none
Exchange Online und MFA (Multi-Faktor Authentifizierung) RRS feed

  • Frage

  • Hallo Forum,

    .

    bin mir unsicher, ob das Office2016-Forum das richtige ist...

    Wir haben Endkunden, wovon einige einen Server 2016 mit Essentials-Rolle und auf den Clients Office 2016 einsetzen.

    Alle diese Kunden haben den "Exchange Online Plan 1" gebucht. Wir haben keinen Exchange lokal installiert. Ebenso nutzen wir keinerlei andere Dienste aus der MS Cloud. Kein Backup, kein AzureAD, kein Word/Excel als Mietversion, nix.

    .

    Nun bekam ich von meinem Cloud-Anbieter (der seinerseits ja auch nur Vermittler für MS ist) am 31.07.19 eine Mail mit der Info zu "Handlungsbedarf", da Microsoft ab 01.08.2019 die Anmeldung zwingend auf MFA umstellt!! Ein Tag vorher zu warnen reicht ja aus...

    Man hat nun wohl 14 Tage Karenz und dann schaltet MS die MFA scharf.

    .

    Meine Nachfragen beim Cloud-Anbieter blieben eher unbefriedigend beantwortet. Schlauer bin ich aktuell nicht.

    Die erste Frage ist: Ändert sich etwas für die Endanwender? Also für denjenigen, der morgens seinen PC anschaltet und Outlook startet.

    Falls dies mit Ja zu beantworten ist: Was genau ändert sich denn? Seitens MS wird immer auf die Authenticator App verwiesen. Was soll in Firmen passieren, wo das Handy am Arbeitsplatz verboten ist?

    .

    Was passiert mit dem ActiveSync Zugriff am Handy? Brauche ich auch dafür einen zweiten Faktor? Und wenn ja welchen?? Es macht ja keinen Sinn am Handy einen zweiten Faktor zu benötigen um anschließend an eben diesem Handy diesen Faktor zu erhalten... Ein weiterer Faktor muss doch immer auf einem anderen Gerät kommen?!?

    .

    Zur Anmeldung am PC (Domänen-Netzwerk) nutzt der Endanwender seinen AD-Benutzernamen und ein PW. Diese Kombination gilt ja dann automatisch auch für seinen Exchange-Zugang (also für Outlook, ActivSync am Handy, Office-Webportal, ..). Wenn ich nun also einen zweiten Faktor brauche - greift der auch schon bei der Domänen-Anmeldung? Also schon morgens, wenn ich den PC starte und mich an Windows anmelde?

    .

    Bin ahnungslos was da bald passiert... noch 12 Tage.

    Vielen Dank für jegliche Klarstellung.

    Thomas

    .

    P.S.

    Und warum gibt es hierzu im TechNet noch nicht eine Frage? Bin ich der einzige, der vom neuen Zwang ab 01.08.2019 weiß? Oder betrifft es andere vllt gar nicht?


    Freitag, 2. August 2019 10:08

Alle Antworten

  • Moin,

    mein Verständnis ist es, dass MFA nur für Online-Identitäten erzwungen wird. Wenn ADFS in Verwendeung ist, muss MFA eh dort umgesetzt werden, darauf hat Microsoft keinen Einfluss. Sonst würden Kunden, die bereits MFA in ADFS haben, ja "Doppelt-MFA" aufgedrückt bekommen ;-)

    Aber ich bin ja kein Cloud Native und kann mich natürlich wie immer irren.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 2. August 2019 10:54
  • Hallo,

    .

    es liest sich irgendwie anders :/

    Ich Copy&Paste die Mail hier mal rein:

    ---------------------------------------------------------

    Sehr geehrter Partner,

    wenn Sie sich kürzlich im Microsoft Partner Center angemeldet haben, ist Ihnen wahrscheinlich eine Ankündigung zu neuen Sicherheitsanforderungen für Partner aufgefallen. Microsoft führt neue obligatorische Sicherheitsanforderungen ein, um Sie und Ihre Kunden besser vor potenziellen Angriffen zu schützen. Diese treten ab 1. August in Kraft.

    Mit dieser Änderung verpflichtet Microsoft alle Partner, Multi-Factor-Authentication (MFA) zu verwenden, wenn sie sich bei den kommerziellen Cloud-Diensten von Microsoft anmelden oder in CSP Transaktionen über das Partner Center oder über APIs ausführen.

    ---------------------------------------------------------

    Da steht: wenn ich mich bei Cloud-Diensten anmelde. Da steht nichts von wegen nur Website.

    .

    weiter geht's so:

    ---------------------------------------------------------

    Die wichtigsten Grundsätze, die implementiert werden sollten:

    •          MFA für Admins (Administratoren müssen sich mit der Authenticator App für MFA registrieren)
    •          Endbenutzerschutz (aktivieren Sie diese Richtlinie und bitten Sie Benutzer, sich mit der Authenticator App für MFA zu registrieren. Benutzer können die Aufforderung zur MFA-Registrierung 14 Tage lang ignorieren, anschließend können sie sich erst wieder anmelden, wenn sie sich für MFA registriert haben.)

    ---------------------------------------------------------

    Wobei hier jetzt steht "implementiert werden sollten"

    *grübel*

    .

    Noch kann ich mich im Portal und in dem Marketplace anmelden.

    Montag, 5. August 2019 12:05
  • Hallo Thomas,
    diese Anforderung gibt es seit den 25.06. und so wie ich das verstanden habe betrifft es nicht die Endkunden, sondern die Partner, die mit Microsoft kommunizieren. Sprich, Dein Cloudanbieter muss das implementieren, wenn er weiter mit MS zusammenarbeiten möchte. Dich dürfte das nicht betreffen. Warum Dir Dein Partner diese Mail weitergeleitet hat, kann ich nicht beurteilen.

    Hier ein Auszug aus der FAQ:

    Will enabling MFA effect how I interact with my customer’s tenant?
    No. The fulfillment of these security requirements will not impact how you manage your customers. Your ability to perform delegated administrative operations will not be interrupted.

    Wie bereits gesagt, es ist meine Interpretation. Mich würde es ehrlich gesagt wundern, wenn eine solche Veränderung so still und heimlich ohne größere Ankündigung für alle tenants eingeführt wird.

    Grüße,
    Jakša

    Montag, 5. August 2019 13:57