Microsoft Entra / Microsoft Graph

System-preferred Multifaktor Authentifizierung in Azure AD

12. März 2023

Heute können Mitarbeitende wählen welche Methoden sie für eine Multifaktor (MFA) Authentifizierung einsetzen möchten. Eine Methode muss für das Konto registriert sein, es können aber auch mehrere sein. Hat eine Organisation alle Methoden für einen zweiten Faktor freigegeben sind bis zu 17 Methoden möglich. Wurden von einer Person zwei oder mehr Methoden konfiguriert besteht in den Security Informationen von Mein Konto die Möglichkeit zur Wahl welche Methode der Standard ist.

Standardmethode für Multifaktor Authentifizierung wählen
Standardmethode für Multifaktor Authentifizierung wählen

Hat ein Konto mehr als eine Methode eingerichtet wird Azure AD zukünftig entscheiden welche Methode im Moment der Authentifizierung die beste für einen zweiten Faktor ist. Die bisherige Wahl der Standardmethode bleibt für Mitarbeitende optional bestehen. Mitarbeitende können während der Authentifizierung weiterhin eine alternative Methode wählen.

Microsoft plant den Rollout von System-preferred Multifaktor Authentifizierung in 4 Phasen:

  1. Private Preview bis 28. Februar 2023, manuelle Aktivierung über Microsoft Graph authenticationMethodsPolicy (Private Preview bereits abgeschlossen).
  2. Public Preview seit 1. März, manuelle Aktivierung über Microsoft Graph authenticationMethodsPolicy. Ab Ende März soll es in Azure AD eine grafische Konfiguration geben.
  3. Globale Verfügbarkeit ab April mit Standardkonfiguration Disabled.
  4. Geplant ab Juni, automatische Aktivierung durch Microsoft, mit der Möglichkeit für manuelle Deaktivierung in Azure AD oder über Microsoft Graph.
  5. Geplant ab Oktober, automatische Aktivierung durch Microsoft für alle Tenants, ohne der Möglichkeit für eine nachträgliche Deaktivierung.

***********
Update vom 4. April 2023:
In Azure AD steht mittlerweile die grafische Konfiguration zur Verfügung, siehe Hilfe.
Öffne Azure AD > Security > Authentication methods > Settings.

***********

Für meine Tenants aktivierte ich es zur Simulation bereits mit PowerShell über Microsoft Graph.

Wissenswerte Punkte:

  • Entweder aktivierst du es für alle Benutzerkonten, oder du benötigst eine Azure AD Gruppe. Nutzt ein Mitglied mehrere MFA-Methoden und hat noch keine Standardmethode definiert fragt Azure AD bei System-preferred MFA einmalig ab welches die persönliche, bevorzugte Methode ist.
  • Du benötigst zur Konfiguration bis April das Graph PowerShell Modul Microsoft.Graph.Authentication.
  • Für die Konfiguration benötigt dein Konto die Rolle Authentication Policy Administrator oder Global Admin.
  • Du musst entscheiden, soll die Konfiguration Disabled, Enabled oder Default sein?
    • Disabled, kann für Vorbereitungen und Dokumentationen nützlich sein, gilt jedoch nur bis ca. Juli. Microsoft plant die automatische Aktivierung ab Juli für alle Tenants.
    • Enabled, du aktivierst System-preferred MFA manuell vorab. Die Konfiguration ist gültig für eine ausgewählte AD-Gruppe, oder alle User.
    • Default (Standardkonfiguration), du überlässt den Aktivierungszeitraum Microsoft. Für eine Konfiguration mit Default plant Microsoft die automatische Aktivierung ab April.

Für die manuelle Konfiguration über Microsoft Graph, siehe Hilfe.

  1. Installiere das PowerShell Modul Microsoft.Graph.Authentication und verbinde dich über Connect-MgGraph und dem Scope Policy.ReadWrite.AuthenticationMethod zu deinem Tenant.
PowerShell
Install-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Authentication
Connect-MgGraph -Scopes Policy.ReadWrite.AuthenticationMethod

  1. Im ersten Schritt kannst du die aktuelle Konfiguration für systemCredentialPreferences abfragen. In meinen Tenants war es jeweils die Standardkonfiguration Default für alle User.
PowerShell
$Url = "https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy" 
$State = Invoke-MgGraphRequest -Method get -Uri $Url
$State.systemCredentialPreferences | ConvertTo-Json

Auswertung von systemCredentialPreferences
Auswertung von systemCredentialPreferences
  1. Im nächsten Schritt setzt du die Konfiguration für systemCredentialPreferences über PowerShell und kontrollierst den Wert erneut. In meinem Beispiel nutze ich statt alle User eine AD-Gruppe mit ausgewählten Testkonten.
PowerShell
$Body = @"
{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [],
        "includeTargets": [
            {
                "id": "eaaae322-ec3e-4610-b8e3-9b253d35b5da",
                "targetType": "group"
            }
        ]
    }
}
"@

Invoke-MgGraphRequest -Method PATCH -Uri $Url -Body $Body

$State2 = Invoke-MgGraphRequest -Method get -Uri $Url
$State2.systemCredentialPreferences | ConvertTo-Json

Erneute Auswertung von systemCredentialPreferences
Erneute Auswertung von systemCredentialPreferences
  1. Eine Kontrolle der Security Informationen zeigt eine neue Information. Das System informiert es übernimmt die Auswahl der bevorzugten Methode. In der Hilfe ist beschrieben in welcher Reihenfolge die 17 Methoden bevorzugt werden.
System-preferred Multifaktor Authentifizierung aktiviert
System-preferred Multifaktor Authentifizierung aktiviert

Update vom 8. April 2023:
Das Datum für die globale Aktivierung wurde um ein paar Monate verzögert.

Tags:

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert