Microsoft 365/Exchange Online erzwingt plötzlich MFA per Microsoft Authenticator-App

[English]Kurze Frage in die Runde der Administratoren, die für Exchange Online und Microsoft 365-Anwendungen zuständig sind. Gerade ist eine Mail von Alex eingeschlagen, dass deren Nutzer "seit heute" massive Probleme mit Exchange Online haben, weil die Microsoft 365-Anwendungen plötzlich eine Multifaktor-Authentifizierung per Microsoft Authenticator-App per Smartphone fordern. Irgend etwas klingelt im Hinterkopf "da war doch was" – ich muss aber mal recherchieren.


Anzeige

Die Problembeschreibung

Alex schrieb mir unter dem Betreff Microsoft 365 2FA, dass sie in seiner Firmenumgebung seit heute (28.3.2024) massive Probleme mit Microsoft Exchange Online haben. Deren Benutzer bekommen eine Aufforderung:

"Schützen Sie Ihr Konto" Installieren Sie die Microsoft Authenticator-App auf Ihrem Smartphone.

In Microsoft Outlook sehen die Nutzer dann nur noch die Meldung, dass nur noch das Kennwort erforderlich sei. Ohne Microsoft Authenticator-App bekommen die Leute somit auch keine E-Mails mehr zugestellt und können auch keine E-Mails mehr versenden.

Alex hat nachgeschaut und schrieb: "Im Admin Center unter Microsoft 365 stehen alle Konten auf "Deaktiviert", aber die Aufforderung kommt trotzdem." In der Firmenumgebung von Alex besteht das Problem, das nicht jeder Mitarbeiter ein Firmen Handy hat und es auch nicht gewünscht ist, dass die Mitarbeiter das 2FA auf ihrem privaten Handy für die Firmen-Adresse einrichten.

Der Leser schrieb in einer zweiten Mail: "Gleicher Kunde noch ein Konto zum F2A zwang, scheint ein Ostergeschenk von Microsoft zu sein.  Sowie F2A eingerichtet ist, lässt sich Outlook auch wieder verbinden und man kann wieder weiterarbeiten. Bin schon gespannt, ob im Laufe des Tages noch weitere dazu kommen."

Ist da was bekannt?

Mein Beitrag Microsoft 365-Verbindungsprobleme: Outlook zeigt rotes Ausrufezeichen – Workaround für Outlook-Suchproblem trifft die obige Beschreibung nicht wirklich. Zeigt sich bei euch dieses Fehlerbild ebenfalls?

Momentan geht mir ein Gedanke im Hinterkopf herum, dass ich vor längerer Zeit mal was im Blog hatte, dass Microsoft bei Exchange Online was umstellen will. Und ich meine mich zu erinnern, dass Administratoren dann im Admin Center nichts mehr umstellen können. Es gab auch Kommentare, dass Admins gefragt haben wie das gehen soll, da nicht alle in der Belegschaft Smartphones haben. Aber aktuell finde ich den Blog-Beitrag nicht. Das Fehlerbild ist so ähnlich im Blog-Beitrag Exchange Online: Umstellung auf "Modern Authent" und das SMTP-Problem beschrieben.

Ergänzung: Mir ist der Blog-Beitrag Stellt Microsoft die Sicherheitsstandards für Mandanten in Azure AD zum 8. Mai 2023 auf MFA um? jetzt doch ausgeworfen worden. Microsoft hat dazu den Support-Beitrag Sicherheitsstandards in Microsoft Entra ID mit Stand 24.11.2023 veröffentlicht.

Aktuell ist mir unklar, ob da was von "erzwungenen Richtlinien" umgesetzt wird (sollte nur für Administratoren verpflichtend sein). Auch auf Windows Pro gab es 2020 diesen Beitrag dazu, der damals aber durch eine Konfigurationsänderung korrigiert werden konnte.


Anzeige

Es gibt auf Microsoft Answers den Forenthread Für O365 Konto und O365 Adminbereich wird plötzlich ein Authenticator Code abgefragt, der für mich das gleiche Fehlerbild beschreibt. Dort versucht ein Moderator eine Supportanfrage abzusetzen, so dass der Fall nicht weiter diskutiert oder eine Lösung skizziert wird.

Ich habe noch den diesen Microsoft Answers den Forenthread Office will MFA obwohl deaktivier von Oktober 2022 gefunden, der ebenfalls ein solches Problem beschreibt. Dort lautete die Antwort eines Moderators, dass "MFA bald Standard wird", was immer das heißt. Nun bin ich gespannt, was beim obigen Fall am Ende des Tages heraus kommt.

Ergänzung: Auf Grund von Leserkommentaren habe ich den Blog-Beitrag Azure Entra ID: Probleme mit Single Sign On (SSO) (seit März 2024) mit zusätzlichen Informationen verfasst. Vielleicht hilft es.

