[English]Stellt Microsoft Azure AD-Kunden binnen weniger Tage auf MFA-Authentifizierung als Sicherheitsstandard um? Ein Blog-Leser hat mich gerade informiert, dass er eine entsprechende Benachrichtigung von Microsoft erhalten habe und seine Organisation zum 8. Mai 2023 auf diesen Sicherheitsstandard umgestellt werde. Ich stelle die Information mal hier im Blog ein – vielleicht weiß jemand mehr. Ergänzung: Sieht alles pressierlich aus, lässt sich aber deaktivieren, so dass Administratoren mehr Zeit haben – beachtet die Kommentare aus der Leserschaft.
Anzeige
Blog-Leser Rene H. hat mich gerade per E-Mail kontaktiert, um mich über das Thema "Umstellung der Sicherheitsstandards in Azure AD" zu informieren. Unter dem Betreff "Wichtig: Wir werden bis zum May 8, 2023 die Sicherheitsverbesserungen für Ihre Organisation aktivieren." ist ihm eine Benachrichtigung von Microsoft zugegangen, die es in sich hat. Rene schrieb mir dazu.
Hallo, uns erreichte gerade untenstehende Information, welche alternativlos erscheint.
Und dann noch in diesem unschaffbaren Zeitfenster.
Ist Ihnen über diese Vorgehen etwas bekannt? Die Organisation ist ziemlich groß, eine Einführung von MFA in dem Zeitrahmen gar nicht umsetzbar.
Auch bei Google ist nichts zu finden wenn ich den Kontext des Betreffs eingebe.
Sollte diese wirklich echt sein, wonach es aussieht, hätten mit der Zwangs MFA sicher einige ebenso ein Problem.
Dann bliebe wohl nur noch "Conditional Access", mit passender Lizenz.
Vielen Dank für Ihre hochinteressanten Blogbeiträge,
Gruß
Rene H.
Das Thema, um das es geht, hat Microsoft zum 29. März 2023 im Support-Beitrag Sicherheitsstandards in Azure AD dokumentiert. Dort heißt es aber nur, dass Microsoft die Sicherheitsstandard in Azure AD für alle verfügbar macht. Sprich: Die Umstellung auf Multifaktor-Authentifizierung (MFA) für Azure Active Directory steht an. Hintergrund ist, dass identitätsbezogene Angriffe wie Kennwortspray- und Replay-Angriffe sowie Phishing heutzutage gängige Angriffsmethoden sind. Microsoft schreibt, dass mehr als 99,9 Prozent dieser identitätsbezogenen Angriffe mithilfe von Multi-Faktor-Authentifizierung (MFA) und durch Blockieren der Legacyauthentifizierung unterbunden werden.
Microsofts Ziel ist es, sicherzustellen, dass bei allen Organisationen, die Azure AD verwenden, mindestens eine Basissicherheitsebene ohne zusätzliche Kosten aktiviert ist. Im Support-Beitrag Sicherheitsstandards in Azure AD wird angegeben, wer für diese Umstellung auf MFA in Frage kommt, wer das nicht verwenden sollte und wie Administratoren das Ganze umstellen.
Was Rene jetzt in Aufruhr versetzt, ist die kurzfristig anstehende Umstellung, die wohl durch Microsoft erfolgt und für die von ihm betreute Organisation wohl nicht zu schaffen ist. Bisher ist mir aus der Blog-Leserschaft noch nichts dergleichen untergekommen und auch meine Suche hat nichts zutage gebracht, was die obige Information betrifft. Ich stelle mal die betreffende Nachricht hier im Blog ein – vielleicht weiß ein Leser mehr.
Die Einstellung Sicherheitsstandards für Ihren Mandanten wird bis zum May 8, 2023 aktiviert.
Sie erhalten diese E-Mail, weil Sie ein globaler Administrator sind.
Zum Schutz Ihrer Organisation arbeiten wir stetig an der Verbesserung der Sicherheit von Microsoft Cloud Services. In diesem Zusammenhang aktivieren wir die Einstellung „Sicherheitsstandards" in Ihrem Mandanten, die die mehrstufige Authentifizierung umfasst. Dies kann mehr als 99,9 Prozent der Identitätsangriffe blockieren, die versuchen, Ihre Konten zu kompromittieren.
Wenn Sie sich zwischen April 24, 2023 und May 8, 2023 an Ihrem Konto anmelden, werden Sie dazu aufgefordert, die Sicherheitsstandards proaktiv zu aktivieren. Wenn Sie sich bei Ablauf dieses Zeitrahmens nicht angemeldet oder diese Einstellung nicht aktiviert haben, aktivieren wir sie automatisch für Sie.
