Azure MFA Trouble

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 10923

19.12.2023 - 13:08

Ich steh an, liebe Leute!

Vor mir hab ich einen Azure Tenant mit einem seltsamen Fehlerbild.
Erstelle ich einen neuen User hat der User keine Möglichkeit MFA einzurichten, sondern wird aufgefordert CBA zu verwenden. Da denkt man sich, na dann dreh ich CBA eben ab, kein Thema. Nur funktioniert das nicht.

Folgende äußerst hilfreiche Fehlermeldung bekomm ich vor den Latz geknallt "Saving authentication methods The policy did not save successfully.":

Der Fehler tritt bei allen möglichen Einstellungen im Authentication methods Menü auf. Es lassen sich also keine - absolut keine - Einstellungen ändern. Wahrscheinlich seit August schon, wie wir die Authentication Methods von Legacy auf Unified Policy umgestellt haben. Das dürfte unter gegangen sein, weil keine neuen User dazu kamen. Für die bestehenden User, die schon einen Authenticator oder Anderes eingerichtet haben, hat sich nichts geändert.
Als Workaround wird manuell bei jedem neuen User eine Authentication method hinterlegt.

Seit einem Monat läuft nun da Support Ticket bei MS und mittlerweile durfte ich den dritten Support-Techniker von Vorne erklären was da abgeht.

Wissenswertes:
Security Defaults sind deaktiviert
Conditional Access Policies habe ich derweil ausgeschlossen
Per User MFA hat keinen Einfluss (works as intended, afaik)

Identity Protection, Conditional Access, Authentication Methods und Password Reset habe ich abgeglichen bei zwei anderen Tenants, wo zur selben Zeit die Änderung erfolgreich durchgeführt wurde. Also es scheint eine Bug seitens Microsofts zu sein. Layer8 kann ich aber nicht ausschließen.

Hat noch jemand eine Idee, was es da haben könnte? Oder vielleicht selbst schon dieses Phänomen?

TIA

tialk

Here to stay

Registered: May 2002
Location: vo/stmk
Posts: 3277

19.12.2023 - 19:41

kann dir keine Lösung bieten, aber security defaults mal ein/ausschalten probieren?
welche Azure Lizenz?

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 10923

19.12.2023 - 22:57

CA Policies gesichert, gelöscht, Security Defaults aktiviert. Und nun lassen sie sich, auch nach erneutem Login, nicht wieder deaktivieren. Mal sehen wies morgen aussieht. Danke für den Tipp!
Lizenz ist Microsoft Entra ID P1, wie bei den anderen auch.

*edit
Hat etwas gedauert bis sich die Security Defaults wieder aktivieren lassen. An dem Problem mit den Authentication Methods hat sich leider nichts geändert.
Ich würde ja gern einen Workaround finden, aber solange sich da gar keine Einstellung speichern lässt, spielts nicht einmal das.

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 10923

20.12.2023 - 23:12

Der Tipp war heiß, am Ende hat es geholfen die Umstellung von Legacy auf Modern Authentication rückzurollen. Ich war der festen Überzeugung den Schritt zurück könnte man nicht mehr machen...
Nach einer kurzen Wartezeit ließ sich auch die Modern Authentication wieder aktivieren und nun rennt alles tadellos. Als Swischenschritt wurden noch alle (Legacy, bzw SSPR) Authentication Methods deaktiviert. Laut Doku ist das zwar nicht der weg, und Legacy und Modern sollten Deckungsgleich sein, aber sind wir uns mal ehrlich, Microsoft Doku ist selten die Realität.

Klar, das Feature wird erst 2025 zum Muss, aber in einem frischen Tenant machte es einen vernünftigen Eindruck, die Änderung schon umzusetzen, bevor sich ein Rattenschwanz anhängt. Immerhin ging es bei Anderen ja problemlos.

