Zum Inhalt springen

Empfohlene Beiträge

Geschrieben (bearbeitet)

Hallo zusammen,

 

wir sind bei uns in der IT ein bisschen am grübeln, wie wir das zukünftig handhaben wollen mit einer alternativen 2FA-Authentifizierungs Methode, da Microsoft die Authentifizierung über einen Anruf oder SMS eingestellt hat, weil es schon seit längerem für unsicher eingestuft wurde seitens Microsoft.

 

Ja, wir wissen auch, dass die direkte alternative die von Microsoft selbst bereitgestellte Lösung ist in Form von "Microsoft Authenticator" als App darstellen soll.

 

Nur sollen wir jetzt jedem Mitarbeiter sagen, er ist verpflichtet sein Privates Handy (nur wenige haben ein Diensthandy bei uns) zu benutzen für die 2FA? Und wie sieht es rechtlich aus, kann man das so überhaupt machen und durchsetzen? Aktuell geht der bisherige 2FA-Anruf an das Arbeitstelefon, das am Arbeitsplatz fest steht.

 

Wie handhaben das andere Firmen, gibt es welche hier mit demselben Problem?

 

Über jeden Rat bin ich dankbar!

Bearbeitet von Philipp2501
Geschrieben
vor 23 Minuten schrieb Philipp2501:

Hallo zusammen,

wir sind bei uns in der IT ein bisschen am grübeln, wie wir das zukünftig handhaben wollen mit einer alternativen 2FA-Authentifizierungs Methode, da Microsoft die Authentifizierung über einen Anruf oder SMS eingestellt hat, weil es schon seit längerem für unsicher eingestuft wurde seitens Microsoft.

Ja, wir wissen auch, dass die direkte alternative die von Microsoft selbst bereitgestellte Lösung ist in Form von "Microsoft Authenticator" als App darstellen soll.

Nur sollen wir jetzt jedem Mitarbeiter sagen, er ist verpflichtet sein Privates Handy (nur wenige haben ein Diensthandy bei uns) zu benutzen für die 2FA? Und wie sieht es rechtlich aus, kann man das so überhaupt machen und durchsetzen? Aktuell geht der bisherige 2FA-Anruf an das Arbeitstelefon, das am Arbeitsplatz fest steht.

Wie handhaben das andere Firmen, gibt es welche hier mit demselben Problem?

Über jeden Rat bin ich dankbar!

Wir haben es so gemacht, einmal eine Umfrage im Unternehmen gemacht, wer alles sein Privat Handy dafür nutzen will, und dem Rest haben wir TOTP-Geräte bestellt.

Geschrieben

Bei uns bekommt ausnahmslos jeder User einen TOTP-Token, auf dem Geschäftshandy ist die zusätzliche Einrichtung der Authenticator App Pflicht. Zusätzlich wird den Usern ohne Geschäftshandy angeboten dass sie sich das HOTP via MS Authenticator App einrichten können, aber nicht müssen.

Für Dienstleister die ab und zu bei uns auf die Systeme können und dafür unbeaufsichtigten Zugriff haben, ist die Einrichtung eines HOTP Pflicht, wie die das dann bei sich umsetzen ist nicht unser Problem.

Geschrieben

Wo steht dass MFA via SMS eingestellt wurde? Aktuell gibt es eine Kampagne um die User auf sicherere Methoden zu bewegen, aber diese könnt ihr als Admins auch abbrechen. Mir wäre nicht bewusst dass es eine Abkündigung gibt.

Man kann die Mitarbeiter nicht verpflichten ihr privates Gerät zu nutzen. Die Antwort ist typischerweise Firmenhandys und FIDO Keys für den Rest. 

Geschrieben (bearbeitet)

Wir haben die Wahl gestellt: Nimm dein privates Handy (oder dein Firmenhandy wenn du eins hast), das Ding speichert keine Firmendaten oder sonstwas, ist ne stinknormale App, die firmenseitig keine Kontrolle erlaubt (die Analogie zum MFA beim Onlinebanking hat da ganz gut geholfen) OOOODER du kriegst so nen clunky TOTP-Token.

Den hat glaube ich genau eine Person gehabt, weil sie kein Smartphone besitzt....wobei das mittlerweile glaube ich auch auf Auth-App umgestellt ist mit nem neuen Handy.

Edith: Wir haben eine IP-basierte Ausnahme in unseren Büros, der MFA-Token wird nur bei Admins und bei Web/VPN-Einwahl abgerufen

Bearbeitet von Bitschnipser
Geschrieben (bearbeitet)
vor 34 Minuten schrieb alex123321:

Wo steht dass MFA via SMS eingestellt wurde? 

Kann meiner Meinung nur eine Empfehlung sein, wenn man dem Artikel glauben schenken darf.

https://www.heise.de/news/Schluss-mit-der-SMS-Microsoft-will-die-sicherste-Anmeldemethode-vorschreiben-9059967.html

Auch auf der MS Homepage habe ich bisher davon auch noch nichts gelesen, man möge bitte die Quelle nachreichen, wenn dem so sei.

Ansonsten wäre das meiner Meinung nach in diesem Support Artikel sicher verlinkt.

https://support.microsoft.com/de-de/account-billing/einrichten-der-sms-anmeldung-als-methode-zur-telefonüberprüfung-0aa5b3b3-a716-4ff2-b0d6-31d2bcfbac42

Bearbeitet von tkreutz2
Geschrieben
vor 35 Minuten schrieb alex123321:

Wo steht dass MFA via SMS eingestellt wurde? Aktuell gibt es eine Kampagne um die User auf sicherere Methoden zu bewegen, aber diese könnt ihr als Admins auch abbrechen. Mir wäre nicht bewusst dass es eine Abkündigung gibt.

Man kann die Mitarbeiter nicht verpflichten ihr privates Gerät zu nutzen. Die Antwort ist typischerweise Firmenhandys und FIDO Keys für den Rest. 

Man hat dann nur noch 3x oder 5x die Möglichkeit mit SMS und dann wird man gezwungen dieses App oder ein Token einzusetzen!

Geschrieben (bearbeitet)
vor 41 Minuten schrieb alex123321:

Wo steht dass MFA via SMS eingestellt wurde? Aktuell gibt es eine Kampagne um die User auf sicherere Methoden zu bewegen, aber diese könnt ihr als Admins auch abbrechen. Mir wäre nicht bewusst dass es eine Abkündigung gibt.

Wäre mir auch neu. Im Firmeninternen HelpDesk haben sie zwar schon mal einen extra Button eingefügt (zur Vorsicht), aber bei 6.000 User auch sinnvoll.

Ich bin gespannt :D

Bearbeitet von eulersche_Zahl
Geschrieben
vor 28 Minuten schrieb CrazyS.:

Man hat dann nur noch 3x oder 5x die Möglichkeit mit SMS und dann wird man gezwungen dieses App oder ein Token einzusetzen!

Mir ist nichts bekannt, was nicht von einem Admin überschrieben werden kann. Sonst wär der Aufschrei um ein Vielfaches größer

Geschrieben

Nutzt FIDO Keys und Windows Hello statt TOTP. TOTP sind schwerer zu managen, nicht phishing-resistent und haben ne schlechtere UX. 

IP-basierte MFA Ausnahmen sind vollkommener Murks und gegen jede Best-Practice. Eine Ausnahme in Conditional Access für Managed & Compliant Devices hätte ich fast noch verstanden, aber es gibt inzwischen eigentlich keine valide Begründung MFA zu umgehen. 

Geschrieben
vor 41 Minuten schrieb tkreutz2:

Die hatten wir bevor wir zur MS Auth Methode umgestiegen sind, da waren die nur fürs VPN. Beliebter war aber immer das Schlüsselanhängerformat, weil diese Kreditkarten halt doch zu fett für den Geldbeutel sind und sonst keinen "Verlierschutz" haben

Geschrieben

Mir ist das, für normale User, auch neu.

Das einzige, wo ich folgendes erlebt habe:

vor 2 Stunden schrieb CrazyS.:

Man hat dann nur noch 3x oder 5x die Möglichkeit mit SMS und dann wird man gezwungen dieses App oder ein Token einzusetzen!

Ist, wenn ein Benutzer Adminrollen in einem Bereich hat. Wir haben z.B. einen Benutzer, der in Intune die via LAPS vergebenen, lokalen und routierenden Kennwörter einsehen können soll. Die Rolle, mit welcher er das darf, untersagt aber dann auch Nutzung von SMS als MFA-Methode. Normale Benutzer, mit einfachen Userrollen bleiben davon aber unberührt.

Geschrieben

Ihr habt im Message Center im September eine Nachricht bekommen mit dem Titel "Changes to the registration campaign Feature in MIcrosoft Entra".

Deaktiviert die Kampagne einfach, wenn es nicht passt.

Geschrieben (bearbeitet)

Hallo zusammen,

erstmal vielen Dank für die zahlreichen Beiträge und Informationen dazu, das hat schonmal sehr geholfen.

Zur der Sache mit der Quellenangabe kann ich leider nichts genaueres angeben als die anderen hier schon getan haben. Ich kann nur soviel sagen, das diese Information bei uns intern weitergereicht wurde und die SMS/Anruf Funktion verschwinden wird in Zukunft.

Bearbeitet von Philipp2501

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...