Ähnliche Artikel:
Exchange Online: Abschaltung Basic Authentication in 2021
Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt
Exchange Online: Wechsel zu "Modern Authentication" bis Oktober 2022 erforderlich
Exchange Online: Apple Mail App Clients für Modern Authentication ertüchtigen
Google: Upgrade auf OAuth 2.0 erforderlich, um Calendar Interop ab 1. Oktober 2022 zu nutzen
Exchange Online: Umstellung auf "Modern Authent" und das SMTP-Problem
Exchange Online: Mysteriöser Outlook-Fehler 0x8004011D: Verbindung getrennt

Gibt es Probleme mit Single Sign On (SSO) bei Maschinen mit Azure Entra ID?
Anmeldefehler 700003 bei Microsoft 365 (10. – 11.3.2024)
Microsoft 365/Exchange Online erzwingt plötzlich MFA per Microsoft Authenticator-App


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Office abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

75 Antworten zu Microsoft 365/Exchange Online erzwingt plötzlich MFA per Microsoft Authenticator-App

  1. Jester sagt:

    Guten Tag,

    am Montag stieß ich auf das beschriebene Problem, als ich versuchte, einem bestehenden Benutzer ein mobiles Gerät einzurichten. Trotz der Tatsache, dass die Mehrfaktorauthentifizierung (MFA) für diesen Benutzer deaktiviert war, erschien eine Meldung bezüglich des MS Authenticators. Die einzige Lösung, die ich kurzfristig finden konnte, bestand darin, vorübergehend die „Security Defaults" zu deaktivieren.

    MfG
    Jester

  2. Fred sagt:

    Seit Anfangs Woche bei X Kunden von uns dasselbe. Täglich kommen neue Tenants dazu.

    @Born meinten Sie evtl. diesen Beitrag: https://www.borncity.com/blog/2023/04/21/stellt-microsoft-die-sicherheitsstandards-fr-mandanten-in-azure-ad-zum-8-mai-2023-auf-mfa-um/

    • Günter Born sagt:

      Ja, war ein paralleles Posten des Kommentars und meiner Ergänzung. Nach x Suchläufen und lesen der Treffer-Artikel kam ich auf das Azur AD MFA-Thema zum 8. Mai 2023 und hatte das ergänzt.

      Ich formuliere es mal so: Habt Nachtisch mit mir, ich hab ja von nix eine Ahnung, dafür davon aber ganz viel. Dass ich mal über so was gebloggt hatte, geisterte im Hinterkopf – aber ich habe ja zum Glück mit dem Zeug nichts zu tun.

      PS: Mein ausdrücklicher Dank an alle Leser, die hier geantwortet und so Licht ins Dunkel gebracht haben. Ich schaue gelegentlich hier im Blog rein und werden Kommentare in Moderation zyklisch freischalten – werde aber im Laufe des Tages "in den Ostermodus" wechseln – Familie samt Enkel versammelt sich – dat ist wichtiger.

  3. Michael W. sagt:

    Das ist leider so, dass Microsoft alle Tenants Schritt für Schritt auf 2FA umstellt. Wann wer dran kommt ist nicht bekannt, aber alle wird es treffen. Es ist auch leider richtig dass das nicht von einem Admin unterbunden werden kann.

    • Stefan (AT) sagt:

      Bei uns wurden auch einige Tenants umgestellt, ich konnte den Sicherheitsstandard aber immer wieder deaktivieren.

      • John Doe sagt:

        WARUM?? MFA macht man an, nicht aus?! Kaum zu glauben, was ich hier lesen muss. 😱

        • Ferro 50 sagt:

          "Ja, ich will (MFA)!"

          Aber wenn MS die Sicherheitsstandards nun aktiviert, dann soll MFA auch bitte erzwungen werden – und zwar global über den ganzen Tenant, und nicht wieder nur via die (eh vom MS unerwünschte und quasi schon abgekündigte) Per-User MFA-Verwaltung.

          Jedoch solange die "echte", globale MFA immer noch kostenpflichtig ist, bringt diese halbseidene Lösung nur Unsicherheit – einerseits bei den Benutzern wegen der 14-Tagefrist, andererseits real, weil MFA damit gar nicht implementiert ist.

          Und ich steh' als Berater blöd da, weil ich groß die Sicherheitsvorteile von MFA propagiere (Hacker können sich keinen Zugriff verschaffen, etc.), und nach der für User teilweise doch komplizierten Einrichtung, diese sich immer noch rein mit Passwort anmelden können!?

          M2C.
          LG Thomas

  4. Jonas sagt:

    Wir nutzen Hardware von https://www.reiner-sct.com/ für die 2FA und die User, die kein Firmenhandy haben.
    Funktioniert einwandfrei.

    • Georg sagt:

      Ich hatte mal einen TAN-Generator von denen… schlimmer Schrott. Das Display hat nach einem halben Jahr die Grätsche gemacht, die haben nie geantwortet…

      • Micha sagt:

        "Ich hatte mal einen TAN-Generator von denen… schlimmer Schrott."
        Wenn es um den Geräteaufbau geht stimme ich zu.

        Beim Reiner SCT Authenticator ist das Display und die Kamera leider fest mit der Platine verlötet. Dafür wird ein Heißverstemmen System genutzt. Der Prozess nennt sich Bügellöten.

        Weshalb Reiner SCT keine Steckverbinder für die Flexband Leitungen nutzt ist fraglich. Das Gerät ist somit bei einem Displaybruch oder Kameradefekt nur schwer zu reparieren.

        Wahrscheinlich sogar ein Totalschaden, da einschicken, zerlegen, altes Display mit Heißluft entfernen und anschließend neues mit einem Heißverstemmen System verlöten mehr als 50€ kosten wird.

        Ich kenne den Aufbau, da ich einen defekten Reiner SCT Authenticator mal zerlegt habe. Da ist die Duracell +100% AAA (Made in USA) ausgelaufen und hat die Platine beschädigt. Von Duracell habe ich eine Gutschrift in Höhe von 50€ erhalten.

    • Daniel B. sagt:

      Nur schön drauf achten, dass die Zeit synchron ist.

      Wenn die User nicht drauf achten, dann kriegt man ganz oft Anfragen rein, ob man etwas "umgestellt" hat.

  5. Anonymous sagt:

    2FA kann man per User oder auch global aktivieren.
    Wenn es global aktiv ist, ist es auch dann aktiv wenn es beim User auf "deaktviert" steht.
    Für 2FA per TOTP braucht man nicht zwingend ein Smartphone. Dafür gibt es auch Standalone Geräte. z.B. von Reiner SCT

    • Taucher sagt:

      Oder man verwendet ein Hardware Token wie Nitrokey oder Yubikey und speichert darauf die TOTP Parameter. Dann kann man sich die aktuelle TOTP Pin vom passenden Authentikator auf dem Desktop anzeigen lassen (eg. Yubikey Authentikator)

      Man muss aber aufpassen dass man die TOTP Konfiguration beim Anlegen aufschreibt.

      Den USB Stecker kann man vermeiden wenn man einen NFC Reader am PC oder am Smartphone hat.

  6. Ben sagt:

    Stab in the dark, but could this be due to Conditional Access policies? I know there were some Microsoft-created MFA Conditional Access rules which appeared in our tenant at the end of last year – these were not enforced by default but would get turned on automatically after a few months.

  7. Jonas92 sagt:

    Eventuell greift da der Bedingter Zugriff / Conditional Access, sofern mindestens Entra P1 lizensiert ist ?!

    Achtung, Microsoft hat dort auch zwei "von Microsoft verwaltete" neue CA-Rules hinterlegt, die auf MFA abzielen. Diese sind zwar noch auf "nur Melden" eingerichtet, werden aber zukünftig erzwungen.

    https://learn.microsoft.com/de-de/entra/identity/conditional-access/managed-policies#multifactor-authentication-for-per-user-multifactor-authentication-users

    Es empfiehlt sich , die für den O365-Traffic konfigurierte feste WAN-IP Adresse der Firma als vertrauenswürdige IP-Adresse unter "Benannte Standorte" zu hinterlegen. Damit kann man dann auch eine MFA-Ausnahme (für Firmengeräte) erstellen.

    Wer von den O365 Admins die CA-Rules / zu Deutsch "Bedingter Zugriff" noch nicht kennt, sollte sich dieses Thema ebenfalls anschauen. Richtig konfiguriert (und das geht sehr granular) kann man gut die Sicherheit von O365 hochschrauben.

  8. Joerg sagt:

    Ist ja an sich ok, aber der Zwang zu der MS Authenticator App ist meiner Meinung nach schon Gängelung und sehr fraglich. M$ mit "Drückerkolonnen" Menthalität.

    Bei uns hat auch nicht jeder MA ein Firmenhandy – hmm vielleicht sollte man das einfach mal M$ in Rechnung stellen.

    …Irgendwie steigt die Abneigung in Richtung M$ immer mehr :c

    • Anonymous sagt:

      Muss ja nicht der Authenticator sein.
      Der GlobalAdmin des Tenant kann die zulässigen MFA's granuilar einstellen. Dann gehen auch Token wie Yubikey, OTP ( Soft und Hardware), SMS usw.

      Muss man nur einstellen. Als Tenantadmin sollte man dem schon ein bischen Pflege zukommen lassen.

  9. SAWA sagt:

    Hat MS ggfs. die MFA Pflicht in den CA Policies von "only Report" in aktiv gesetzt.
    Da wir diese Policy schon ewig aktiv haben (Mit Userausnahmen) habe ich diese gleich deaktiviert.

  10. Anonymous sagt:

    Das hat Microsoft schon lange angekündigt.
    Nennt sich "Microsoft Managed" Regeln im ConditionalAccess: https://learn.microsoft.com/en-us/entra/identity/conditional-access/managed-policies
    Regel: Multifactor authentication for per-user multifactor authentication users

    Diese wird an die Global Admins per Mail angekündigt, dann nach wartezeit als ReportOnly eingestellt und dann nach iirc 90 Tagen auf On gesetzt.

