Microsoft erzwingt MFA

[Tevur]

Fragen an die "Da-ist-doch-nichts-dabei"-Fraktion hier:
Wenn mich mein Arbeitgeber zwingen will, mein privates Gerät für dienstliche Zwecke einzusetzen, was wäre, wenn:
1. Ich NEIN dazu sage?
2. Mir mein Handy am Vorabend der großen Präsentation geklaut wird?
3. Man solche Dinge im Arbeitsvertrag zu regelt?
4. Man die eigene IT selbst kontrollieren zu könnte?

 

[eigsi124]

Fidokey sollte auch funktionieren und wie gesagt eine OTP App sollte heutzutage eh schon jeder auf dem Telefon haben.

 

[dahkenny]

Gibt es dazu eigentlich eine Quelle? Wäre super.

Microsoft aktiviert bald die neuen Sicherheitsstandards, siehe Sicherheitsstandards in Microsoft Entra ID. Theoretisch sollte man durch Deaktivierung der Sicherheitsstandards das ganze umgehen und aufschieben können.

@Tevur
1. Gibt es dafür Gründe abgesehen von "NEIN"?
2. Den 2. Faktor kann man problemlos zurücksetzen. Kurz an die IT wenden.
3. Sollte man natürlich tun.
4. what? Die IT kann lediglich den Namen des Gerätes sehen und nichts weiter kontrollieren, falls das so gemeint war.

 

[Drewkev]

Wenn mich mein Arbeitgeber zwingen will, mein privates Gerät für dienstliche Zwecke einzusetzen,

Ja gut, da hört es schon auf, denn das kann er ja schlecht. Fairerweise ist das aber irgendwo ein Konflikt weil wie viele haben berufliche Daten auf ihrem privaten Handy, und wenn es nur Chatverläufe oder E-Mails sind. Zumindest wir haben aber Mitarbeiter die sich sogar weigern, eine Authenticator-App auf dem Diensthandy zu installieren.

Theoretisch sollte man durch Deaktivierung der Sicherheitsstandards das ganze umgehen und aufschieben können.

Ist bei uns der Fall, bleibt nur die Frage wie lange das noch geht.

 

[Tevur]

1. Gibt es dafür Gründe abgesehen von "NEIN"?

Hypothetisch einen pro Mitarbeiter. Die Frage ist, was würde ein Arbeitgeber bei einem Nein tun?

2. Den 2. Faktor kann man problemlos zurücksetzen. Kurz an die IT wenden.

Ich weiß. Soll ich dann schnell das Handy vom Kollegen benutzen?

4. what? Die IT kann lediglich den Namen des Gerätes sehen und nichts weiter kontrollieren, falls das so gemeint war.

Es geht darum, dass man nicht von einem auf den anderen Monat plötzlich die ganze MFA-Handhabe umstellen muss.

 

[Nixdorf]

Die MFA-App generiert nur einen Code der einmal mit dem passenden Seed eingerichtet wird. Üblicherweise scannt man dazu einen QR-Code vom Bildschrim ab. Die verwendete Authenticator-App ist dabei ebenfalls egal.

Anstelle der Microsoftapp kannst du doch jede andere OTP-App nutzen

Im Fachjargon von Microsoft ist "Microsoft Authenticator" nicht das gleiche wie andere Authenticator-Apps. Diese laufen unter der Kategorie "Drittanbietersoftware-OATH", und man kann auch die MS Authenticator-App in dieser Kategorie betreiben. Die Methode "Microsoft Authenticator" setzt den Ablauf der MFA anders um: Auf dem PC wird eine zweistellige Zahl angezeigt. Dies gibt man auf dem Handy ein und schaltet dann dort die Anmeldung frei.

 

[andy_0]

2FA funktioniert z.B. mit

• Handy Apps (Aegis, Free OTP, ...)
• Hardware Dongles wie z.B. Solo Key oder Yubikey
• PC / Web Software wie Bitwarden

Spricht was dagegen jeden Nutzer ein Solo Key zu kaufen? Kostet Hardware Dongle Unterstützung bei Microsoft Geld?

 

[Nixdorf]

2. Mir mein Handy am Vorabend der großen Präsentation geklaut wird?

Dann geht man im Anmelde-Dialog auf "Ich kann Microsoft Authenticator derzeit nicht verwenden" und kann eine der eingerichteten Fallback-Authentifizierungsmethoden verwenden.

Ergänzung (16. Mai 2024)

Spricht was dagegen jeden Nutzer ein Solo Key zu kaufen?

Nichts, außer dass im Eingangsbeitrag von "einzige kostenfreie Methode" die Rede war, und diese Geräte sind mit Anschaffungskosten verbunden.

