Cloudbrothers
Azure Attack Paths Posts Kategorien Über mich Talks Deutsch
Cloudbrothers

Inhalt

Warum die neue MFA Registrierung deinen Benutzern hilft

 enthalten in Azure AD Entra ID Identity and Access MFA
   416 wörter   2 minuten 

Die neue Webseite für die kombinierten Registrierung von Sicherheitsinformationen, wie Microsoft sie offiziell bezeichnet, ermöglicht es den Benutzern MFA einzurichten und die notwendigen Informationen für den Selfservice Password Reset (SSPR).

Sie ist auch Voraussetzung für die Einrichtung von FIDO2 Security Schlüsseln, dem Einsatz von “User actions” in Conditional Access Policies und wird sicher auch für neue Zweifaktor-Methoden erforderlich sein.

Diese Änderungen sind aber auf den ersten Blick keine Vorteile für den einzelnen Anwender.

Aber gerade für Firstline Worker, also Benutzer nur mit einem mobilen Endgerät, bringt der Wechsel ein stark verbessertes Benutzererlebnis bei der Ersteinrichtung von MFA.

Legacy Modus

Der folgende Screenshot zeigt beispielhaft wie die Einrichtung eines zweiten Faktors auf einem mobilen Endgerät aussieht.

/warum-die-neue-mfa-registrierung-deinen-benutzern-hilft/images/LegacyMFASetupProcess.png

Der Prozess ist alles andere als benutzerfreundlich und die Einrichtung des Microsoft Authenticators erfordert zusätzlich das manuelle Kopieren der angezeigten Daten in die App. Spätestens hier hat man den normalen Anwender verloren. Die Variante mit der Telefonnummer als zweiter Faktor ist dabei noch die einfachste Möglichkeit, da hier der Browser nicht verlassen werden muss.

Doch auch bei dieser Lösung muss der Anwender die Größe manuell anpassen, um überhaupt etwas erkennen zu können.

/warum-die-neue-mfa-registrierung-deinen-benutzern-hilft/images/AddPhoneNumber.png

Neue kombinierte Registrierung

Microsoft hat aus dem Kundenfeedback gelernt und in die neue UI so gestaltet das sie auf einem Smartphone ohne Probleme zu bedienen ist. Die Oberfläche wird modern und intuitiv.

/warum-die-neue-mfa-registrierung-deinen-benutzern-hilft/images/NewMFASetupProcess.png

Es ist selbst beim Einrichten der Authenticator App ein durchgehend flüssiger Ablauf. Es reicht einen Link anzuklicken, um direkt die Authenticator App zu öffnen und das Konto hinzuzufügen.

/warum-die-neue-mfa-registrierung-deinen-benutzern-hilft/images/NewMFAExperience.gif

Wichtig Informationen

Für die Ersteinrichtung sollte unbedingt der Browser des Smartphones genutzt werden.

Bei der Ersteinrichtung über eine App wie z.B. Teams oder Yammer ist es bei iOS und einigen Android Geräten (z.B. Samsung) nicht möglich die Authenticator App sauber aus dem Workflow aufzurufen.

Gib deinen Anwendern den Short-Link https://aka.ms/mfasetup an die Hand, um für die Ersteinrichtung den größtmöglichen Benutzerkomfort zu garantieren.

Für die Verwaltung der bisher eingerichteten MFA Daten kann der Kurzlink https://aka.ms/mysecurityinfo genutzt werden.

Aktivierung der kombinierten Registrierung

Die neue Oberfläche kann im Azure Portal -> “User Settings” -> “Manage user feature preview settings” aktiviert werden.

/warum-die-neue-mfa-registrierung-deinen-benutzern-hilft/images/UserSettings.png

Dazu einfach den Punkt “Users can use the combined security information registration experience” auf “All” einstellen.

/warum-die-neue-mfa-registrierung-deinen-benutzern-hilft/images/CombinedSecurityInformationRegistrationExperience.png

Wenn gewünscht kann dies auch erstmal an einem kleinen Benutzerkreis getestet werden. Dabei ist zu beachten das nur eine einzige Gruppe ausgewählt werden kann. Es empfiehlt sich also einen extra Gruppe zu nutzen.

/warum-die-neue-mfa-registrierung-deinen-benutzern-hilft/images/CombinedSecurityInformationRegistrationExperience-GroupOnly.png

Info
Seit dem 15. August 2020 wird diese für alle neuen Tenants automatisch aktiviert. Bei diesen Tenants ist keine Anpassung mehr möglich.
Aktualisiert am 2021-04-26
Zurück | Startseite