20
2FA bei M365 in der Praxis - Authenticator
Morgen zusammen!
Wir sind im Begriff von einem onprem Exchange zu Exchange Online (kein Azure, AD onprem) zu wechseln. Auf den RDS brauchts dann M365 Apps for Business (und auf PC-Clients wohl auch über kurz oder lang).
Das Problem, das sich bei uns auftut ist das 2FA. Und zwar deswegen, weil bei uns nicht alle User ein (dienstlich geliefertes) Smartphone haben. Cheffe gibt da zu bedenken auf privaten Smartphones ist das eher ein NoGo und nur wegen dem 2FA jetzt Smartphones (ohne Vertrag nur fürs Wlan) zu besorgen ist meh.
Ich bin da in der M365-Materie quasi jungfräulich.
Was gibt es denn da für Möglichkeiten bzw. was hat sich in der Praxis bewährt?
k.
Wir sind im Begriff von einem onprem Exchange zu Exchange Online (kein Azure, AD onprem) zu wechseln. Auf den RDS brauchts dann M365 Apps for Business (und auf PC-Clients wohl auch über kurz oder lang).
Das Problem, das sich bei uns auftut ist das 2FA. Und zwar deswegen, weil bei uns nicht alle User ein (dienstlich geliefertes) Smartphone haben. Cheffe gibt da zu bedenken auf privaten Smartphones ist das eher ein NoGo und nur wegen dem 2FA jetzt Smartphones (ohne Vertrag nur fürs Wlan) zu besorgen ist meh.
Ich bin da in der M365-Materie quasi jungfräulich.
Was gibt es denn da für Möglichkeiten bzw. was hat sich in der Praxis bewährt?
k.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 52825968955
Url: https://administrator.de/contentid/52825968955
Printed on: April 27, 2024 at 10:04 o'clock
20 Comments
Latest comment
Moin,
Firmen Handy oder Privates Handy
Nicht so sicher, geht aber: Hardware Authenticator (z.B: https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator)
Selbst sehr große Firman mit 10.000+ MA verlangen von ihren MA ihre privaten Handys zu nutzen.
Vieleicht geht ja auch SMS-TAN, dann muss man keine App installieren
Und ein beliebiger TOTP-Client (z.B. Google Authenticator) geht mit M365 auch.
Stefan
Firmen Handy oder Privates Handy
Nicht so sicher, geht aber: Hardware Authenticator (z.B: https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator)
Selbst sehr große Firman mit 10.000+ MA verlangen von ihren MA ihre privaten Handys zu nutzen.
Vieleicht geht ja auch SMS-TAN, dann muss man keine App installieren
Und ein beliebiger TOTP-Client (z.B. Google Authenticator) geht mit M365 auch.
Stefan
Moin,
Gruß
Und ein beliebiger TOTP-Client (z.B. Google Authenticator) geht mit M365 auch.
Kleine Anmerkung: ja geht, aber es werden keine Nachrichten gepusht!Selbst sehr große Firman mit 10.000+ MA verlangen von ihren MA ihre privaten Handys zu nutzen.
Jap, wir auch. Zumal 2FA auch nicht blöd im privaten Bereich ist (schrubben darüber auch DATEV-ArbeitnehmerOnline ab).Gruß
Das Problem ist, dass tatsächlich nicht alle User ein Smartphone haben. Oder zumindest vorgeben keins zu haben.
Mit so einem Authenticator (z.B. das Reiner-Dings) könnte ich leben. Die Dinger kann ich dann mit dem Microsoft-Konto der User fest verbinden?
Mit so einem Authenticator (z.B. das Reiner-Dings) könnte ich leben. Die Dinger kann ich dann mit dem Microsoft-Konto der User fest verbinden?
Du kannst das ganze auch klassisch mit OTP Dongeln machen. Ich meine die Dinger die am Schlüsselbund sind und auf Knopftdruck einen 6 Stelligen Zahlencode liefern.
Das haben wir bei unsern MA welche kein Firmenhandy haben. Läuft super.
Dazu dann noch eine Conditional Access Regel das die MA im Büro, wenn Sie über eine unserer IP´s in Netz gehen, eben kein MFA brauchen. Somit wird MFA nur Aktiv wenn man versucht von Extern die Webmail bzw. Sharepoint Webseiten aufruft.
Bei den Mobilgeräten ist Conditinal Access so eingestellt das dies nicht notwendig ist wenn die Geräte im MDM ( Intune ) sind UND compliant.
Eventuell kannst du ja da auch was basteln
Das haben wir bei unsern MA welche kein Firmenhandy haben. Läuft super.
Dazu dann noch eine Conditional Access Regel das die MA im Büro, wenn Sie über eine unserer IP´s in Netz gehen, eben kein MFA brauchen. Somit wird MFA nur Aktiv wenn man versucht von Extern die Webmail bzw. Sharepoint Webseiten aufruft.
Bei den Mobilgeräten ist Conditinal Access so eingestellt das dies nicht notwendig ist wenn die Geräte im MDM ( Intune ) sind UND compliant.
Eventuell kannst du ja da auch was basteln
Wenn ich mich nicht ganz irre, kann der "normale" Outlook Client auf Android auch die 2FA übernehmen.
Den haben vielleicht ein paar schon drauf.
Den haben vielleicht ein paar schon drauf.
@Mr-Gustav
Das hört sich nach meinem Geschmack an. Welche OTP Dongle hast du denn im Einsatz?
Das hört sich nach meinem Geschmack an. Welche OTP Dongle hast du denn im Einsatz?
Zitat von @kpunkt:
Mit so einem Authenticator (z.B. das Reiner-Dings) könnte ich leben. Die Dinger kann ich dann mit dem Microsoft-Konto der User fest verbinden?
Diese Geräte "sprechen" normales TOTP wie z.B. der Google-Authenticator.Mit so einem Authenticator (z.B. das Reiner-Dings) könnte ich leben. Die Dinger kann ich dann mit dem Microsoft-Konto der User fest verbinden?
Man muss bei der Anmeldung aufpassen, weil der Link für Nicht-Microsoft-Authenticator sehr klein und grau ist. Sonst gibt es da keine Probleme.
Ich nutzte TOTP im GA für das M365 management von mehreren kleinen Kunden wo ich seperate Accounts habe.
Stefan
Ich meine es sind diese hier:
FeiTian OTP C200 I34 Token
Gab es damals im 5er Pack zu glaube ich um die 90 Euro.
Anbei noch eine Anleitung bzw. Übersucht der Dongle.
Anleitung bzw. How to ist gaaaaanz unten der erste Link
FeiTian OTP C200 I34 Token
Gab es damals im 5er Pack zu glaube ich um die 90 Euro.
Anbei noch eine Anleitung bzw. Übersucht der Dongle.
Anleitung bzw. How to ist gaaaaanz unten der erste Link
@Mr-Gustav
Wenn du noch den Link nachlieferst bekommst du ein Gut
Wenn du noch den Link nachlieferst bekommst du ein Gut
Hey,
wie kann man seine Mitarbieter dazu zwingen, das eigene Handy zu benutzen ...
Meineserachtens no go ...
Stehe vor dem selbigen Problem ...
wie kann man seine Mitarbieter dazu zwingen, das eigene Handy zu benutzen ...
Meineserachtens no go ...
Stehe vor dem selbigen Problem ...
Das ist ein grundsätzliches menschliches Sicherheitsproblem. Es ist kein technisches Problem.
Auf das eigene Handy passen die Leute sehr gut auf.
So einen Token, TOTP-Generator oder TOTP OTP Card lassen die meisten halt einfach so rumliegen weil es ihnen egal ist.
Ein Kunde von mir setzt diese Reiner SCT Geräte ein für die Einwahl vom Home-Office.
Wenn ich bei Jemanden mal vor Ort bin liegt das Gerät meist auf dem PC und der PIN steht auf der Rückseite.
Wenn der Chef dann noch nichtmal meckert weil er das selber auch so macht, kannst Du Dir halt den Mund fusselig reden.
Die Firma meiner Frau hat über 100.000 Mitarbeiter. Trotzdem muss sie ihr privates Handy verwenden.
Es gab auch nie eine Frage oder Information und der IT Support hatte auch keine Idee. M365 fragt also muss man antworten...
Stichwort: Realität meets Konzept.
Stefan
Auf das eigene Handy passen die Leute sehr gut auf.
So einen Token, TOTP-Generator oder TOTP OTP Card lassen die meisten halt einfach so rumliegen weil es ihnen egal ist.
Ein Kunde von mir setzt diese Reiner SCT Geräte ein für die Einwahl vom Home-Office.