Empfohlene Aktion
Nachdem die Einstellung aktiviert wurde, müssen sich alle Benutzer in Ihrer Organisation für die mehrstufige Authentifizierung registrieren. Um Unklarheiten zu vermeiden, sollten Sie Ihre Benutzern darüber informieren, was sie erwartet:
· Wenn sich Benutzer an ihrem Konto anmelden, werden sie dazu aufgefordert, die Microsoft Authenticator App zu installieren. Sie können wählen, ob sie die App sofort installieren und die Schritte zur Registrierung ihres Kontos durchführen wollen oder ob sie den Vorgang auf einen späteren Zeitpunkt zurückstellen wollen. Die Option zum Zurückstellen verschwindet nach 14 Tagen.
· Sie müssen die Schritte zum Einrichten der Microsoft Authenticator-App durchführen, um die App auf ihr mobiles Gerät herunterzuladen, und ihr Konto in der App zu registrieren.
Lesen Sie alle Informationen zu der Einstellung Sicherheitsstandards. Wenn Sie Fragen haben oder Hilfe benötigen, wenden Sie sich an den Support.
Kontoinformationen
Mandantenname:
Mandanten-ID:
Frage in die Runde: Hat noch jemand diese Information bekommen? Hat Microsoft da in letzter Zeit was zu angekündigt? Wer da mehr weiß, kann ja einen Kommentar hinterlassen.
Ergänzung: Die Benachrichtigung durch Microsoft hat wohl Wellen geschlagen (der oben verlinkte Beitrag wurde in Englisch bereits Ende Oktober 2022 von Microsoft publiziert). Sieht alles pressierlich aus, lässt sich aber deaktivieren, so dass Administratoren mehr Zeit haben. Beachtet die nachfolgenden Kommentare von JTausGD (danke dafür), der mir folgenden Screenshot zugeschickt hat.
Man kann als globaler Azure AD-Administrator die Umstellung wohl deaktivieren und zudem die MFA-Methode vorgeben.
Anzeige
Ergänzung 2: In nachfolgenden Kommentaren wird was von der Einführung von "Numer matching" zum Stichtag geschrieben. Ich muss gestehen, ich hatte das Thema "Numbermatch" vor einigen Wochen sogar gesehen, konnte es aber nicht einordnen. Yannic Graber hat es im Beitrag Number Matching MFA Rollout angesprochen und erwähnt, dass das Rollout am 22. January 2023 ab dem 27. Februar 2023 angekündigt wurde und recht kurzfristig umgesetzt werden solle (der Beitrag hier trägt den 10. April 2023 als Datum). Dort findet sich folgende Anmerkung:
Note: Number matching is a key security upgrade to traditional second factor notifications in Microsoft Authenticator. We will remove the admin controls and enforce the number match experience tenant-wide for all users of Microsoft Authenticator push notifications starting May 8, 2023.
We highly recommend enabling number matching in the near term for improved sign-in security. Relevant services will begin deploying these changes after May 8, 2023 and users will start to see number match in approval requests. As services deploy, some may see number match while others don't. To ensure consistent behavior for all users, we highly recommend you enable number match for Microsoft Authenticator push notifications in advance.
Das ist dann das Datum, welches in obiger Mail erwähnt wird. Wobei Number matching in 2FA imho eher nichts mit der Umstellung auf MFA zu tun hat. Aber möglicherweise spielt da was mit rein, was dann in obiger Mail nicht erläutert wurde?
2015
Ja tun sie und wie zu erwarten mit der Microsoft Authenticator App. Man könnte fast damit leben, wenn man für MFA freie Wahl hätte – also SMS, Mail, OTP, Anruf, App usw. usf. – aber Zwang für ein Smartphone mit Appstore-Zwang um die MS Authenticator App zu erhalten.
Wir wünschen Uns mittlerweile kaum etwas sehnlicher, als dass dieses Unternehmen Zerschlagen wird. Es wäre der Befreiungsschlag für die IT schlechthin…
Statt der APP kann man auch Offline MFA Geräte benutzen die mit MS und anderen MFA Systemen funktionieren, z.B. von Reiner sct.
und SMS and ein altes Mobile oder sogar Anruf auf Festnetz geht auch immer noch
Ach ja – bislang kenne ich dieses MS MFA Gedöns nur über den Umweg Sophos Central, weil Sophos das zum Login verwendet und in Zusammenhang mit Sophos geht für den zentralen Admin ausschließlich die MS Authenticator APP. Erst für weniger privilegierte Konten kann man was anderes wählen oder Abschalten. Dann ist das wohl eine Sophos Besonderheit.