    Die "alten" MFA Einstellungen Global und per User sind nur noch " legacy" und werden 2025 abgeschafft. https://aka.ms/authmethodsmigrationdoc

    Die ConditionalAccess Regeln übersteuern die o.g. MFA Regeln

  11. Alexander Meckelein sagt:

    Hatte ich heute früh auch im M$ Teams. Zuerst hab ich meine Admins verantwortlich gemacht. Von da kam aber nur die Aussage "Wir haben nix gemacht." :)

    Die M$ Authenticator App wird zwar forsiert, aber mit einem Klick auf "Andere Authentifizierungsapps" (heißt das glaube ich), zeigte mir einen QR Code, welchen ich Problemlos in meinen FreeOTP+ hinzufügen konnte. Also kein M$ Authenticator App Zwang :)

    Beste Grüße

    • Alexander Meckelein sagt:

      Update 13:31

      Nach nochmaliger Rückfrage bei meinen Azure Spezialisten haben wir folgendes herausgefunden. Bei einzelnen Mitarbeitern unserer Kunden, hat tatsächlich auch die 2FA heute früh angeschlagen. Und das obwohl bei all diesen Kunden die Einstellungen nach M$ Vorgaben ordentlich durchgeführt wurden. Auch sehen wir im Azure bei den Mitarbeitern entsprechende Meldungen zum 2FA, welche durch die gesetzte Einstellung "report only" kommen.

      Als besonderes Problem kommt auch noch hinzu, dass bei all diesen Kunden bereits eine Multi Faktor Authentifizierung über ADFS mit SAML läuft. Dies hat jetzt zur Ursache, dass die betroffenen Mitarbeiter quasi ein 2FA auf ihren Accounts haben. Einmal einen vom ADFS und einmal einen von M$. Das ist natürlich für die User etwas schwer verständlich.

      Zusammen gefasst kommen wir zu dem Schluss, dass die getroffenen Einstellungen für 98% der User greifen und beim Rest es zu zusätzlichen Phänomenen kommt. Diese werden auch weiterhin intensiv geprüft.

  12. Bob sagt:

    Seit langem ist bekannt, dass die Conditional Access Policy im Entry ID scharf geschaltet wird, die MFA von den Anwendern einfordert.
    Als Admin hätte man da vorab tätig werden müssen und die Policy z.B. anpassen.
    Auf die Schnelle kann der betroffene Admin die Policy auf Reporting-only zurück stellen.
    Prinzipiell macht es Sinn, dass die alten MFA-Einstellungswege durch die Policies ersetzt werden. Das war schon immer sehr unübersichtlich.

    • Günter Born sagt:

      Danke – deine Aussage korrespondiert, was nebulös bei mir im Hinterkopf herum spukt.

    • Manuel B. sagt:

      Das sind Conditional Access Richtlinien, welche von Microsoft eingefügt werden. Erstmal sind diese inaktiv, werden nach einer Schonfrist dann aber aktiv geschaltet. Die Admins mussten sie vorher manuell anpassen. Gibt es gleich zweimal, einmal für Admins und einmal für User. Hier die Bezeichnung für User:
      "Multifactor authentication for per-user multifactor authentication users –
      MICROSOFT-MANAGED"

      • DR sagt:

        Hi Manuel,
        ganz sicher, dass es eine für Admins und eine für User gab? Bei uns war 2x die Admin-Richtlinie als "managed" hinzugefügt (mehrfach geprüft und beim MS-Support moniert), die Dublette wurde durch den MS-Support bereinigt. Oder gibt es möglicherweise verschiedene "managed"-Vorlagen bei unterschiedlichen Lizenzen (bei uns sind es M365 Business Premium)?

        Grüße
        DR

    • JohnRipper sagt:

      Ganz genau. Microsoft hat darüber auch mehrfach, u.A. per Email informiert!

    • Freakasso sagt:

      Die von Microsoft eingerichteten Regeln sind auch richtig, wenn man bedenkt, dass M365-Konten weltweit erreichbar sind, sofern der Zugriff nicht ebenfalls durch CA geolokal begrenzt wurde. Diese Umstellung löst die alten per-User-MFA-Regeln ab. Microsoft hatte glaube ich im November darauf hingewiesen, und seither hat man auch Zeit den Übergang proaktiv zu gestalten. Meiner Meinung nach müsste Microsoft sogar noch viel öfter darauf drängen auf aktuelle Standards/ Tools der Azure-Umgebung umzustellen. Dann müssten sie weniger Altlasten mit sich herumschleppen. Das Ganze wäre aber auch weniger ein Problem wenn sie ihre Systeme konsequent weiter- und nicht so viel nebenher entwickelt würden.

      Übrigens – wenn die Benutzer die MFA-Abfragen nerven, können die gängigen Browser darauf umgestellt werden, das TPM-Modul der Hardware als zweiten Faktor zu akzeptieren. Dies kann entweder manuell, oder über Intune eingerichtet werden. Diese Maßnahme hat die Akzeptanz der verschärften Richtlinie bei uns drastisch erhöht, bzw. merken unsere MA davon im Arbeitsalltag gar nichts mehr, bzw. nur noch in Einzelfällen.

