Hallo zusammen,
Kürzlich hat Alex Weinert (Director of Identity Security Microsoft) erklärt, weshalb Telefon und SMS basierte Multifaktor (MFA) Authentifizierung weniger Sicherheit bieten.
It's Time to Hang Up on Phone Transports for Authentication
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/it-s-time-to-hang-up-on-phone-transports-for-authentication/ba-p/1751752
Das hat mich dazu Inspiriert, mal anzuschauen, wie es denn in meinem M365 Tenant so aussieht.
Das lässt sich mit ein paar Zeilen PowerShell herausfinden
Import-Module MSOnline
Connect-MsolService
$User = Get-MsolUser -UserPrincipalName a.bohren@icewolf.ch
$User | fl strong*
$User.StrongAuthenticationMethods
$User.StrongAuthenticationUserDetails
$User.StrongAuthenticationRequirements
Mit einem kleinen Script hat man dann einen Report
###############################################################################
# MFAReport
# 24.11.2020 V1.0 - Initial Version - Andres Bohren
###############################################################################
Import-Module MSOnline
Connect-MsolService
#OutputFile
$OutputFile = (Get-Location).Path + "\MFAReport.csv"
If (Test-Path -path $OutputFile)
{
Remove-Item $OutputFile
}
#Header Anlegen
Add-Content -Path $OutputFile -Value ("UPN;MFAState;DefaultMFAMethod;MFAMethods")
$Users = Get-MsolUser -All | where {$_.StrongAuthenticationRequirements.State -eq "Enforced"}
#$Users = Get-MsolUser -All
Foreach ($User in $Users)
{
$UPN = $User.UserPrincipalName
$MFAState = $User.StrongAuthenticationRequirements.State
$MFAMethods = $User.StrongAuthenticationMethods.MethodType
$DefaultMFAMethod = ($User.StrongAuthenticationMethods | where {$_.IsDefault -eq $True}).MethodType
Add-Content -Path $OutputFile -Value ("$UPN;$MFAState;$DefaultMFAMethod;$MFAMethods")
}
Write-Host "CSV File: $OutputFile"
Invoke-Item $OutputFile
Und so sieht dann das CSV aus
Falls da nicht überall PhoneAppNotification steht solltest du deine User Trainieren und die Authenticator App zu registrieren und die Standard Methode auf "Microsoft Authenticator - Notification" stellen.
Die Benutzer können das in M365 unter folgender URL selbst machen
Bei Microsoft 365 ist Multifaktor Authentication heute einfach ein Muss. Aber wenn schon, dann richtig: Mit der Microsoft Authenticator App Notification.
Dies hilft auch die Benutzerakzeptanz zu erhöhen. Denn eine MFA Request zu approven ist deutlich einfacher als den Code abzutippen.
Liebe Grüsse
Andres Bohren