Kann ich nicht bestätigen. Ich nutze sowohl für Sophos-Central als auch für Microsoft-365 den Google-Authenticator. Als MFA bei Microsft eingeführt wurde, ging nur die Microsoft-Authenticator-App. Später konnte man alternativ eine andere Authenticator-App wählen. D.h. es wird ein zeitbasierter Sicherheitsschlüssel (SecretKey) generiert. Großer Vorteil des Google-Authenticator ist die direkte Migration auf ein neues Smartphone. Bei der Microsoft-App geht das nur über den Umweg OneDrive und der Sophos-Authenticator sieht einen Export erst gar nicht vor. Darf man dann jedes Konto neu einrichten beim Smartphone-Wechsel :-)
Anmeldemethoden verwalten:
https://mysignins.microsoft.com/security-info
SMS, Anruf, App, Mail möglich.
Anruf funktioniert in der Praxis auf eine Festnetznummer nicht… kann man X-mal die Raute-Taste zur Bestätigung drücken. Möglicherweise liegt es auch an meinem Endgerät.
vermutlich DMTF falsch konfiguriert
Das war wohl mal. Als wir Sophos Intercept X angeschafft haben, stand einzig und alleine die Microsoft-Authenticator-App zur Auswahl. Unser Fachhändler hat sich verwundert die Augen gerieben und gesagt, da muss es Alternativen geben nur um zwei Tage und mehrere Telefonate mit dem Sophos Support später kleinlaut zu sagen – die Alternativen waren mal, es geht bei Neukunden nur mit der Microsoft-Authenticator-App. Vielleicht hat sich das ja wieder geändert, aber der fachhändler meinte nur Bestandskunden hätten noch andere Möglichkeiten, Neukunden wohl nicht mehr. Das war so vor etwa 2 Jahren…
Liegt an deinem Endgerät.
Du musst ja nicht zwingend die App von Microsoft verwenden. Die im iPhone integrierte OTP-Funktionalität geht hier ja beispielsweise auch – ganz ohne App.
Wie kommst du darauf? Ich nutze privat den Google Authenticator und im Unternehmen nutzen wir HW Tokens, als ob wir jedem MA ein Firmenhandy sponsoren würden…
Ja, ich habe diese Nachricht in ihrer Kurzfristigkeit ebenso erhalten. Das wird auch für meine Kunden zum Problem, so schnell ist das teilweise einfach nicht realisierbar.
Ms hat aber schon vor 2 Jahren angekündigt dass sie Security Standards für alle ausrollen…
und wo wurde das angekündigt? ich habe im M365 Message Center keine derartige Info gefunden!?
Microsoft hat das bei einigen Kunden schon Zwangsumgestellt. Insbesondere bei Kunden mit Produkten wie Exchange-365 oder Sharepoint-365. In der Praxis sieht das so aus, dass der User bei Erstanmeldung, nach der Zwangsumstellung, eine 14 Tage Frist bekommt MFA zu konfigurieren. D.h. er kann die Einrichtung in dem Zeitraum auf "später" verschieben. Nach den 14 Tagen muss er beim Login die Einrichtung durchführen.
Irgendwo gibt es im MS-Admin-Center auch die MFA-Option, dass nur alle X-Tage auf dem Gerät nach dem zweiten Faktor gefragt wird. Das Maximum sind glaube ich 90 Tage was man definieren kann. Ich vermute das läuft dann über Browser-Cookies.
die 14 Tage kommen aus der Kampagne … muss / kann man separat starten. Bei den Tagen für die erneute Verifizierung kann man bis zu 365 einstellen..
Wir haben exakt die gleiche Mail gestern Abend erhalten und rotieren grade auch etwas. Habe bis auf diesen Beitrag hier noch nichts weiter dazu gefunden, außer diesem Beitrag, der darauf verweist, dass es nach und nach passieren soll:
Microsoft legt die mehrstufige Authentifizierung als Standard für alle Azure AD-Kunden fest
@Frank: Danke dir für die Rückmeldung. Rene schrieb mir eben, dass er einen Support-Call abgesetzt habe, um zu erfahren, was dahinter steht. Falls er noch was erfährt, habe ich ihn gebeten, das hier als Kommentar zu posten. Die Mail scheint einige globale AD Administratoren erreicht und erschreckt zu haben. Heißt ja, dass man ab 8. Mai 2023 komplette Organisationen mit allen Mitarbeitern auf 2FA mit Authenticator für Azure AD-Anmeldungen umstellen muss.