  13. Zossen sagt:

    Das läuft bei uns schon das ganze Jahr. Gerade neue Anmeldungen bei der Outlook App sind davon betroffen, bisher noch keine bestehenden oder bei der Desktop-Variante.
    Man wird dazu aufgefordert den Authentikator zu benutzen, es gibt kein Abbrechen, nur ein Hinweis auf andere MFA-Möglichkeiten. Bisher konnten wir das trotzdem umgehen, indem wir die App geschlossen haben und beim erneuten Starten kam die Aufforderung meistens nicht mehr.
    Bisher hielten wir das für ein aggressives Pushen der Authentikator-App im Zusammenhang mit der angekündigten Änderung für MFA und SSPR policies in Entra.

  14. Fred sagt:

    Seit Anfang dieser Woche dasselbe: X Kunden sind betroffen, und täglich kommen neue Tenants hinzu.

    Ich bin ja auch dafür, alles per 2FA zusätzlich ein bisschen sicherer zu machen. Aber die Vorgehensweise von MS ist fragwürdig. Es darf doch nicht sein, dass Kunden dann keine Mails mehr empfangen und senden können.
    Vorallem merkt man das als User nicht mal, was genau das Problem ist. Outlook streikt einfach.
    Erst wenn man sich dann per Webbrowser ins Konto einloggen will, erscheint die Meldung, dass man 2FA aktivieren muss. Jedoch, welcher Kunde macht das als erstes, wenn Outlook nicht mehr senden/empfangen kann? Natürlich nahezu keiner. Als erstes wird der IT-Support angerufen…
    Dann erklärt man den Kunden: online einloggen
    "wie geht das?"
    Webbrowser öffnen, outlook.office.com aufrufen, mit E-Mail-Adresse und PW einloggen.
    "Webbrowser? Wasn dat? Passwort? Ich habe kein PW, Outlook benötigt das ja nicht…"
    seufz… PW im Tenant zurücksetzen, Fernwartung, Einloggen, 2FA, Test.

  15. Thomas sagt:

    Wir haben auch diverse Standorte, wo sich die User beharrlich weigern die App auf das private Handy zu ballern.
    Was Abhilfe schafft: ein MFA-Reset, dann hat man die Option "andere Methoden" anzugeben, wie Telefon, alternative E-Mail etc..
    Fun fact: sobald man die erste Hürde übersprungen hat, sind wie durch Magie die bereits hinterlegten "MFA" wieder da und aktiv.

  16. Marcel sagt:

    Hilft jetzt nicht viel weiter, aber bei mir im M365 Admin Center wurde letztes Jahr bei einem neu angelegten Tenant auf die MFA-Pflicht hingewiesen. Wir hatten je User nach Lizenzzuweisung im Tenant 2 Wochen Zeit, die MFA bei dem Anwender jeweils einzurichten. Ein anderer Weg wurde nicht angeboten. Die Anwender besitzen alle ein Firmenhandy.
    Wenn Firmenhandy nicht geht/ gewünscht ist, kann ich auch nur den Reiner SCT Authenticator empfehlen – kostet mit 50 Euro weniger als ein Firmenhandy.

  17. Anonymous sagt:

    Zwangs-MFA für eine Plattform, die man als kompromitiert ansehen muss? Die bei MS haben Humor. :)

  18. Tobias sagt:

    Gleiches Verhalten hier – mehrere Benutzer die plötzlich durch den Edge-Sync oder Outlook in einem MFA Fenster landen. Das Unklare
    – die Security Defaults bei sind schon lange aktiv, MFA bei unsere IP-Bereiche ausgeschlossen
    – betroffen war ein Nutzer im Outlook der aber nur ein lokales Postfach hat
    – der betroffene User durch Edge hat nicht mal eine M365 Lizenz, ist nur gesycnt in Entra-ID

    Hat jemand eine Info ob vielleicht die Security Defaults geändert wurden?

  19. Ingo sagt:

    Hallo Zusammen,
    vielleicht einfach mal im entra.microsoft.com unter Schutz -> Authentifizierungsmethoden -> Registrierungskampagne den Zustand von Microsoft verwaltet auf deaktiviert stellen. Das sollte das Problem mit der Microsoft Authenticator App beheben.

    LG

  20. Anonymous sagt:

    Oder einfach mit dem Thema beschäftigen und vernünftig einrichten.
    Die MFA Pflicht im Businessumfeld eh wird bald kommen, egal in welcher Software.
    Sogar das BSI rät von einer Deaktivierung von MFA ab:
    https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html

  21. Lavaground sagt:

    Für alle "es gibt ja auch TOTP" Kommentare: seit kurzen wird auch bei alternativer 2FA Konfiguration verlangt den Microsoft Authenticator einzurichten, sonst gehts nichts mehr. Auch wenn man schon 2 verschiedene 2FA Methoden eingerichtet hatte.