 

[Boffe]

Der MFA zwang betrifft alle User im Tenant.
Ich finde die Änderung grundsätzlich sinnvoll und gut, ich wollte mich nur vorbereiten bzw. vorinformieren, da ich die IT bei uns allein mache und gern auf Alles vorbereitet sein möchte.

 

[Drewkev]

Der MFA zwang betrifft alle User im Tenant.

Ja, kann man aber (noch) abdrehen indem man die Sicherheitsstandards gar nicht erst aktiviert.

 

[andy_0]

Nichts, außer dass im Eingangsbeitrag von "einzige kostenfreie Methode" die Rede war, und diese Geräte sind mit Anschaffungskosten verbunden.

Ja, ist mir klar. Wirkliche Alternative neben dem Handy außer sowas wie Bitwarden gibt es nicht. Und deren 2FA Nutzung erfordert, glaube ich, einen Bezahlaccount oder eine eigene Serverinstallation. Da sehe ich 30 Euro Einmalausgabe pro Nutzer als die günstigste Alternative.

 

[Ranayna]

Gibt es dafür Gründe abgesehen von "NEIN"?

"Arbeit ist Arbeit, Privat ist Privat", sollte als Grund eigendlich voellig ausreichen.
Das ist bei uns auf der Arbeit auch strikt getrennt und blockiert. Auf privaten Handies gibt es keine offiziellen dienstlichen Informationen.
Was Mitarbeiter privat ueber WhatApp auf privaten Geraeten austauschen koennen wir ja nun leider nicht kontrollieren.

Wir haben aber schon seit Jahr und Tag (Seit bald fast 20 Jahren!) token-basierte MFA fuer unsere Windowsanmeldungen.

 

[dahkenny]

"Arbeit ist Arbeit, Privat ist Privat", sollte als Grund eigendlich voellig ausreichen.

Bin ich grundsätzlich voll und ganz bei dir. Bei einem einfachen 2FA Token in einer App, die sowieso jeder privat installiert haben und nutzen sollte, kann man meiner Meinung nach eine Ausnahme machen.

 

[AGB-Leser]

Eigentlich sollte jeder sowas auf dem Handy haben. Weil jeder hat Google Account, Paypal oder Amazon, und die bieten 2FA alle an.
Und man kann auch die Apps nehmen, die man eh schon nutzt. Aber ... die meisten checken das einfach nicht und heulen nachher, wenn ein Konto weg ist 🤷‍♂️ . Die Firma überwacht uns jetzt ... ja klar, ich hab dafür extra eine App programmiert, in den Appstore gestellt und als Hersteller Microsoft gefälscht...

Wenn die Dienste sich an Standards halten würden...
Meine Firma kocht bei OTP natürlich ein eigenes Süppchen, deren App kommt mir nicht aufs Handy. Banken teilweise das gleiche. Ach ja: Huawei und ZTE werden von der Firmenapp natürlich nicht unterstützt. Es soll ja Leute geben, die solche Handys nutzen... Kriege ich von der Firma dann ein Firmentelefon, oder bin ic

Ergänzung (16. Mai 2024)

Im Fachjargon von Microsoft ist "Microsoft Authenticator" nicht das gleiche wie andere Authenticator-Apps. Diese laufen unter der Kategorie "Drittanbietersoftware-OATH", und man kann auch die MS Authenticator-App in dieser Kategorie betreiben. Die Methode "Microsoft Authenticator" setzt den Ablauf der MFA anders um: Auf dem PC wird eine zweistellige Zahl angezeigt. Dies gibt man auf dem Handy ein und schaltet dann dort die Anmeldung frei.

Also auch wieder eine Extrawurst. Das klingt ja eher nach Passkey. Also du brauchst deine App als Schlüssel

 

[Raijin]

Bei uns geht das auch gerade los mit MFA bei der Windows-Anmeldung.

Auch bei uns haben viele Mitarbeiter kein Firmenhandy. Grundsätzlich gehe natürlich damit konform, dass eine Authenticator App nichts schlimmes ist, aber dennoch kann ich verstehen, wenn sich Mitarbeiter sträuben, sie für die Firma auf ihrem Privatgerät zu installieren.

1) Mitarbeiter bekommen auf den Deckel, wenn sie einen privaten USB-Stick verwenden.
2) Mitarbeiter bekommen auf den Deckel, wenn sie ihr privates Handy ins Firmen-WLAN einloggen.
3) Mitarbeiter bekommen auf den Deckel, wenn sie andere private Ressourcen für Firmentätigkeiten nutzen.
4) Mitarbeiter bekommen auf den Deckel, wenn sie mit einem privaten PKW geschäftlich unterwegs sind.
5) Mitarbeiter sollen aber plötzlich eine App für die Firma auf ihrem privaten Handy installieren.

