Sicherheitsstandards verwalten: Microsoft 365 erzwingt unerwünschte MFA-Registrierung

    Microsoft 365 MFADie Multifaktor-Authentifizierung (MFA) ist grund­sätzlich eine wichtige Sicherheits­funktion des Azure AD. Aller­dings kann es vorkommen, dass Benutzer vom System gedrängt werden, sich für MFA zu regi­strieren, selbst wenn dieses Feature nicht aktiviert ist. Das liegt dann meist an der Ein­stellung für Sicherheits­standards.

    In einem frisch angelegten Microsoft-365-Tenant eines Unter­nehmens wurden die Benutzer nach jeder Anmeldung mit der Meldung begrüßt, wonach der Tenant-Administrator die Multifaktor-Authenti­fizierung (MFA) aktiviert habe und die Benutzer sich innerhalb von 14 Tagen für MFA registrieren sollten.

    Die Meldung, welche den Benutzer auffordert, sich für MFA zu registrieren

    Aufforderung trotz inaktiver MFA-Einstellung

    Der Mandant selbst war allerdings nicht für MFA konfiguriert. Auf aad.portal.azure.com wurden unter Azure Active Directory => Sicherheit => MFA keine Einstellungen getätigt bzw. der Kunde besaß nicht einmal eine Lizenz, um diese Funktion zu aktivieren.

    Dem Mandanten fehlte die Lizenz, um MFA überhaupt aktivieren zu können.

    Weiterhin zeigte ein Blick auf die Übersicht Alle Benutzer im Azure Active Directory, dass MFA nicht aktiv war.

    Die Benutzer, die das System zur MFA-Registrierung drängte, waren nicht dafür konfiguriert.

    Trotzdem kam weiterhin bei jedem Benutzer, welcher sich im Tenant anmeldete, die Aufforderung zur MFA-Registrierung.

    Falsch konfigurierte Sicherheitsstandards

    Nach Überprüfung dieser Einstellungen und angesichts der Tatsache, dass aufgrund der einge­schränkten Lizenz MFA gar nicht verfügbar war, fiel der Verdacht auf die Option Sicherheitsstandards aktivieren. Diese war nämlich bei besagtem Mandanten aktiviert.

    Zu finden ist diese Einstellung auch hier wieder im Azure Portal unter den Eigenschaften von Azure Active Directory, und zwar ganz unten. Der Schalter Sicherheitsstandards verwalten sollte hier auf Nein gesetzt werden, um das beschriebene unerwünschte Verhalten abzustellen.

    Der Schalter für Sicherheitsstandard aktivieren muss auf 'Nein' stehen, um das beschriebene Verhalten abzustellen.

    Was macht diese Funktion für Sicherheits­standards? Sie sorgt dafür, dass die Multifaktor-Authentifizierung sowohl für Benutzer als auch für Admini­stratoren eingeschaltet wird. Man könnte eigentlich von "erzwungen" sprechen, denn nach dem 14-tägigen Aufschub muss der Benutzer sich für eine Form von MFA entscheiden, beispielsweise SMS, Telefon oder die Authenticator-App als zweiten Faktor.

    Weitere Informationen zu dieser Funktion sind hier zu finden. Sie ist per Voreinstellung eigentlich auf Nein gesetzt und muss bei Bedarf erst aktiv eingeschaltet werden, was hier in der Ver­gangenheit wohl aus Unwissen­heit passiert ist.

    2 Kommentare

    Kevin Brandenstein sagt:
    28. Juli 2020 - 12:03

    Das Feature ist bei den neueren Tenants standardmäßig aktiviert, wenigstens bei denen in den neuen deutschen Rechenzentren. Wir mussten das auch bei vielen Kundenaccounts erst wieder deaktivieren.

    Roland sagt:
    28. Juli 2020 - 12:17

    Hallo Herr Brandenstein,
    vielen Dank für Ihren Post. Dass es nur in deutschen Rechenzentren war/ist wusste ich noch nicht, kommt aber hin, da der Nutzerspeicherort hier auch DE ist.
    Leider ist diese Einstellung nur so schwer zu finden, da könnte Microsoft nochmal etwas machen :).
    Beste Grüße
    Roland Eich