Hier noch der Link zum vielsagenden "How to migrate MFA and SSPR policy settings to the Authentication methods policy for Microsoft Entra ID"
https://learn.microsoft.com/en-us/e...-methods-manage

Immer wieder geil, wie einen sowas Lebenszeit kostet.

tialk

Here to stay

Registered: May 2002
Location: vo/stmk
Posts: 3277

21.12.2023 - 05:49

gute Sache, da bin ich mir dann fast sicher dass es ein legacy SSPR setting/policy ist/war - danke für die Erinnerung

hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 10923	19.12.2023 - 13:08 Ich steh an, liebe Leute! Vor mir hab ich einen Azure Tenant mit einem seltsamen Fehlerbild. Erstelle ich einen neuen User hat der User keine Möglichkeit MFA einzurichten, sondern wird aufgefordert CBA zu verwenden. Da denkt man sich, na dann dreh ich CBA eben ab, kein Thema. Nur funktioniert das nicht. Folgende äußerst hilfreiche Fehlermeldung bekomm ich vor den Latz geknallt "Saving authentication methods The policy did not save successfully.": Der Fehler tritt bei allen möglichen Einstellungen im Authentication methods Menü auf. Es lassen sich also keine - absolut keine - Einstellungen ändern. Wahrscheinlich seit August schon, wie wir die Authentication Methods von Legacy auf Unified Policy umgestellt haben. Das dürfte unter gegangen sein, weil keine neuen User dazu kamen. Für die bestehenden User, die schon einen Authenticator oder Anderes eingerichtet haben, hat sich nichts geändert. Als Workaround wird manuell bei jedem neuen User eine Authentication method hinterlegt. Seit einem Monat läuft nun da Support Ticket bei MS und mittlerweile durfte ich den dritten Support-Techniker von Vorne erklären was da abgeht. Wissenswertes: Security Defaults sind deaktiviert Conditional Access Policies habe ich derweil ausgeschlossen Per User MFA hat keinen Einfluss (works as intended, afaik) Identity Protection, Conditional Access, Authentication Methods und Password Reset habe ich abgeglichen bei zwei anderen Tenants, wo zur selben Zeit die Änderung erfolgreich durchgeführt wurde. Also es scheint eine Bug seitens Microsofts zu sein. Layer8 kann ich aber nicht ausschließen. Hat noch jemand eine Idee, was es da haben könnte? Oder vielleicht selbst schon dieses Phänomen? TIA
tialk Here to stay Registered: May 2002 Location: vo/stmk Posts: 3277	19.12.2023 - 19:41 kann dir keine Lösung bieten, aber security defaults mal ein/ausschalten probieren? welche Azure Lizenz?
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 10923	19.12.2023 - 22:57 CA Policies gesichert, gelöscht, Security Defaults aktiviert. Und nun lassen sie sich, auch nach erneutem Login, nicht wieder deaktivieren. Mal sehen wies morgen aussieht. Danke für den Tipp! Lizenz ist Microsoft Entra ID P1, wie bei den anderen auch. *edit Hat etwas gedauert bis sich die Security Defaults wieder aktivieren lassen. An dem Problem mit den Authentication Methods hat sich leider nichts geändert. Ich würde ja gern einen Workaround finden, aber solange sich da gar keine Einstellung speichern lässt, spielts nicht einmal das.
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 10923	20.12.2023 - 23:12 Der Tipp war heiß, am Ende hat es geholfen die Umstellung von Legacy auf Modern Authentication rückzurollen. Ich war der festen Überzeugung den Schritt zurück könnte man nicht mehr machen... Nach einer kurzen Wartezeit ließ sich auch die Modern Authentication wieder aktivieren und nun rennt alles tadellos. Als Swischenschritt wurden noch alle (Legacy, bzw SSPR) Authentication Methods deaktiviert. Laut Doku ist das zwar nicht der weg, und Legacy und Modern sollten Deckungsgleich sein, aber sind wir uns mal ehrlich, Microsoft Doku ist selten die Realität. Klar, das Feature wird erst 2025 zum Muss, aber in einem frischen Tenant machte es einen vernünftigen Eindruck, die Änderung schon umzusetzen, bevor sich ein Rattenschwanz anhängt. Immerhin ging es bei Anderen ja problemlos. Hier noch der Link zum vielsagenden "How to migrate MFA and SSPR policy settings to the Authentication methods policy for Microsoft Entra ID" https://learn.microsoft.com/en-us/e...-methods-manage Immer wieder geil, wie einen sowas Lebenszeit kostet.
tialk Here to stay Registered: May 2002 Location: vo/stmk Posts: 3277	21.12.2023 - 05:49 gute Sache, da bin ich mir dann fast sicher dass es ein legacy SSPR setting/policy ist/war - danke für die Erinnerung

Azure MFA Trouble

Forum Index > Software > Windows

hynk

tialk

hynk

hynk

tialk