Wir haben einen M365-Mandanten mit erzwungener MFA für alle Benutzer.
Wir können entweder eine Textnachricht (SMS) oder die Microsoft Authenticator-App auf dem Smartphone mit einem zeitbasierten Code (6-stelliger TOTP-Code) verwenden.
Wir möchten, dass bei einigen Benutzern die MFA auf den „Genehmigungsmodus“ eingestellt wird. Wenn der Benutzer also versucht, sich anzumelden, fordert der MS Authenticator den Benutzer auf, die Anmeldeanforderung zu genehmigen, und der Benutzer muss lediglich auf die Schaltfläche „Genehmigen“ klicken.
Wie können wir das konfigurieren?
Hinweis: Wir sind uns bewusst, dass dies möglicherweise weniger sicher ist und dass manche Benutzer einfach jede Anfrage genehmigen, auch wenn sie nicht der Urheber sind. Dies muss für ganz bestimmte Benutzer eingerichtet werden, denen wir vertrauen, dass sie diese Funktion korrekt verwenden.
Antwort1
Du brauchstAktivieren Sie kennwortlose Authentifizierungsmethoden für die Telefonanmeldung
Führen Sie die folgenden Schritte aus, um die Authentifizierungsmethode für die kennwortlose Telefonanmeldung zu aktivieren:
Melden Sie sich mit einem Authentifizierungsrichtlinienadministratorkonto beim Azure-Portal an.
Suchen und wählen Sie Azure Active Directory aus, und navigieren Sie dann zu Sicherheit > Authentifizierungsmethoden > Richtlinien.
Wählen Sie unter Microsoft Authenticator die folgenden Optionen:
a. Aktivieren – Ja oder Nein
b. Ziel – Alle Benutzer oder Benutzer auswählen
Jede hinzugefügte Gruppe oder jeder hinzugefügte Benutzer kann Microsoft Authenticator standardmäßig sowohl im kennwortlosen als auch im Push-Benachrichtigungsmodus verwenden (Modus „Beliebig“). Um den Modus zu ändern, wählen Sie für jede Zeile des Authentifizierungsmodus „Beliebig“ oder „Kennwortlos“. Wenn Sie „Push“ wählen, wird die Verwendung der kennwortlosen Telefonanmeldeinformationen verhindert.
Klicken Sie auf Speichern, um die neue Richtlinie anzuwenden.
Hoffe das hilft!