Wenn ich bei Jemanden mal vor Ort bin liegt das Gerät meist auf dem PC und der PIN steht auf der Rückseite.
Wenn der Chef dann noch nichtmal meckert weil er das selber auch so macht, kannst Du Dir halt den Mund fusselig reden.
Die Firma meiner Frau hat über 100.000 Mitarbeiter. Trotzdem muss sie ihr privates Handy verwenden.
Es gab auch nie eine Frage oder Information und der IT Support hatte auch keine Idee. M365 fragt also muss man antworten...
Stichwort: Realität meets Konzept.
Stefan
mit Yubikeys fahren wir super!
Yubikeys und Abfahrt. Nutzung vom privaten Handy verlangen... Ich würde denen den Vogel zeigen.
4
Zitat von @mininik:
Yubikeys und Abfahrt. Nutzung vom privaten Handy verlangen... Ich würde denen den Vogel zeigen.
Sehe ich genauso und wenn ein Betriebsrat im Unternehmen ist, sollte er einschreiten.Yubikeys und Abfahrt. Nutzung vom privaten Handy verlangen... Ich würde denen den Vogel zeigen.
Ein AG darf in Deutschland nicht vorschreiben, dass das privat Gerät dienstliches genutzt werden muss.
Ein Unternehmen mit 100k Mitarbeitern sollte es sich auch leisten können Yubikeys oder Alternativen einsetzen zu können.
Ps.; ich nutze aber auch mein Privatgerät, weil es mich persönlich nicht stört und ich sowieso überall MFA aktiv nutze, jedoch gibt es aber eben auch Spielregeln für AG.
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Zitat von @StefanKittel:
Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Ist total egal - es wird zur Authentifizierung zusätzlich ein Pin benötigt.
Zitat von @Heididliho:
Der auf dem kleinen Klebezettel auf dem YuibKey?Zitat von @StefanKittel:
Ist total egal - es wird zur Authentifizierung zusätzlich ein Pin benötigt.Zitat von @tech-flare:
PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.PPs.: wie stellt man sicher, dass der MFA auf einem Privatgerät nicht ausspioniert bzw live mitgetracked werden kann?
Ich will hier nichts konstruieren, aber die meisten Personen haben kein Interesse Zeit oder Energie für das Thema Sicherheit aufzubringen. Bis zum GF der verlangt, dass ich bei Microsoft anrufen und 2FA für ihn deaktiviere.
Stefan
3Ich will hier nichts konstruieren
Ich bin ganz bei Dir. (leider)Gruß
Heyo,
ich möchte noch zu bedenken geben, dass die OTP Tokens bei MS365 weiterhin ein Preview Feature sind, dass nur von globalen Admins eingerichtet werden kann. Wir haben uns für die Tokens entschieden und ärgern uns im nachhinein etwas darüber.
Gruß,
Tjelvar
ich möchte noch zu bedenken geben, dass die OTP Tokens bei MS365 weiterhin ein Preview Feature sind, dass nur von globalen Admins eingerichtet werden kann. Wir haben uns für die Tokens entschieden und ärgern uns im nachhinein etwas darüber.
Gruß,
Tjelvar
Moin,
Am Anfang meinen viele, dass ihnen nichts passiert. Da muss man einfach "hart" sein und 2-3-4 Exempel statuieren. Danach ist zu 99,99% allen klar, was Sache ist. Ausnahmen wird es immer geben.
Gruß,
Dani
Wie stellst Du sicher, dass die Leute die YubiKeys nicht rumliegen lassen? Sie brauchen sie z.B. nur im Home-Office weil der Arbeitsplatz anders authentiziert wird. Also liegt der YubiKey dort auf dem Schreibttisch rum.
ich weiß nicht wie das bei euch ist, aber in der Regel gibt es doch zur technischen Umsetzung auch der organisatorische und rechtliche Teil. Sprich Mitarbeiter unterschreiben entsprechende Policies. Mehr kannst du seitens AG auch nicht mehr tun. Damit ist klar die Verantwortung geklärt und definiert.Am Anfang meinen viele, dass ihnen nichts passiert. Da muss man einfach "hart" sein und 2-3-4 Exempel statuieren. Danach ist zu 99,99% allen klar, was Sache ist. Ausnahmen wird es immer geben.
Gruß,
Dani