    • Anonymous sagt:

      Nein, das ist nicht richtig.
      als Alternative setzt man einen "Temporary Access Pass", dann kann man auch ohne MS Authenticator weitere 2FA einrichten.

      So schon für etliche kollegen ohne MS Auth.. mit Yubikey gemacht

  22. Daniel sagt:

    Da hat Microsoft wieder etwas aktiviert was viele Kunden zum überlegen bringen könnte ob man noch was aus Redmond einsetzen möchte.

  23. Harun sagt:

    Microsoft Logik: MFA ist nicht Pflicht? kein Problem! Aber lass uns eine "Registrierungskampagne" still und heimlich einführen und als Default Einstellung setzen, dass die EINRICHTUNG von MFA zu Pflicht wird.

    überprüft mal die Einstellung "Begrenzte Anzahl von „erneut erinnern" dieser muss auf DEAKTIVIERT gesetzt werden!

    https://entra.microsoft.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/RegistrationCampaign

  24. Anonymous sagt:

    Stetig langsam weiter wird das Feuerchen unter dem Topf mit dem Frosch geschürt, der sich mit immer wieder allerlei Ausreden davon ablenkt, dass alles bestens sei.

  25. Marcel sagt:

    Microsoft hatte es mehrfach angekündigt, dass sie hier die Daumenschrauben anziehen werden. Mir ist auch unverständlich, wie man gerade bei zentraler Authentifizierung immer noch ohne MFA unterwegs sein kann. Bei den meisten dürften die Passwörter aus dem AD kommen und/oder noch anderweitig der Zugang verwendet werden.

    Und da zählt auch keine Ausrede wie "nicht jeder hat ein Firmenhandy." Bei uns darf der Nutzer, der kein Firmenhandy hat, wählen: App auf privatem Handy, TAN per SMS auf privates Handy oder klassischer RSA-Token (gibts z.B. für 25 Euro pro Gerät bei Token2). 25 Euro pro Mitarbeiter sollte einem die Sicherheit dann schon wert sein. Und die eine Vereinbarung bzgl. Nutzung Privatgerät für MFA bei HR mehr zum unterschreiben, ist auch kein riesiger Aufwand.

    Man muss es nur wollen.

    • Anonymous sagt:

      Privatgerät für Firmenangelegenheiten, warum sollte man das machen? Never ever. Die Firma ist weder Freund noch Familie.

    • markus Phi sagt:

      Private Geräte für dienstliche Zwecke –> per Betriebsvereinbarung pauschal und grundsätzlich verboten.

      Trennung von privat und dienstlicher Erreichbarkeit muss sichergestellt sein.

    • Martin sagt:

      Mag ja alles sein, doch die Schulen mit Ihren hunderten Schülern die einfach nur Office nutzen wollen oder vielleicht sogar Teams, jedoch kein Handy im Unterricht dürfen, werden vergessen… Egal einfach mal die Zukunft in Dinge zwängen die dann keiner später braucht – In der Schule eigene Tools vom Kultusministerium wie Bayern Cloud Schule oder Libre Office – Authentifizierung am Gerät nur lokal – das ist dann besser, vorallem für die Admins die das Pflegen dürfen…

  26. Twinker sagt:

    Liest sich bis hierin, als wollten die meisten 2FA gar nicht haben und haben es grundsätzlich abgeschaltet. Ich gehöre dazu. :-)

    • Ingo sagt:

      Leider ist dieses in der heutigen Zeit nötig. Es gib auch bei MS so viele Möglichkeiten Sprachanruf, SMS, App… Das MS dieses unbedingt über Ihre App aufzwingen will, ist halt diese Firmenkultur…. Aber MFA ist wie gesagt notwendig und nötig. Ich sage nur PW 1234 ( Bundeswehr 😉)

      Allen frohe und hoffentlich störungsfreie Ostern

      • Anonymous sagt:

        Oh Man, ein unsicheres Passwort für eine ÖFFENTLICHE Pressemitteilung. Wie oft will man diesen Quatsch noch wiederholen?!

      • poppy sagt:

        2fa per Phone und Sms kann man abfangen oder umleiten

        • Ingo sagt:

          Klar kann man das, aber besser einen Schutz aktiv, als gar keinen. Nicht jeder MA will sich eine App auf seinem Privaten Gerät installieren. Kommt immer auf die Bereitschaft an. Andernfalls muss die IT oder GF für alternativen sorgen. Letztendlich liegt es in der Verantwortung der GF, Geld für IT Sicherheit auszugeben….

  27. Christian sagt:

    Beim Lesen der zahlreichen Kommentare, insbesondere des Microsoft-Bashings, überrascht mich der schlechte Stand der Digitalisierung in Deutschland überhaupt nicht. Ohne sichere MFA-Methoden Cloud-Services zu nutzen, ist aus meiner Sicht mehr als fahrlässig. Die Abschaltung von MFA wäre bei schützenswerten Daten sogar grob fahrlässig. Auch wenn das BSI nur Empfehlungen ausspricht, könnten diese im Schadensfall durch Gutachter referenziert werden. Ich kann nur jedem herzlich raten, das MFA-Regelwerk für alle Nutzeridentitäten zu aktivieren. Dadurch konnten zumindest bei uns viele Angriffe bereits abgewehrt werden. Beschäftigt euch lieber auch mal mit den risikobasierten Anmeldungen. Das Feature ist wirklich gut und leider kann man dieses nur vollständig mit einer E5-Lizenz nutzen.

