MFA und mehrere Tenants
Multi Faktur Authentication ist mit Office 365 ja sehr einfach und ein Anwender kann über die Kurz-URL https://aka.ms/mfasetup auch ganz schnell MFA einrichten. Ich kann aber auch Gästen in meinem Tenant eine MFA-Policy zuweisen und selbst als Gast in einem anderen Tenant zu MFA gezwungen werden. Da stellt sich die Frage, wie ich das später ändere, wenn ich z.B. das Smartphone ändere
Authenticator Backup/Restore
In meinem Fall habe ich ein altes iPhone SE zu einem iPhone 11 gewechselt und Apple bietet ja sehr einfach einen Weg an, die Daten zu übertragen. Danach hatte ich auf dem neuen Telefon auch fast meine komplette Umgebung. Allerdings haben einige Apps eine neue Authentifizierung erfordert und der Microsoft Authenticator war auch nicht in jedem Fall glücklich. Einige Elemente hatten ein "Fragezeichen" vor dem Konto:
Mit einem Klick auf das Objekt werde ich aufgefordert, den QR-Code neu zu scannen:
Damit stellt sich die Frage, wie ich wieder an den Code komme.
Nun gibt es im Microsoft Authenticator auch eine Backup/Restore-Funktion. Aber auch ein Backup auf dem alten System und eine Wiederherstellung auf dem Ziel hat das Problem nicht gelöst.
Office 365 Portal
Ich habe schon etwas gesucht, denn in meinem eigenen Portal kann ich ja nur die MFA-Authentifizierung für mein Konto ändern. Es muss also einen Weg geben, dsa "Mein Konto"-Portal in einem anderen Tenant als Gastbenutzer zu erreichen. Ich habe folgende URLs dazu gefunden
https://account.activedirectory.windowsazure.com/r/#/profile
https://myapps.microsoft.com
Die URL https://aka.ms/mfasetup hilft hier nicht weiter, da sie dort direkt im MFA-Setup ihres Heimat-Tenant landen aber nicht zu einem anderen Tenant wechseln können.
Nachdem ich mich mit meinem primären Konto angemeldet habe, sehe ich auch erst mal meine Daten. Ich kann aber oben Rechts unter meinem Symbol den Tenant wechseln und dann auf "Profile" gehen.
Im Profil selbst gibt es dann den Link "Additional Security verification", wenn ich MFA nutzen muss.
Ich muss mich dann natürlich noch mal mit dem "alten" Authenticator anmelden, um dann ein neues Gerät zu addieren. Über die Funktion "Setup up Authenticator app" habe ich dann einfach das neue Smartphone eingerichtet:
Danach hatte ich dann zwei MFA-Smartphones, die auch beide bei einer späteren Anmeldung eine Rückfrage gestartet haben.
Beide Smartphones haben dann auch synchron immer die gleichen Einmal-Codes angezeigt.
Weitere Links
- Multi Faktor Authentifizierung (MFA)
- New phone what about Multi Factor
Authentication(MFA) in Azure?
https://erwinbierens.com/new-phone-what-about-multi-factor-authenticationmfa-in-azure/ - How to setup the MFA App Authenticator
app on a new device for a specific Azure AD
https://blog.atwork.at/post/setup-the-MFA-Authenticator-app - MFA with Guest Access and different
tenants settings
http://www.uclabs.blog/2018/03/mfa-with-guest-access-and-different.html - Azure Multi-Factor Authentication - Part
2: Guest Users
https://www.danylkoweb.com/Blog/azure-multi-factor-authentication-part-2-guest-users-JN