Tags: Microsoft 365, Authentifizierung, Troubleshooting
Die Multifaktor-Authentifizierung (MFA) ist grundsätzlich eine wichtige Sicherheitsfunktion des Azure AD. Allerdings kann es vorkommen, dass Benutzer vom System gedrängt werden, sich für MFA zu registrieren, selbst wenn dieses Feature nicht aktiviert ist. Das liegt dann meist an der Einstellung für Sicherheitsstandards.
In einem frisch angelegten Microsoft-365-Tenant eines Unternehmens wurden die Benutzer nach jeder Anmeldung mit der Meldung begrüßt, wonach der Tenant-Administrator die Multifaktor-Authentifizierung (MFA) aktiviert habe und die Benutzer sich innerhalb von 14 Tagen für MFA registrieren sollten.
Aufforderung trotz inaktiver MFA-Einstellung
Der Mandant selbst war allerdings nicht für MFA konfiguriert. Auf aad.portal.azure.com wurden unter Azure Active Directory => Sicherheit => MFA keine Einstellungen getätigt bzw. der Kunde besaß nicht einmal eine Lizenz, um diese Funktion zu aktivieren.
Weiterhin zeigte ein Blick auf die Übersicht Alle Benutzer im Azure Active Directory, dass MFA nicht aktiv war.
Trotzdem kam weiterhin bei jedem Benutzer, welcher sich im Tenant anmeldete, die Aufforderung zur MFA-Registrierung.
Falsch konfigurierte Sicherheitsstandards
Nach Überprüfung dieser Einstellungen und angesichts der Tatsache, dass aufgrund der eingeschränkten Lizenz MFA gar nicht verfügbar war, fiel der Verdacht auf die Option Sicherheitsstandards aktivieren. Diese war nämlich bei besagtem Mandanten aktiviert.
Zu finden ist diese Einstellung auch hier wieder im Azure Portal unter den Eigenschaften von Azure Active Directory, und zwar ganz unten. Der Schalter Sicherheitsstandards verwalten sollte hier auf Nein gesetzt werden, um das beschriebene unerwünschte Verhalten abzustellen.
Was macht diese Funktion für Sicherheitsstandards? Sie sorgt dafür, dass die Multifaktor-Authentifizierung sowohl für Benutzer als auch für Administratoren eingeschaltet wird. Man könnte eigentlich von "erzwungen" sprechen, denn nach dem 14-tägigen Aufschub muss der Benutzer sich für eine Form von MFA entscheiden, beispielsweise SMS, Telefon oder die Authenticator-App als zweiten Faktor.
Weitere Informationen zu dieser Funktion sind hier zu finden. Sie ist per Voreinstellung eigentlich auf Nein gesetzt und muss bei Bedarf erst aktiv eingeschaltet werden, was hier in der Vergangenheit wohl aus Unwissenheit passiert ist.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.
Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Exchange Online: SMTP-Authentifizierung für externe Anwendungen
- Outlook-App enthält künftig Microsoft Authenticator
- Exchange 2019 CU13 erst in H1 2023, Aus für Basic Auth for Autodiscover
- Event-ID 14,4771: Benutzer können sich nach November-Update nicht anmelden
- Aus für Basic Auth in Exchange Online ab Oktober, zusätzliche Frist einmal möglich
Weitere Links
3 Kommentare
Das Feature ist bei den neueren Tenants standardmäßig aktiviert, wenigstens bei denen in den neuen deutschen Rechenzentren. Wir mussten das auch bei vielen Kundenaccounts erst wieder deaktivieren.
Hallo Herr Brandenstein,
vielen Dank für Ihren Post. Dass es nur in deutschen Rechenzentren war/ist wusste ich noch nicht, kommt aber hin, da der Nutzerspeicherort hier auch DE ist.
Leider ist diese Einstellung nur so schwer zu finden, da könnte Microsoft nochmal etwas machen :).
Beste Grüße
Roland Eich
Bei meinem Tenant ebenfalls der Fall. Habe dieses auf Nein gesetzt jedoch fragt der Client bzw. der Account beim Anmelden an Windows weiterhin nach der Einrichtung von MFA? Dauert dieses bis das greift?