Nerdlove

Blogging über Gadgets und IT.

MFA und Exchange Online

Mit Microsoft 365 ist es sehr einfach, für alle oder bestimmte Anmeldungen die Multifaktorauthentifizierung (MFA) verpflichtend zu machen.

  • Für alle Benutzer, indem man Legacy Authentication mit Security Defaults abschaltet
  • Für einzelne Benutzer im Entra ID Portal
  • Nach Regeln mit Conditional Access

Das erhöht die Sicherheit enorm, da ein zu einfaches oder bekannt gewordenes Passwort allein nicht mehr ausreicht, um auf Daten in M365 zuzugreifen.

Das Szenario

Nehmen wir an, ein Benutzer muss immer eine MFA machen. Ohne Ausnahme. Dabei bietet es sich natürlich an, Windows Hello for Business (WH4B) zu verwenden, damit er ohne manuelle Eingabe eine MFA machen kann. Gleichzeitig ermöglicht WH4B eine noch sicherere passwortlose Anmeldung über PIN oder biometrische Daten (Fingerabdruck, Gesichtserkennung). Ich möchte in diesem Artikel gar nicht detailliert auf MFA und WH4B eingehen, sondern auf ein spezifisches Problem und dessen Lösung.

Damit Anwendungen MFA unterstützen können, müssen sie Modern Authentication fähig sein. Outlook ist das. Man erkennt das an so einem Anmeldedialog:

No alt text provided for this image

Das Problem

Wieso kommt dann bei der Einrichtung des Outlook Kontos oder bei der Anmeldung stattdessen oder zusätzlich so ein ähnlicher Anmeldedialog und danach eine “Das hat nicht geklappt” Meldung?

No alt text provided for this image

Dieser Dialog und die Fehlermeldung deutet darauf hin, dass die Modern Authentication nicht funktioniert hat. Aber ohne Modern Authentication inklusive MFA kann sich der Benutzer ja nicht mehr anmelden.

Die mögliche Lösung

Es kann sein, dass Exchange Online noch keine Modern Authentication konfiguriert hat. Das sollte bei allen neueren Tenants der Fall sein (Stichtag 01.08.2017). Aber es ist auch leicht mit einem PowerShell Kommando zu überprüfen:

Get-OrganizationConfig | Format-Table Name,OAuth* -Auto

Sollte OAuth auf false stehen, kann man es mit diesem Befehl aktivieren:

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Vorher muss man natürlich noch das PowerShell Modul installieren und eine Verbindung zu Exchange Online aufbauen. Mehr dazu hier.

Kategorie:

Tags: , , ,