Warum die neue MFA Registrierung deinen Benutzern hilft
Die neue Webseite für die kombinierten Registrierung von Sicherheitsinformationen, wie Microsoft sie offiziell bezeichnet, ermöglicht es den Benutzern MFA einzurichten und die notwendigen Informationen für den Selfservice Password Reset (SSPR).
Sie ist auch Voraussetzung für die Einrichtung von FIDO2 Security Schlüsseln, dem Einsatz von “User actions” in Conditional Access Policies und wird sicher auch für neue Zweifaktor-Methoden erforderlich sein.
Diese Änderungen sind aber auf den ersten Blick keine Vorteile für den einzelnen Anwender.
Aber gerade für Firstline Worker, also Benutzer nur mit einem mobilen Endgerät, bringt der Wechsel ein stark verbessertes Benutzererlebnis bei der Ersteinrichtung von MFA.
Legacy Modus
Der folgende Screenshot zeigt beispielhaft wie die Einrichtung eines zweiten Faktors auf einem mobilen Endgerät aussieht.
Der Prozess ist alles andere als benutzerfreundlich und die Einrichtung des Microsoft Authenticators erfordert zusätzlich das manuelle Kopieren der angezeigten Daten in die App. Spätestens hier hat man den normalen Anwender verloren. Die Variante mit der Telefonnummer als zweiter Faktor ist dabei noch die einfachste Möglichkeit, da hier der Browser nicht verlassen werden muss.
Doch auch bei dieser Lösung muss der Anwender die Größe manuell anpassen, um überhaupt etwas erkennen zu können.
Neue kombinierte Registrierung
Microsoft hat aus dem Kundenfeedback gelernt und in die neue UI so gestaltet das sie auf einem Smartphone ohne Probleme zu bedienen ist. Die Oberfläche wird modern und intuitiv.
Es ist selbst beim Einrichten der Authenticator App ein durchgehend flüssiger Ablauf. Es reicht einen Link anzuklicken, um direkt die Authenticator App zu öffnen und das Konto hinzuzufügen.
Wichtig Informationen
Für die Ersteinrichtung sollte unbedingt der Browser des Smartphones genutzt werden.
Bei der Ersteinrichtung über eine App wie z.B. Teams oder Yammer ist es bei iOS und einigen Android Geräten (z.B. Samsung) nicht möglich die Authenticator App sauber aus dem Workflow aufzurufen.
Gib deinen Anwendern den Short-Link https://aka.ms/mfasetup an die Hand, um für die Ersteinrichtung den größtmöglichen Benutzerkomfort zu garantieren.
Für die Verwaltung der bisher eingerichteten MFA Daten kann der Kurzlink https://aka.ms/mysecurityinfo genutzt werden.
Aktivierung der kombinierten Registrierung
Die neue Oberfläche kann im Azure Portal -> “User Settings” -> “Manage user feature preview settings” aktiviert werden.
Dazu einfach den Punkt “Users can use the combined security information registration experience” auf “All” einstellen.
Wenn gewünscht kann dies auch erstmal an einem kleinen Benutzerkreis getestet werden. Dabei ist zu beachten das nur eine einzige Gruppe ausgewählt werden kann. Es empfiehlt sich also einen extra Gruppe zu nutzen.