    • Anonymous sagt:

      Wissentlich und willentlich ein System zu nutzen, bei dem man von einem eintretenden Schadensfall ausgeht, ist grob fahrlässig.

      • 1ST1 sagt:

        Hier Unsinn zu schreiben ist noch viel schliummer. Ich kann verstehen, warum du dich "Anonymous" nennst, bei Klarnamen müsstest du dich überall schämen, wo du bist und die Leute mit dem Finger auf dich zeigen.

  28. Alex K sagt:

    Hatte das Problem auch bei 2 Tenants.

    Meine Lösung war:

    Innerhalb von Microsoft Entra Admin Center

    Identität -> Schutz – > Authentifierungsmethoden -> Registrierungskampagne

    auf deaktiviert stellen. Dann ging wieder alles einwandfrei.

  29. Micha sagt:

    Seit 2021 nutze ich einen Reiner SCT Authenticator für alle Accounts die TOTP unterstützen. Hoffentlich bieten in Zukunft mehr Dienste das 2FA verfahren an.

    Nach 2 Jahren war der erste Reiner SCT Authenticator defekt. Die Ursache waren ausgelaufene Duracell +100% AAA Batterien. (Made in USA) Der Duracell Kundendienst hat mir 50€ gutgeschrieben. (die Originalen Batterien sind im Außensensor vom Funkthermometer verbaut wurden)

    Da ich alle QR Codes gesichert habe, die während der Einrichtung des 2FA angezeigt wurden, konnte ich die mit dem neuen neuen Reiner SCT Authenticator problemlos einscannen. Anschließend konnte ich mich wieder in jeden Account einloggen.

    —————————–
    Mein ersten 2FA Token habe ich im Jahr 2015 für meinen Battle.net Account in betrieb genommen. (Vasco Digipass GO6) Im Februar 2023 war die Integrierte Batterie leer. Das kam leider ohne Vorwarnung. -15°C im Winter waren für den Schlüsselanhänger zu kalt.

    Der Kundendienst konnte den Authenticator entfernen nachdem ich eine ganze Reihe von Fragen richtig beantwortet habe.

    Habe mir anschließend einen neuen Battle.net Authenticator gekauft, da ich kein Smartphone besitze. Hoffentlich hält der wieder 8 Jahre.

    Blizzard hat ja offiziell den Vertrieb des Battle.net Authenticator eingestellt. In Zukunft soll das alles nur noch über die Mobile Battle.net APP laufen.

    • Holger sagt:

      Ich hatte erst Ende letzten Jahres einen Battle.net Authenticator über Amazon erworben, da ich auf die Battle.net App keine Lust hatte. Darüber kam ab und zu penetrante Werbung.

      Es stellte sich dann heraus, dass die Batterie an der untersten Grenze der Kapazität angekommen war, denn es war "batt 00" im Display zu sehen. Bei Amazon sind also nur noch Restbestände verfügbar, da der Authenticator sehr wahrscheinlich seit 10 Jahren schon nicht mehr hergestellt wird. :(

      Es gibt aber auf Youtube eine Anleitung, wie man das Gehäuse öffnet und die Batterie wechselt. Ist aber nur etwas für Leute mit Hang zum Basteln.

      • Micha sagt:

        Meinen letzten habe ich bei der Firma "SKgames" bestellt.

        Eine Batteriestandwarnung gab es da noch nicht.

        Das Youtube Video zum öffnen des Authenticators habe ich schon mal gesehen.

        Beim Batterierauchwürde ich trotzdem noch eine andere 3V Spannungsquelle Parallel zur schwachen Batterie schalten. (Zwischen + und GND -) Sofern bei dem Vorgang die Uhr verloren geht ist der Authenticator nicht mehr nutzbar.

  30. ZwoEinsRisiko sagt:

    Kein Firmenhandy ist wirklich keine gute Ausrede. Sogar im Windows Store gibt es freie 2FA Authenticator. 2Fast funktioniert sehr einfach. Alternativ können es diverse Passwort Manager, sogar Keepass. Yubikey und Co. Kosten auch kein Vermögen. Grüße

  31. Oli sagt:

    Frage dazu an alle: ich habe für User im gesammten Tenant über di Conditional Access nur die Authenticator App, SecurityKey (YubiKey etc.) und "Temporary Access Pass" aktiv. Telefon, SMS etc. habe ich bewusst deaktiviert und kann in der Registrierungs-Kampampagne auch nicht ausgewählt werden. In den Sicherheits-Einstellungen des einzelnen Benutzers lässt sich aber beim Hinzufügen einer weiterne Authentifizierungs-Möglichkeit Telefon (und dann SMS oder Anruf) auswählen.