Ja, habe ich bekommen und das habe ich auch schon ein ganze Zeit auf dem Radar (im Admin-Center). Wenn man sich ein wenig mehr mit der ganzen Umgebung beschäftigt wird das auch schon einige Zeit im Security-Center (https://security.microsoft.com/) bei den "Empfohlenen Maßnahmen" gelistet.
Mehr zu dem ganzen Thema gibt's auch hier: Sicherheitsstandards in Azure AD
Da steht auch wie man die Sichheitsstandards deaktiviert oder vermeidet:
Deaktivieren von Sicherheitsstandards
"Ja tun sie und wie zu erwarten mit der Microsoft Authenticator App. Man könnte fast damit leben, wenn man für MFA freie Wahl hätte – also SMS, Mail, OTP, Anruf, App usw. usf. – aber Zwang für ein Smartphone mit Appstore-Zwang um die MS Authenticator App zu erhalten."
NEIN!
Du hast die Wahl: Da gibt's mehrere Optionen für MFA, auch SMS oder sogar Anruf!
Die App muss NICHT verwendet werden, kann man auch alles konfigurieren!
(https://portal.azure.com/#view/Microsoft_AAD_IAM/SecurityMenuBlade/~/GettingStarted)
Die Mail ist auch gestern Nacht bei uns eingegangen.
Mit WinAuth ist das gut umzusetzen. https://winauth.github.io/winauth/download.html
Wenn ich mich recht entsinne, haben wir diese Benachrichtigung auch im letzten Jahr erhalten. Wir konnten aber problemlos nach Aktivierung der Sicherheitsstandards diese wieder deaktivieren und somit 2FA erstmal nach hinten schieben.
Ob das hier der gleiche Fall ist, kann ich leider nicht sagen.
"im letzten Jahr" trifft den Kern! Das war bei mir auch so.
Man muss sich halt auch mit der ganzen Umgebung auseinandersetzen , dann bekommt man das rechtzeitig mit und kann das planen.
Habe die Mail heute morgen auch erhalten. Grundsätzlich keine Einwände, aber das Zeitfenster ist verdammt knapp.
Alle die jetzt überrascht reagieren sollten sich fragen ob sie wirklich die Rolle erfüllen in der sie in ihren Unternehmen tätig sind. Grob Fahrlässig ist die bisherige Nichtnutzung eh schon, die angedachte Änderung betrifft NUR Admin Accounts und wer sich an die Security Principles und Best Practices gehalten hat und nach Least Privilege arbeitet hat damit überhaupt keinen Stress.
An den Rest: Seit froh das Mirosoft euch hilft die Security in euren Cloudumgebungen zu erhöhen ohne das euch das Ganze davor um die Ohren fliegt und kriegt endlich mal den Arsch hoch und schwebt nicht mit geringstem Wiederstand durchs Cloudleben.
Zu deinem "betrifft nur Admin Accounts" – stimmt das wirklich? Habe es nur überflogen – es war die Rede, dass es ALLE Benutzer des Mandanten betrifft, sobald umgestellt wurde.
Registrieren müssen sich alle Nutzer, erzwungen wird sie bei den Admins. Aber die Registrierung ist denkbar einfach über QR Code. Ich frag mich eh wie man heutzutage Nutzer ohne 2Fa in Zeiten von Homeoffice und Co rauslassen kann.
Danke für die Ergänzung. Zum ursprünglichen Post: Ich habe den von dir gewählten Alias auf Der H. gekürzt, da mir spontan schon die Frage durch den Kopf ging "will er nur provozieren". Dass man da mehr absichern (mit MFA) muss/soll, ist wohl irgendwo klar.
Aber zur Aussage "Alle die jetzt überrascht reagieren sollten sich fragen ob sie wirklich die Rolle erfüllen in der sie in ihren Unternehmen tätig sind." – ich habe ja den Vorteil, von außen auf die Sachlage zu blicken. Was haben wir für eine Gemengelage?
– Die Berater singen das Loblied des "geh in die Cloud" – das Management glaubt da dran und folgt …
– Die IT-Sicherheitslage hat sich in den letzten Jahren arg verschlechtert
– Der Sprung die Cloud erfolgt oft in der Hoffnung, die Dinge zu vereinfachen – dabei wird das Ganze imho komplexer
Aus den Unternehmen vernehme ich (so mein außenstehender Eindruck als Blogger/Beobachter) folgendes:
– es herrscht Personalmanagel und die Firmen suchen händeringende nach Fachleuten
– Man muss aber mit dem vorhandenen Personal auskommen
– Sachbearbeiter und Administratoren fühlen sich zunehmend überfordert
Als Sofortmaßnahme fordern "Berater" noch mehr Digitalisierung, noch mehr Cloud und wir müssen alles vernetzen (und oben drauf setzen wir noch KI). Vom Gefühl her wird das dann aber alles noch komplexer.
