Registration campaign für die Migration von SMS/Voice zu Microsoft Authenticator

Nutzen Konten im Tenant als MFA-Methode SMS oder Voice informiert Microsoft per Mail an Global Admins über eine gestartete Kampagne für die forcierte Migration nach Microsoft Authenticator. Microsoft hat erstmals im Juli über die geplante Kampagne informiert.

Informationen zur Kampagne

Global Admins wurde in den letzten Tagen folgende E-Mail zugesendet und im Tenant wird seit Juli über MC650420 informiert.

Users in your organization who are relying on PSTN (SMS and/or voice) for MFA will be prompted to use the Microsoft Authenticator app. Users can skip this prompt for a maximum of 3 times, after which registration of the app will be required by default.

Information per E-Mail
Information per E-Mail

Betroffen ist dein Tenant, wenn in Registration campaign der Status entweder “Microsoft managed” oder “Enabled” ist und zumindest ein Konto SMS oder Voice als MFA-Methode einsetzt. Mit Voice ruft Microsoft die hinterlegte Nummer an und das System gibt eine Nummer durch.

Registration campaign in Microsoft Entra
Registration campaign in Microsoft Entra

Die Kampagne wurde für betroffene Konten am 15. September gestartet.

Ablauf der Kampagne

Zur Vorbereitung konfigurierte ich einen meiner Demo-Konten mit MFA über SMS. Melde ich mich mit dem Konto heute an erhalte ich nach der Anmeldung die Information zum Wechsel.

Registration campaign für Konten mit MFA über SMS
Registration campaign für Konten
mit MFA über SMS

Die Information kann mein Mitarbeiter 3mal überspringen. Wie oft er die Information bereits übersprungen hat sieht er nicht. Ab der 4. Information muss MFA über Microsoft Authenticator eingerichtet werden. Es fügt Microsoft Authenticator als zweite und neue primäre Methode ein.

Security Info nach der Konfiguration von Microsoft Authenticator
Security Info nach der Konfiguration von Microsoft Authenticator
Kampagne deaktivieren

Mitarbeitende können die Forcierung der Microsoft Authenticator App nicht selbst stoppen. Ein Konto mit der Rolle Authentication Policy Administrator oder Global Administrator kann in Microsoft Entra ID > Security > Authentication methods > Registration campaign Konten oder AD-Gruppen exkludieren. In der Konfiguration informiert das System die Konten nicht mehr und sie können SMS oder Voice weiterhin ohne Microsoft Authenticator App nutzen.

Zur Erinnerung.

Publicly switched telephone networks (PSTN) such as SMS and voice authentication are the weakest forms of MFA.

Registration campaign für ausgewählte Konten oder Gruppen deaktivieren
Registration campaign für ausgewählte Konten oder Gruppen deaktivieren

Update vom 23. September 2023:
Laut Update soll die Kampagne ab 25. September starten und bis 20. Oktober andauern. In meinen Tenants läuft die Kampagne seit 16. September.

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert