blog.icewolf.ch

Let's talk about IT!
posts - 1802, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Microsoft does not recommend to use SMS for MFA

Hallo zusammen,

Kürzlich hat Alex Weinert (Director of Identity Security Microsoft) erklärt, weshalb Telefon und SMS basierte Multifaktor (MFA) Authentifizierung weniger Sicherheit bieten.

It's Time to Hang Up on Phone Transports for Authentication

https://techcommunity.microsoft.com/t5/azure-active-directory-identity/it-s-time-to-hang-up-on-phone-transports-for-authentication/ba-p/1751752 

Das hat mich dazu Inspiriert, mal anzuschauen, wie es denn in meinem M365 Tenant so aussieht.

Das lässt sich mit ein paar Zeilen PowerShell herausfinden

Import-Module MSOnline

Connect-MsolService

$User = Get-MsolUser -UserPrincipalName a.bohren@icewolf.ch

$User | fl strong*

$User.StrongAuthenticationMethods

$User.StrongAuthenticationUserDetails

$User.StrongAuthenticationRequirements

Mit einem kleinen Script hat man dann einen Report

###############################################################################
# MFAReport
# 24.11.2020 V1.0 - Initial Version - Andres Bohren
###############################################################################
Import-Module MSOnline
Connect-MsolService
 
#OutputFile
$OutputFile = (Get-Location).Path + "\MFAReport.csv"
If (Test-Path -path $OutputFile)
{
Remove-Item $OutputFile
}
 
#Header Anlegen
Add-Content -Path $OutputFile -Value ("UPN;MFAState;DefaultMFAMethod;MFAMethods")
 
$Users = Get-MsolUser -All | where {$_.StrongAuthenticationRequirements.State -eq "Enforced"}
#$Users = Get-MsolUser -All
Foreach ($User in $Users)
{
$UPN = $User.UserPrincipalName
$MFAState = $User.StrongAuthenticationRequirements.State
$MFAMethods = $User.StrongAuthenticationMethods.MethodType
$DefaultMFAMethod = ($User.StrongAuthenticationMethods | where {$_.IsDefault -eq $True}).MethodType        
Add-Content -Path $OutputFile -Value ("$UPN;$MFAState;$DefaultMFAMethod;$MFAMethods")
}
 
Write-Host "CSV File: $OutputFile"
Invoke-Item $OutputFile

Und so sieht dann das CSV aus

Falls da nicht überall PhoneAppNotification steht solltest du deine User Trainieren und die Authenticator App zu registrieren und die Standard Methode auf "Microsoft Authenticator - Notification" stellen.

Die Benutzer können das in M365 unter folgender URL selbst machen

Bei Microsoft 365 ist Multifaktor Authentication heute einfach ein Muss. Aber wenn schon, dann richtig: Mit der Microsoft Authenticator App Notification.

Dies hilft auch die Benutzerakzeptanz zu erhöhen. Denn eine MFA Request zu approven ist deutlich einfacher als den Code abzutippen.

 Liebe Grüsse
Andres Bohren

Print | posted on Tuesday, November 24, 2020 10:52 PM | Filed Under [ Security Powershell O365 ]

Powered by:
Powered By Subtext Powered By ASP.NET