Wenn ich mal davon ausgehe, dass das Leben kein Wunschkonzert ist und die Unternehmen sich keine "Top-Administratoren sowie eine ausreichende Anzahl an bestens ausgebildeten Mitarbeitern" backen können, dann stellt sich mir die Frage, wie das am Ende des Tages aufgehen soll? Ich brauche mir doch nur die Kollateralschäden des monatlichen Patchday anzuschauen, um zu erkennen, dass selbst Microsofts Mitarbeiter häufig überfordert sind, die Auswirkungen der einen oder anderen Maßnahme zu verstehen bzw. zu durchdringen. Lässt sich dann auf eine einfache Formel reduzieren "Finde den Fehler" …
Was nützen die besten und teuersten Admins, wenn deren Schreibtische und Terminals zwar lokal stehen aber die benötigten Werkzeuge und Daten durch eine Störung, die weder selbst verschuldet wurde noch in Eigenregie behoben werden kann, plötzlich auf unbestimmte Zeit unerreichbar sind?
Dem kann ich so nicht zustimmen!
Ich bin weder IT-Admin, noch habe ich irgendwelche Zertifizierungen in diesem Bereich, bin also schon gar kein "kein Top-Admin".
Und trotzdem bekomme ich das in meinem eigenen Umfeld als auch bei den kleinen Unternehmen, die ich unterstütze, geregelt. Und das so nebenbei (beruflich bin ich NICHT in diesem Bereich tätig!)
Dazu muss man sich das ganze Thema / die ganze Umgebung halt verinnerlichen und auch mal das eine oder andere Dokument im Learn-Bereich lesen … oder auch mal einen Lernpfad durcharbeiten.
Wenn das Admins im Unternehmensbereich nicht geregelt bekommen, dann frage ich mich auch, was die eigentlich beruflich machen.
PS: Auch "Number Matching" kann man noch deaktivieren, per default steht das auf "von Microsoft verwaltet" … und dann wird das halt auch schlagend, wenn MS das aktiviert!
Zusätzlich kann man auch die Tage für eine erneute Prüfung definieren (bis zu 365). Und da kenne ich Unternehmen (nicht aus der IT-Branche!), bei den steht das auf "7" … für alle Mitarbeiter!
"Die Berater singen das Loblied des "geh in die Cloud" – das Management glaubt da dran und folgt …"
sie folgen wohl eher wegen der Regel "Gier frißt Hirn"
und die Rechnenspiele des Beraters zeigten ja, wie viel man sparen kann und eigentlich studentische Hilfskräfte die etwas Englisch können vollkommen ausreichend seien.
Administrationen?
Die sitzen eh nur rum und gucken, wie sie ihre User noch mehr zur inneren Kündigung gängeln können. Seit der letzten kostenlosen Schulung beim Antivirus Hersteller wissen sie doch, dass die meisten Angriffe von Innen kommen, also den Usern!
Feind erkannt, Feind gebannt. Und Cheffe spielt mit, weil er das Spiel schon lange nicht mehr raffft und die Versicherung sagt: Du musst….
Man sichert doch schon das VPN mit 2FA (außer ein Penn-Testa schreibt einen Artikel für die CT) und lässt den User arbeiten wie im LAN in der Firma…gerade Chefs mögen so etwas
was soll denn schon passieren, das VPN ist ja sicher und auf dem Home Client läuft ein teurer Anti Virus.
Du übersiehst da etwas. Jemand der nur mal eben seine Mailadresse benutzt um sich einen "Teams" Account zu machen. Ist im Zweifel voll mit Spiel, weil Microsoft hinten dran einfach alles ins Azure ballert und ein Tennant aufmacht mit der Domäne der Mailadresse. Das muss bzw. wird der Betroffene nicht mal merken. Der wird jetzt mit so einer Mail aus allen Wolken fallen und große Augen machen. Der Fehler ist also schon, dass Microsoft das überhaupt ins Azure ballert – für was? Da kommen dann auch die Probleme mit "privaten" und Firmenkonten her bei MS – völlig unnötig.
