Richtline überprüfen - aber wo?

[Cornelius]

Hallo,

kann mir bitte jemand sagen, wo ich das überprüfen kann?

Danke!

[Kuno Sandholzer]

Hallo Cornelius,

wenn es dann mal soweit ist (auf meinen Tenants noch bei keinem), dann solltest du diese Richtlinien in Entra im Bereich Schutz unter "Bedingter Zugriff" finden.

Direktlink (für Tenant-Admins): Bedingter Zugriff - Microsoft Entra Admin Center

Um die angekündigten Berichte dann zu lesen, braucht es, soweit ich das sehe, einen (kostenpflichtigen) erweiterten AzureAD-Zugang, für den es jedoch einen Gratismonat gibt.

Liebe Grüße
Kuno

[Cornelius]

Also betrifft es uns gar nicht, wenn man nie etwas umgestellt hat?

[Kuno Sandholzer]

Wir sind uns in RB-Kreisen noch nicht ganz einig, inwiefern es Auswirkungen auf unsere Tenants haben wird. Soweit ich das intepretiere, werden zwei Richtlinien eingeführt und ab 1.1.2024 aktiviert, wenn sie bis dahin nicht manuell und ausdrücklich deaktiviert werden.

Kurz zusammengefasst: aktuell gibt es nichts zu tun, wir beobachten von Seiten der RB die Sache und schauen es uns an. Wenn es was zu tun gibt, werden wir (hoffentlich rechtzeitig) darüber informieren.


Langversion:

Die zwei geplanten Richtlinien, so wie ich das verstanden habe:

- verpflichtende Multifaktorauthentifizierung für alle User, die administrative Rechte haben
das ist aus meiner Sicht grundsätzlich kein Problem, weil das ja sowieso die Standardeinstellung sein sollte und der Empfehlung von Seiten der Regionalbetreuer entspricht. 
Allerdings haben wir die Umsetzung auf per-User-Ebene umgesetzt (und auch so empfohlen). Dazu der zweite Punkt:

- verpflichtende Multifaktorauthentifizierung für alle User, die dies in den per-User-Einstellungen aktiviert haben
bei diesem Punkt blicke ich noch nicht ganz durch, was damit gemeint ist. Wenn es per-User eingestellt ist, dann sind die sowieso schon verpflichtet, MFA zu verwenden. Das war auch die bisher empfohlene Vorgehensweise: es wurde nicht jene User, die administrative Rechte haben, dazu verpflichtet, sondern die Verpflichtung wurde auf Ebene der einzelnen User vergeben.

Diese Art der MFA-Vorgabe wird jedoch von Microsoft zukünftig nicht mehr unterstützt. Microsoft empfiehlt die Verpflichtung zur MFA auf Rollenebene per Richtlinie zu vergeben - das ist es auch, was mit der ersten Richtlinie gemacht wird.