MFA und mehrere Tenants

Multi Faktur Authentication ist mit Office 365 ja sehr einfach und ein Anwender kann über die Kurz-URL https://aka.ms/mfasetup auch ganz schnell MFA einrichten. Ich kann aber auch Gästen in meinem Tenant eine MFA-Policy zuweisen und selbst als Gast in einem anderen Tenant zu MFA gezwungen werden. Da stellt sich die Frage, wie ich das später ändere, wenn ich z.B. das Smartphone ändere

Authenticator Backup/Restore

In meinem Fall habe ich ein altes iPhone SE zu einem iPhone 11 gewechselt und Apple bietet ja sehr einfach einen Weg an, die Daten zu übertragen. Danach hatte ich auf dem neuen Telefon auch fast meine komplette Umgebung. Allerdings haben einige Apps eine neue Authentifizierung erfordert und der Microsoft Authenticator war auch nicht in jedem Fall glücklich. Einige Elemente hatten ein "Fragezeichen" vor dem Konto:

Mit einem Klick auf das Objekt werde ich aufgefordert, den QR-Code neu zu scannen:

Damit stellt sich die Frage, wie ich wieder an den Code komme.

Nun gibt es im Microsoft Authenticator auch eine Backup/Restore-Funktion. Aber auch ein Backup auf dem alten System und eine Wiederherstellung auf dem Ziel hat das Problem nicht gelöst.

Office 365 Portal

Ich habe schon etwas gesucht, denn in meinem eigenen Portal kann ich ja nur die MFA-Authentifizierung für mein Konto ändern. Es muss also einen Weg geben, dsa "Mein Konto"-Portal in einem anderen Tenant als Gastbenutzer zu erreichen. Ich habe folgende URLs dazu gefunden

https://account.activedirectory.windowsazure.com/r/#/profile
https://myapps.microsoft.com

Die URL https://aka.ms/mfasetup hilft hier nicht weiter, da sie dort direkt im MFA-Setup ihres Heimat-Tenant landen aber nicht zu einem anderen Tenant wechseln können.

Nachdem ich mich mit meinem primären Konto angemeldet habe, sehe ich auch erst mal meine Daten. Ich kann aber oben Rechts unter meinem Symbol den Tenant wechseln und dann auf "Profile" gehen.

Im Profil selbst gibt es dann den Link "Additional Security verification", wenn ich MFA nutzen muss.

Ich muss mich dann natürlich noch mal mit dem "alten" Authenticator anmelden, um dann ein neues Gerät zu addieren. Über die Funktion "Setup up Authenticator app" habe ich dann einfach das neue Smartphone eingerichtet:

Danach hatte ich dann zwei MFA-Smartphones, die auch beide bei einer späteren Anmeldung eine Rückfrage gestartet haben.

Beide Smartphones haben dann auch synchron immer die gleichen Einmal-Codes angezeigt.

Weitere Links