Sicherheitsstandards verwalten: Microsoft 365 erzwingt unerwünschte MFA-Registrierung
Die Multifaktor-Authentifizierung (MFA) ist grundsätzlich eine wichtige Sicherheitsfunktion des Azure AD. Allerdings kann es vorkommen, dass Benutzer vom System gedrängt werden, sich für MFA zu registrieren, selbst wenn dieses Feature nicht aktiviert ist. Das liegt dann meist an der Einstellung für Sicherheitsstandards.
In einem frisch angelegten Microsoft-365-Tenant eines Unternehmens wurden die Benutzer nach jeder Anmeldung mit der Meldung begrüßt, wonach der Tenant-Administrator die Multifaktor-Authentifizierung (MFA) aktiviert habe und die Benutzer sich innerhalb von 14 Tagen für MFA registrieren sollten.
Aufforderung trotz inaktiver MFA-Einstellung
Der Mandant selbst war allerdings nicht für MFA konfiguriert. Auf aad.portal.azure.com wurden unter Azure Active Directory => Sicherheit => MFA keine Einstellungen getätigt bzw. der Kunde besaß nicht einmal eine Lizenz, um diese Funktion zu aktivieren.
Weiterhin zeigte ein Blick auf die Übersicht Alle Benutzer im Azure Active Directory, dass MFA nicht aktiv war.
Trotzdem kam weiterhin bei jedem Benutzer, welcher sich im Tenant anmeldete, die Aufforderung zur MFA-Registrierung.
Falsch konfigurierte Sicherheitsstandards
Nach Überprüfung dieser Einstellungen und angesichts der Tatsache, dass aufgrund der eingeschränkten Lizenz MFA gar nicht verfügbar war, fiel der Verdacht auf die Option Sicherheitsstandards aktivieren. Diese war nämlich bei besagtem Mandanten aktiviert.
Zu finden ist diese Einstellung auch hier wieder im Azure Portal unter den Eigenschaften von Azure Active Directory, und zwar ganz unten. Der Schalter Sicherheitsstandards verwalten sollte hier auf Nein gesetzt werden, um das beschriebene unerwünschte Verhalten abzustellen.
Was macht diese Funktion für Sicherheitsstandards? Sie sorgt dafür, dass die Multifaktor-Authentifizierung sowohl für Benutzer als auch für Administratoren eingeschaltet wird. Man könnte eigentlich von "erzwungen" sprechen, denn nach dem 14-tägigen Aufschub muss der Benutzer sich für eine Form von MFA entscheiden, beispielsweise SMS, Telefon oder die Authenticator-App als zweiten Faktor.
Weitere Informationen zu dieser Funktion sind hier zu finden. Sie ist per Voreinstellung eigentlich auf Nein gesetzt und muss bei Bedarf erst aktiv eingeschaltet werden, was hier in der Vergangenheit wohl aus Unwissenheit passiert ist.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft 365: Kennwort für Benutzer soll nicht ablaufen
- Multifaktor-Authentifizierung in Office 365 aktivieren
- root-Konto unter VMware ESXi entsperren
- Probleme in Office 365 beheben mit Troubleshooting-Tools von Microsoft
- Nachrichtenfluss von Exchange Online verfolgen im Security & Compliance Center
Weitere Links
- Active Directory auf inaktive Konten und schwache Passwörter prüfen mit dem kostenlosen Specops Password Auditor
- Passphrasen statt Kennwörter: Mehr Sicherheit und bessere User-Akzeptanz
- Technisches Webinar: Privilegierte Konten durch sichere Passwörter schützen, Kennwörter automatisch zurücksetzen, SSH-Keys regelmäßig erneuern
2 Kommentare
Das Feature ist bei den neueren Tenants standardmäßig aktiviert, wenigstens bei denen in den neuen deutschen Rechenzentren. Wir mussten das auch bei vielen Kundenaccounts erst wieder deaktivieren.
Hallo Herr Brandenstein,
vielen Dank für Ihren Post. Dass es nur in deutschen Rechenzentren war/ist wusste ich noch nicht, kommt aber hin, da der Nutzerspeicherort hier auch DE ist.
Leider ist diese Einstellung nur so schwer zu finden, da könnte Microsoft nochmal etwas machen :).
Beste Grüße
Roland Eich