Microsoft wird ab heute beginnend, die MFA Registration campaign vom Status Microsoft managed auf den Status Enabled für M365-Tenants abzuändern. Diese Änderung wird laut Microsoft in einem Zeitraum innerhalb der nächsten 6 Wochen durchgeführt.
Dazu wurden betroffene Tenants über eine entsprechende Benachrichtigung informiert.
Tenant Default
Die Standard-Einstellung im Tenant für die MFA Registration campaign ist Microsoft managed. Das bedeutet, dass Microsoft über die Aktivierung der jeweiligen Einstellung entscheidet.
Impact
Diese Änderung betrifft alle Tenants, dessen Anwender für Multifaktor Authentifizierung die veralteten Authentifizierungsformen SMS und Voice nutzen und nicht den Microsoft Authenticator registriert haben. Diese Anwender werden mit der o.g. Änderung dazu aufgefordert, den Microsoft Authenticator einzurichten.
In der Regel können Anwender die Registrierung bis zu 14 Tage hinauszögern.
Auswertung der Authentifizierungsformen
Das Azure AD bietet die Möglichkeit die derzeit registrierten Authentifizierungsformen der Anwender auszuwerten. Die Gesamtübersicht ist hier zu finden:
https://portal.azure.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/AuthMethodsActivity
Hierzu sind besonders die Aktivitäten zu Mobile und Office phone relevant bzw. von dieser Änderung betroffen.
Für eine granulare Filterung der aktuell genutzten Authentifizierungsmethoden bietet Microsoft die User registration details an, wo entsprechende Filtermöglichkeiten zur Verfügung stehen.
Link: Authentication methods - Microsoft Azure
Verschieben des Rollout
Kunden, die Ihre Anwender auf diese Veränderung noch vorbereiten müssen, können die Aktivierung dieser Einstellung (noch) abwenden.
Dazu wird im Azure Portal unter Authentication methods - Microsoft Azure die Einstellung für den State auf den Wert Disabled gesetzt.
Empfehlung
Veraltete Authentifizierungsformen für MFA wie SMS oder Voice sollten kurzfristig abgeschaltet werden, da diese nicht mehr den aktuellen Sicherheitsanforderungen entsprechen. Die Nutzung der MS Authenticator App ist für Anwender ratsam. Als eine noch sicherere Authentifizierungsform für MFA werden sog. FIDO2 Keys empfohlen.
Diese Security Keys könnte vor allem für Anwender interessant sein, welche kein Company Smartphone besitzen bzw. das private Endgerät nicht für geschäftliche Zwecke nutzen möchten.