Also 4x "PRIVAT: NEIN!!!!!", aber plötzlich 1x ja? Allen im Thread anwesenden hier ist klar warum 1-4 so richtig und wichtig sind, weil sie ein Sicherheitsrisiko darstellen oder ggfs Probleme mit der Versicherung nach sich ziehen können. Ebenso ist uns allen klar, dass 5. prinzipiell nix böses tut. Auf unbedarfte Mitarbeiter wirkt es hingegen wie pure Willkür. "Plötzlich ist mein Handy doch sicher genug, schon klar".

Kommunikation und Aufklärung sind hierbei der Schlüssel zum Erfolg. Wenn man den Mitarbeitern darlegt warum und wieso das sinnvoll ist und was das eine so gefährlich und das andere harmlos macht, sollte es eigentlich kein großes Ding sein, die Mitarbeiter zur Installation der Authenticator App zu bewegen.

 

[andy_0]

Meiner Meinung nach kann man schon versuchen aufzuklären, aber bei 2FA ist allgemein die Akzeptanz gering. Das sehe ich bei uns, da wir z.B. für Github 2FA erzwingen.

Das nächste ist: solange sich auch nur ein Mitarbeiter weigert, sowas auf seinem privaten Gerät zu installieren, benötigt man sowieso eine Alternative. Meiner Meinung führt nichts an einem Hardware Token vorbei, auch wenn ich eine App Lösung für Mitarbeiter immer offen halten würde.

 

[h00bi]

In Kürze wird Microsoft für die User die MFA zur Pflicht machen.

Vielleicht bin ich einfach nicht ausreichend informiert, aber die Mitteilung von MS, die mir vorliegt, spricht von MFA Zwang für Admins, nicht für User.
Aber grundsätzlich ist MFA für jeden User is ja was gutes.

Ungeachtet dessen geht M365 MFA völlig problemlos mit der Bitwarden Browser-Erweiterung.
Die Browser-Erweiterung kann mittlerweile sogar den QR Code vom Monitor snippen, man muss nicht mal den Text kopieren.

Setzt einen Vaultwarden auf* und legt jedem User einen Account an. Damit habt ihr dann auch schon eine Lösung für Passkeys parat.
*Oder nehmt den offiziellen Bitwarden Self Host.

Weiterer Vorteil an Bitwarden: Wer seinen MS Account darin ablegt ist auch sehr gut gegen MitM MFA Phishing geschützt, weil die Domäne geprüft wird, bevor der User seine Daten ausfüllen lassen kann.

Ansonsten, wenn man sich den Trouble nicht machen will, gibt es auch im Windows Store recht gute, einfache 2FA Apps.

Eine andere Variante:
Kauft 80€ Handys ohne SIM und zwingt die Leute es als Arbeitsgerät immer dabei zu haben. Wer es daheim vergessen hat und es holen muss, muss das in seiner Freizeit machen, wer es in der Firma liegen gelassen hat uns aus dem Home Office nicht arbeiten kann, muss in die Firma fahren, selbstverständlich ebenfalls in der Freizeit, weil eigene Schusseligkeit dass er es vergessen hat.

Alternative: Das Privathandy nutzen.
Dazu noch die 2FA Periode so klein wie möglich setzen.

Wirst sehen, ihr braucht keine 10 Handys, jeder wird mit Freude das private Handy nutzen.

 

[riversource]

Die Mail von Microsoft beinhaltet tatsächlich die Aktivierung von MFA für alle Nutzer. Will man das nicht, muss man den bedingten Zugriff einrichten (benötigt einen Azure Plan).

Aber wie hier schon steht, kann man jede OTP App nutzen. Das kann auch eine unter Windows oder Linux sein, also auf dem Firmenrechner. Wir benutzen bei uns 2fast dafür.

 

[andy_0]

Bitwarden hab ich ja auch bereits genannt, aber ich halte das nicht für sehr sicher. Wenn Kennwörter und 2FA im selben System (Bitwarden) liegen, dann hebelt man die 2FA defakto aus.

Was vlt sinnvoll wäre der Einsatz einer 2FA um auf den Bitwarden Tresor zuzugreifen. Hier braucht man aber wieder eine App oder Hardware Dongle womit sich die Diskussion im Kreis dreht.

 

[h00bi]

Dann gibt es noch solche Dongles
[IMG]https://www.computerbase.de/forum/attachments/1715851510308-png.1483842/[/IMG]
Wie man den aber damit verbindet, weiß ich nicht, weil hat das Systemhaus gemacht.

Dazu benötigt man eine Azure P1 Lizenz, die im Business Standard (und auch im E3) nicht enthalten ist, aber im Business Premium.

Man braucht die Security Keys der Token und importiert diese ins Entra ID (AAD).