkeit bieten "du kannst von hier aus darauf zugreifen, möchtest du von zuhause oder unterwegs zugreifen, nur mit 2FA" :)

 

Und wenn das machbar ist, muss ich dafür dann Intune verwenden, oder geht das auch anders? Bisher habe ich nämlich einen Artikel gesehen, da wird erwähnt, dass man Intune nutzen müsse.

 

Gruß, Dominik

[cj_berlin 1.158]

Moin,

 

das, was Du suchst, nennt sich "Conditional Access Policies" und wird als Teil von "Entra ID Premium" angeboten. Je nachdem, was ihr gebucht habt, könnte es bereits drin sein (M365 E3/E5/Business Premium) oder auch nicht (Business Basic/Standard). Intune musst Du nicht zwingend nutzen, aber wenn Du Endgeräte in die Cloud statt ins AD joinen willst, hilft es schon enorm. Generell spielt die Geräteverwaltung in den Conditional Access erst hinein, wenn Du Policies definieren willst, die "Firmengeräten" anderen Zugriff gewähren als "privat verwalteten Geräten"-

[Anubis2k 14]

Alles klar, vielen Dank schon mal für die Information. Dann werde ich mich mal mit meinem Kollegen austauschen (der verwaltet unsere Microsoft Lizenzen). Wenn ich mich nicht irre, haben einige Kolleginnen und Kollegen nur eine E1 Lizenz, damit sie auf Outlook zugreifen können.

 

Dass sind dann auch die Leute, die Outlook nur über den Browser abrufen und auf Citrix Systemen unterwegs sind.

 

Aber damit habe ich schon mal einen Ansatz

[Squire 214]

das Thema mit ... ich will keine App auf meinem Smartphone haben wir auch. (Alternativ, es gibt kein Smartphone, oder es ist steinalt, dass der Authenticator nicht läuft) ... die bekommen dann einen Hardware Token.

Und wenn sie den nicht haben wollen, gibt es halt kein Homeoffice oder Zugriff von unterwegs.

[Anubis2k 14]

Vollkommen korrekt... wer von Unterwegs (ob nun Home Office, Hot Spot etc.) auf Outlook zugreifen will, soll und muss 2FA nutzen.

 

ABER wir als IT (und wir als Unternehmen) müssen dem Arbeitnehmer die Möglichkeit geben, dass er innerhalb der Firma (die eigene WAN IP) einfach via Username + Passwort eine Anmeldung durchführen kann. Wie gesagt, hier kann man sich darüber streiten ob das Sinn macht oder nicht, will ich aber nicht.

 

Mitarbeiter ist in der Firma = 1FA

Mitarbeiter ist unterwegs = 2FA

 

Nicht mehr, nicht weniger.

 

Und wenn sich (so wie ich es erfahren hatte) so etwas nur dann realisieren lässt, wenn man Intune verwendet, wäre das ja schon wieder für Microsoft eine Gelddruckmaschine, weil man halt neben Outlook auch noch weitere Lizenzen benötigt.

 

Ich werde aber morgen mal mit meinem Kollegen sprechen, es könnte halt schwierig werden, da unsere Leute aus dem Vertrieb, OWA auf der Citrix Umgebung verwenden und dafür nur eine E1 Lizenz haben.

[cj_berlin 1.158]

Moin,

 

in diesem Thread wurde NICHT bestätigt, dass man Intune verwenden muss, nur dass Du Entra ID Premium brauchst, aus welchem Paket auch immer das kommt. Allerdings ist Deine Einschätzung generell zutreffend, dass Cloud-Dienste für den jeweiligen Betreiber eine Gelddruckmaschine darstellen.

 

Als Versuch, dies in Relation zu setzen, könnte man natürlich erwähnen, dass die Initiale Bereitstellung dieser Dienste einen Aufwand darstellte, der für uns Normalsterbliche auch schwer zu begreifen ist. Aber das hilft dem einzelnen Betroffenen natürlich wenig.

bearbeitet 28. April von cj_berlin

[testperson 1.543]

Hi,

vor einer Stunde schrieb Anubis2k:

es könnte halt schwierig werden, da unsere Leute aus dem Vertrieb, OWA auf der Citrix Umgebung verwenden und dafür nur eine E1 Lizenz haben.

 

die "Citrix Umgebung" ist aber doch vermutlich ebenfalls per 2FA gesichert? Könnten ihr hier dann nicht "konsolidieren" und einfach am Netscaler Gateway die Microsoft 2FA bspw. per RADIUS anbinden und dadurch dann im M365 Bereich zusätzlich von Conditional Access profitieren?

 

Sofern die Lizenzierung von Global Secure Access wie in der derzeitigen Preview bleibt, hättet ihr damit durch den Entra ID Plan 1 später noch weitere interessante Optionen: What is Global Secure Access (preview)? - Global Secure Access | Microsoft Learn

 

Gruß

Jan

[Anubis2k 14]

vor einer Stunde schrieb testperson:

die "Citrix Umgebung" ist aber doch vermutlich ebenfalls per 2FA gesichert?

Diese fragende Behauptung, ist zu inflationär... Die Antwort darauf wäre "ja" und "nein"

 

Nachtrag: Wie bereits angedeutet, hier wird für uns unterschieden... Interne oder externe Nutzung.

 

vor 2 Stunden schrieb cj_berlin:

in diesem Thread wurde NICHT bestätigt, dass man Intune verwenden muss

Falls es so rüber kam, dass ich dieses behauptet habe... Nein, dass war so nicht gemeint

 

Ich habe halt über andere Anlaufstellen erfahren, dass man wohl Intune nutzen müsse und das wäre doof. Wenn "Conditional Access" dass ist, was wir benötigen um Regeln festlegen zu können wo 2FA benötigt wird und wo nicht und wir dafür entsprechende E3 oder E5 Lizenzen haben müssen, alle anderen mit reiner E1 Lizenz da in die Röhre schauen, wird es doof.

bearbeitet 28. April von Anubis2k

[testperson 1.543]

vor 35 Minuten schrieb Anubis2k:

Diese fragende Behauptung, ist zu inflationär... Die Antwort darauf wäre "ja" und "nein"

 

Im Endeffekt ist das beim Citrix Zugriff so, wie ihr es gerne für M365 hättet? Externer Zugriff auf Citrix bedingt einen zweiten Faktor und "der Rest" darf nur aus internen Netzen zugreifen?

 

vor 38 Minuten schrieb Anubis2k:

und wir dafür entsprechende E3 oder E5 Lizenzen haben müssen

Die kleinstmögliche Option ist der Entra ID P1: Pläne und Preise für Microsoft Entra | Microsoft Security

 

Unter Umständen kann es aber auch Sinn machen in Richtung Enterprise Mobility + Security E3 zu gucken und die Benefits von Intune inkludiert zu haben: Preisoptionen für Enterprise Mobility + Security (microsoft.com)

 

Vielleicht macht es aber auch (für eine Teilmenge) Sinn einen noch ganz anderen Plan zu wählen, der je nachdem Entra ID P1 und ggfs. weitere Features inkludiert. Das könnte _vielleicht_ ein M365 Business Premium sein.

 

Schaut euch einfach an, welcher Plan was inkludiert und was davon für euch hilfreich ist. Im Anschluss dann: "Choose wisely."

[Anubis2k 14]

Jou, vielen lieben Dank für die Infos, ich kläre das morgen mal ab und wünsche einen entspannten Sonntag Abend