Frühere Suchanfragen
Suchoptionen
Hat in letzter Zeit mal jemand versucht, KeepassXC (oder andere freie Apps) anstelle vom #Microsoft Authenticator zu verwenden? Frage für mich und meine Weigerung, MS-Zeug auf meinen Geräten zu installieren ... #Datenschutz #ITSecurity
Dieses MS-Zeug ist echt übergriffig. Normale TOTP nimmt es zumindest wie es für diese konkrete Organisation eingestellt ist nicht an, sondern verlangt die MS-Authenticator-App. Der Workaround "Configure app without notifications" wäre nice, ist aber seitens der Org. nicht aktiviert. Wenn man es schafft, nach mehrfachen Versuchen, doch ne SMS-Tan zugeschickt zu kriegen, kann man im Account nen Hardware-Token hinzufügen & die SMS rauswerfen. Dinge, die keinen Spaß machen. #Datenschutz #ITSec
@viennawriter Das ist immer mega nervig alles. Zu dem scheint es, auch wenn die Organisationen TOTP erlauben, Probleme zu geben, wenn man TOTP in unterschiedlichen Tenants aktiv hat. Hatte tatsächlich den Fall, dass ich TOTP bei meiner Haupt-Org entfernen musste, damit ich TOTP beim Kunden-Tenant nutzen konnte. Es schient mir so, als wenn die selbst bei ihren Login-Formularen durcheinander kommen, welches TOTP jetzt gebraucht wird. Vollkommen Crazy.
@flxtr @viennawriter
Ich nutze die MFA regelmäßig in Azure Umgebungen. Was ich bestätigen kann, ist, dass es für Ungeübte in Multi-Tenant-Umgebungen oft nicht offensichtlich ist, um welches Konto es bei einer Anmeldung grade geht. Das macht die Benutzung sehr fehleranfällig.
Zu einer Mailadresse kann es nämlich geben:
1 Entra-Account im Home-Tenant
1 Microsoft-Account "live.com"
Jeweils 1 Entra-Guest-Account in Fremd-Tenants
Alle diese Konten haben unabhängige Kennwörter und MFA.
@flxtr @viennawriter
Besonders wichtig immer:
- Auf das Tenant-Logo achten (ob Home oder Guest)
- Auf das Icon für Entra- oder Microsoft/live.com achten
@flxtr @viennawriter
Hilfreich ist auch, den Tenant explizit anzugeben, um gezielt eine Anmeldung *dort* zu benutzen:
https://myaccount.microsoft.com/<<tenantdomain>>
@oleschri @viennawriter Der Fall war der: mein AG hat 2FA verpflichtend gemacht, woraufhin ich TOTP eingerichtet hatte. Ab da konnte ich nicht mehr in den Kunden-Tenant wechseln, bei dem vorher bereits TOTP eingerichtet war. (Ich hab aus Spaß natürlich auch mal das TOTP von meinem AG-Tenant ausprobiert.) Unser Tenant-Admin meinte, ich sollte bei uns mal auf ein anderes 2FA-Verfahren wechseln. Hab dann auf Telefonanruf umgestellt und konnte ab da wieder in den Kunden-Tenant mit TOTP wechseln. 
@flxtr @viennawriter Klingt sehr ungewöhnlich. Aber bei IT ist vieles möglich. ;)
@oleschri @viennawriter Ja, vielleicht irgendein temporärer Bug oder irgendeine Fehlkonfig. Kenne mich mit ser Administration von dem Zeug nicht aus. Inzwischen geht das auch, zumindest bei anderen Kunden.
Hmm. Wissen wir zuverlässig, was die Betreiberin des Tenants konfiguriert hat?
Siehe auch
"In the legacy multifactor authentication (MFA) policy, hardware and software OATH tokens can only be enabled together. If you don't want end users to see an option to add Hardware OATH tokens, migrate to the Authentication methods policy. […] In the Authentication methods policy, hardware and software OATH tokens can be enabled and managed separately."
@oleschri @viennawriter Das ergibt für auch null Sinn. Und inzwischen hab ich auch wieder bei meinem AG TOTP und es funktioniert mit TOTP bei Kunden-Tanants (sind aber andere). Vielleicht war da auch irgendwo was falsch eingestellt oder temporärer Bug. War auf jeden Fall damals nicht der Einzige bei uns …
@viennawriter afaik kann das am Useraccount von besonders renintenten Mitarbeitern überschrieben werden.
Glücklicherweise war ich in dem Emailthread nicht der genervte Admin (aber er tat mir ein bisschen leid) 
@viennawriter Bin der Admin unserer Firma under hasse MS. Hab also die Option an. ABER such damit funktionierts nicht. Probiert mit Aegis und Ente Auth. Yubikey funktioniert, aber da MS dämlicherweise darauf besteht, e-mail bzw SMS als MFA an zu lassen etwas sinnlos.