    Ist doch unlogisch > weshalb dürfen die das manuell, wenn ich in den Einstellungen deren Nutzung explizit nicht erlaubt habe? Weiss da jemand eine Lösung, damit niemand auf die Idee kommt, SMS als zusätzliche Authentifizierungsmethode auszuwählen?

  32. Dominik sagt:

    ich erinnere mich wage daran, dass vor einigen Wochen Microsoft dazu eine Ankündigungsmail verschickt hatte. hatte es die Tage schon gar nicht mehr auf dem Schirm, als dann die ersten Mitarbeiter mit Problemen auf mich zukamen. Von deren Beschreibungen her ging ich erst von anderen Problemen aus, als ich es sah, machte es schnell Klick.

    Bei einer anderen Firma B von mir musste ich erst den Microsoft Authenticator installieren. Erst nachdem ich dann eingeloggt war konnte ich unter den 2FA Einstellungen diesen wieder löschen und auf den Google Authenticator wechseln, den ich für alle Dienste nutze. Bei Firma A konnte ich direkt den Google Authenticator nutzen.

    • 1ST1 sagt:

      Überträgt der Google-Authenticator eigentlich immer noch unverschlüsselt in die Cloud?

      • Anonymous sagt:

        der MS Authentificator hat auch einen großen Nachteil, um ein Backup zu erstellen wird ein "privates" Microsoft Konto benötigt. Ein Firmenkonto bei MS wird nicht akzeptiert. Das ist totaler Unfug.

        • 1ST1 sagt:

          Auf den ersten Blick ja. Aber was bringt einem ein Backup innerhalb des Kontos, was man mit 2FA schützen will? Ich habe deswegen auch meinen privaten 2FA für Google im MS-Auth und nicht in dem von Google – und umgekehrt.

        • Oliver L. sagt:

          Das ist deswegen kein Unfug, weil du die geschäftlichen Tokens ohnehin nicht sichern und auf ein anderes Handy übertragen kannst/darfst.Dafür kannst du bis zu 5 Handys mit Microsoft Authenticator nutzen für dasselbe Geschäftskonto oder deine IT bei Verlust eines solchen ansprechen.

  33. Nico sagt:

    Uns hatte Microsoft das per Mail schon letzten Oktober zum 30.11.23 angekündigt – es aber nicht konsequent durchgezogen. Neue User mussten schon MFA verwenden. Seit letzter Woche trifft es jeden User. Ich packe das derzeit einfach bei Usern die kein Dienstsmartphone haben, oder nicht ihr eigenes nutzen wollen, auf ein "übriges" was immer in der IT liegen kann.

    Viele Grüße

  34. OnkelOnken sagt:

    Wir haben seit Donnerstag das Problem, dass sich ein User nicht mehr im Outlook Client anmelden kann. Er hatte vorher ganz normal über den Authenticator angemeldet.
    Jetzt fragt Outlook nach Geschäfts- oder Schulkonto, er meldet sich an und dann dreht Outlook nur noch einen blauen Kreis. Teams übrigens auch. Über Office.com kann er im Browser aber normal zugreifen.

  35. Marco sagt:

    Bei mir sind ebenfalls viele Kunden betroffen. Begonnen hat der Spaß allerdings schon vor ca. 2 Wochen. Es betrifft auch Kunden die schon 2FA nutzen, aber eben nicht den MS Authenticator. Dort wird es nun zum Teil erzwungen. Ja, zum Teil. Manchmal kann ich noch andere Methoden auswählen. Manchmal nicht.

    Grüße Marco

  36. My1 sagt:

    Nix gegen 2fa und so aber wenn alle eine spezifische smartphone app haben müssen (also die MS app) statt eines sinnvollen Standards ist blöd. Vor allem weil nicht alle ein firmenhandy haben und sowas aufm privathandy zu installieren, muss man schauen, wie das in vielerlei Hinsicht aussieht.

    Gibt es zumindest für AAD-Hybrid setups nen weg zu sagen "der pc ist Domäne, das reicht als 2. Faktor"?

  37. MWausGE sagt:

    Guten Tag,
    wir nutzen in unserem kleinen Unternehmen mehr oder weniger erfolgreich die Office 365 Plattform.
    Wir haben jetzt bei einem Mitarbeiter mit einer E3 Lizenz das Problem, daß er die MS Authentificator App nutzen muss, also kein Überspringen möglich. Registrierungskampagne wurde deaktiviert, Richtlinien sind nicht aktiviert, einzel Einstellung der MFA aktiviert und wieder deaktiviert, alles ohne Erfolg.
    Da wir MFA grundsätzlich nutzen wollen hat besagter MA nun ein Firmenhandy bekommen. MS Authenticator installiert, zur Kontoeinrichtung muss man sich in einem Browser einloggen, Meldung Anmeldung ohne Authenticator nicht möglich.
    Bingo, wie kommen wir aus dieser Schleife raus??

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.