:-)
_______$$$$
_______$$__$
_______$___$$
_______$___$$
_______$$___$$
________$____$$
________$$____$$$
_________$$_____$$
_________$$______$$
__________$_______$$
____$$$$$$$________$$
__$$$_______________$$$$$$
_$$____$$$$____________$$$
_$___$$$__$$$____________$$
_$$________$$$____________$
__$$____$$$$$$____________$
__$$$$$$$____$$___________$
__$$_______$$$$___________$
___$$$$$$$$$__$$_________$$
____$________$$$$_____$$$$
____$$____$$$$$$____$$$$$$
_____$$$$$$____$$__$$
_______$_____$$$_$$$
________$$$$$$$$$$
Danke.
Gut, das ich bis hierher gescrollt habe. Ich habe einen ähnlichen Post @Jens Furhmann und @Martin Wildi wieder verworfen.
btw: Wenn schon Versicherungen ihre Leistung verweigern, wenn ein VPN nur noch per PW gesichert ist, dann sollte es bei einem Dienstleister schon längst auf dem Tisch gewesen sein.
IANAL und kann "Grob fahrlässig" nicht rechtssicher behaupten, würde es aber so sehen.
Wir haben die Meldung auch erhalten, für diverse unserer SMB Kunden. Diese nutzen zwar oftmals Cloud-Dienste, aber nur aus dem internen Netz heraus. Darum ist das Verständnis für MFA meist beschränkt. Entsprechend muss da Überzeugungsarbeit geleistet werden.
Dass Microsoft hier nun vorprescht, und dies zeitlich so schnell durchziehen will, erachte ich auch als unglücklich. MFA einrichten ist das eine (und generell ja auch OK), aber dann eine zusätzliche Lizenz für Conditional Access zu verkaufen, das andere…
Warum du kannst doch entweder Security Defaults verwenden mit MFa oder Conditional Access mit MFA. Ersteres braucht keine Lizenz das zweite halt die P1. Es funktioniert ja auch nur eins von beiden als Mittel zum zweck
Ja, das ist schon klar. Aber ohne Conditional Access erhalten die Enduser "dauernd" MFA Benachrichtigungen, auch wenn sie intern arbeiten (und auf einen Cloud-Dienst zugreifen). Die User haben dafür leider wenig Verständnis.
Nö, erhalten Sie nicht, schon gar nicht "dauernd", wenn das korrekt konfiguriert ist, z.B. über die Einstellung der Tage für eine erneute Abfrage.
Respektive falls feste IP oder Ip Range einfach die Office Range aussparen geht ja genauso. Aber dazu müssten die meisten erstmal auf diese ominösen "Diensteinstellungen" klicken :-D
Solange das Gerät nicht gewechselt wird oder das Passwort geändert wurde oder bei Webanwendungen der Browercache gelöscht wurde braucht man auch keine neue MFA Anmeldung.
How to use number matching in multifactor authentication (MFA) notifications – Authentication methods policy
ist ggf nur die 2 Nummern Feedback Sache beim Push-Auth gemeint?
CISA-Dokument: Implementing Number Matching in MFA Applications (PDF)
Warum diese extreme, plötzliche Eile?
Hat auch MS mit einem Strukturellen Daten Problem zu kämpfen und hat Zugangsdaten im Ewigen distributiven Backup des Internets gespeichert,
und für Microsoft zu peinlich mehrere zig Millionen User zum Passwort-Wechsel aufzufordern, da das Loch nicht so einfach zu stopfen wäre, und MFA eh die bessere Lösung wäre?
Warum diese Eile und Druck?
Gibt es da auf Azure einen Exploit für angemeldete User?
Viele Kommentare hier muss ich nicht verstehen.
Andere würde ich sofort unterschreiben.
Zu wenig Personal?
Wenn Fahrlehrer knapp werden, fahren wir halt alle ohne Führerschein?
Viele Security Maßnahmen sind schon vor Corona angekündigt worden und wegen der besonderen Lage dann verschoben worden.
Auch z.B. bei Google Workspace.
Abschaltung der legacy Protokolle z.B.
Immer auch mit der Definition von Ausnahmen (z.B. SMTP.legaccy …)
Ich habe unsere Kunden vor Monaten darüber informiert und bei Bedarf um eine schriftliche Ablehnung von MFA gebeten.
Als IT Dienstleister sehe ich uns auch in einer Verantwortung. Und die liegt nicht darin, sich Strategien auszudenken wie ich legacy Zustände möglichst lang aufrecht erhalte.
Wir hatten Kunden, die trotz Hinweisen von uns auf den Einsatz von MFA verzichtet haben. Die erfolgreichen Angriffe erfolgten mit Konten der Führungskräfte. Und bei der gemeinsamen Aufklärung mit den Spezialisten der Cyberversicherung des Kunden war auch schnell klar: Kein MFA, kein Mitleid bzw. Versicherungsschutz.
Wir beobachten bei den Kunden massive Versuche die Konten zu hacken. Also zum Thema Eile. Das Tempo wird nicht vom MS Marketing vorgegeben sondern von der dunklen Seite der Macht.
Also bitte nicht reißerisch Themen diskutieren.
Stattdessen die Hinweise im Admin Portal lesen und verantwortungsvoll handeln.
Und vielleicht auch immer den aktuellen Stand beachten.
Z.B. welche Faktoren als zusätzlicher genutzt werden können.
Wie alternative MFA-Apps, FIDO2, SMS (obwohl eigentlich legacy 😀) oder Conditional Access.
Oder halt ohne Führerschein, Kurt und Airbag ins Gewimmel stürzen.
Und, vielleicht, aber auch nur vielleicht hat der Mangel an Kompetenz an der Stelle auch manchmal was damit zu tun, das IT und Sicherheit in vielen Unternehmen nicht annähernd so gewertet wurde, wie der neue Dienstwagen, der dann aber alle Sicherheitsfeatures hat.
Perfekt gestaltet und viel Respekt von meiner Seite für die Arbeitsweise ("Als IT Dienstleister sehe ich uns auch in einer Verantwortung"), auch hinsichtlich der Konsequenzen ("Ich habe unsere Kunden vor Monaten darüber informiert und bei Bedarf um eine schriftliche Ablehnung von MFA gebeten." – "Kein MFA, kein Mitleid bzw. Versicherungsschutz.").
Ich gehe da genauso vor. Wer meine Empfehlungen oder bestimmte Prozesse nicht will, der braucht sich dann auch nicht melden, wenn die Hütte brennt.
"Und, vielleicht, aber auch nur vielleicht hat der Mangel an Kompetenz an der Stelle auch manchmal was damit zu tun, das IT und Sicherheit in vielen Unternehmen nicht annähernd so gewertet wurde, wie der neue Dienstwagen, der dann aber alle Sicherheitsfeatures hat."
Volle Bestätigung für diese Aussage. Wenn da von der Führungskraft der Satz kommt "mein Sohn meinte, das ist unnötig", dann sollte man sein Zeug direkt einpacken und gehen.
Ich bin Admin mehrerer Tenants. mit ist die letzten Wochen schon aufgefallen, wenn man sich bei M365 anmeldet, dass dann die Meldung kommt das ich jetzt 14 Tage Zeit habe das MFA zu aktivieren. Bei den Tenants war das MFA definitiv deaktiviert. MFA ist generell eine gute Sache, aber in manchen Unternehmen ist das nicht machbar aus diversen Gründen. Sicherheit ist mir sehr wichtig (ich setze überall MFA ein, wenn es möglich ist) und ich Versuche es meinen Kunden beizubringen. VPN z.B. mache ich nur noch mit MFA. Da wird das auch akzeptiert. Ich denke ich werde es auch wie mein Vorredner tun und meine Kunden nochmal ausdrücklich empfehlen und mir unterschreiben lassen, dass sie es nicht wollen.
Erklär mir doch bitte mal einen Grund warum MFA nicht machbar ist bei manchen Unternehmen?
Und jetzt bitte nicht die Akzeptanz-Seite von der Chefsekretärin oder die Ablehnung des Chefs weil er dann öfters sein Smartphone in der Hand hat.
Das würde mich echt mal interessieren. ich würde mal sagen 99% der Kunden mit denen ich zu tun habe momentan lehnen MFA einfach nur ab aus Bequemlichkeitsgründen.
Da hat Rene wohl gepennt.
War angekündigt und MFA sollte man eigentlich schon immer umgesetzt haben. Und CA.
Und für alle die immer noch auf Ablehnung stoßen empfehle ich einen Blick in die Anmeldeprotokolle zum Azure. Wenn da Anmeldeversuche aus Länder dabei sind die erstmal gegoogelt werden müssen findet sehr schnell ein Umdenken statt.
OK wow fahrt mal runter hier.
Kurzfristig ist da gar nichts, wir haben die Meldung schon vor einem halben Jahr gesehen (Admin Center–> Nachrichtencenter).
Wenn eure Admins bzw wenn Ihr das nicht rechtzeitig gelesen habt ist an anderer Stelle was falsch gelaufen.
Es war genug Zeit da um die Infrastruktur vorzubereiten sogar kostengünstige und angenehme Alternativen für User zu finden.
Hast du mir eine Nachrichten-ID (MCxxx oder ähnlich)?
Hallo Martin,
Ja hier MC286990 und der Blog vom 23.09.2021 dazu:
Basic Authentication and Exchange Online – September 2021 Update
Fing mit der Basic Auth an, dann kamen immer mehr unter diesem Thema dazu (auch im 365 Admin Center).
Es war schon länger geplant das MS das so umsetzen will. Nur wie immer sind viele (aber auch zurecht) überracht wenn sie das dann auch tun. :)
Cool, danke.
Habe soeben bei drei Kunden das Message Center geprüft: Diese MessageID wird nirgends geführt, ich finde einzig die MC375736 betr. Basic Auth welche "MC286990" als Info in der Zusammenfassung führt.
Ich bin also nicht sicher, ob MC286990 die korrekte ID ist (wenn's denn überhaupt eine gibt)… ich finde das suspekt. Die müssen das doch im Message Center ankündigen?
Schön wie selbstherrlich, aber nicht dienlich mache Kommentare wieder sind. :-/
Unser Dienstleister supportete meine Call-Anfrage selbst und schrieb:
"Microsoft hat dies bereits Ende Mai 2022 angekündigt und nun sind die ersten deutschen Tenants an der Reihe.
Hier das offizielle Announcement: Raising the Baseline Security for all Organizations in the World – Microsoft Community Hub
Raising the Baseline Security for all Organizations in the World
Wie dort beschrieben, müssten Sie Sie die Sicherheitsstandards manuell deaktivieren, sobald diese durch Microsoft aktiviert wurden.
In der Zeit zwischen "Aktivierung durch MS" und "Deaktivierung durch Sie" haben die Benutzer 14 Tage Zeit, das Registrieren eines zweiten Faktors zu überspringen. "
In meinem Verständnis kann ich also die automatisch aktivierten "Sicherheitsstandards" einfach wieder deaktivieren, was uns den nötigen Spielraum lässt, dass Thema koordiniert anzugehen.
Eine Sinnhaftigkeit von MFA wird hier ausdrücklich nicht angezweifelt!
Vielen Dank für das Thematisieren auf diesem Blog.
Danke für den Link! DEN Blog hatte ich bisher noch nicht abonniert – wurde soeben nachgeholt :).
Eine Info im M365 Message Center hätte ich für angebracht erhalten….
Hallo, ich denke ebenfalls das MFA für diese Konten sinnvoll sind und man die erweiterte Absicherung entsprechend besprochen werden sollte. Ich finde es allerdings nicht sonderlich dienlich Firmen oder Administratoren grundsätzlich Faulheit oder Unfähigkeit zu unterstellen, wenn es bisher oder auch zukünftig nicht umgesetzt wird.
Mehraufwände müssen immer irgendwie "verkauft" werden, und die wenigsten Administratoren die ich kenne sind gute Verkäufer.
Das Einführen von MFA in eine bestehende Struktur und direkten Einfluss auf interne Prozesse beim Kunden, die kann und wird kein Administrator einer Umgebung, mit bestimmter Größe, ohne Weiteres ohne Rücksprache ändern, es sei denn er hat bereits gekündigt.
Eine ernstgemeinte Frage an diejenigen, die anderer Meinung sind; wie setze ich bei einem Kunden, der davon betroffenen ist MFA um, wenn er:
a) nur Windows PC´s hat,
a1) zusätzlich auf Terminalserver arbeitet
b) keine Mobiltelefone einsetzt
c) keine persönlichen Festnetznummern hat
d) usb-ports an den Endgeräten blockiert sind (für Wechseldatenträger; via Endpoint Security)
e) es keine interne, operative Emailadresse zum Melden von IT Problemen bzw. Kennwortänderungen, MFA Codes, etc. gibt.
Und das OHNE Änderungen an den Prozessen.
Erwartungsvoll,
Enno
Bei uns steht MFA auch an und der erste Impuls der Firma war, dass alle Mitarbeitenden dafür die App auf ihre privaten Smartphones laden sollen. War natürlich ein riesen Aufschrei. Kann ich verstehen. Warum sollen Mitarbeiter ihre privaten Telefonnummern an Microsoft weitergeben für betriebliche Registrierungszwecke. Hier sollte der Schutz der Privatsphäre der Mitarbeiter eigentlich auch an erster Stelle stehen.
Bin gespannt, wie das nun umgesetzt wird.