Hallo,
ich kann nur die ersten 10 Accounts ausnehmen, alle darunter aufgeführten Useraccounts aber nicht mehr.
Wie wäre mein Wunschvorgehen gewesen:
- Ich aktiviere MFA global und habe dann die Auswahl, ob ich alle Mitarbeiter auf einmal oder einen nach dem anderen “scharf” schalte.
- Ich sollte steuern können, ob der Reserve-Schlüssel an die User ausgegeben wird oder nicht. Der stellt nämlich ein Sicherheitsrisiko dar. Den kann sich keiner merken und notiert ihn. Wenn man Glück hat handschriftlich und nicht in einer Textdatei am PC, die noch entsprechend benannt ist.
- Für Admin-Konten macht der Reserve-Schlüssel durchaus Sinn, damit man einen Notfallzugang hat. Aber da kommt das Papierstück auch in den Tresor.
Ansonsten funktionierte im ersten Test das ganze schon gut. Wir nutzen heylogin als Passwortmanager mit biometrischer Absicherung. Der speichert auch den TOTP und erkennt den QR-Code sofort.
Live-Gang mit der MFA ist nächste Woche, dann halt alle Mitarbeiter auf einmal. Hab sie schon vorgewarnt und empfohlen den alten MFA-Schlüssel zu löschen (wir hatten TOTP schon on premises aktiv und sind froh, dass es wieder geht).
Hi zusammen,
kurze Info: wir schauen uns gerade an, woran es liegt, dass einzelne Nutzer von der MFA-Anforderung nicht ausgenommen werden können.
Viele Grüße
Markus
Hi zusammen,
wir haben etwas auf unserer Seite angepasst, jetzt sollte es auch für die User klappen, die bislang nicht vom MFA ausgenommen werden konnten. Ein Update der Instanz ist nicht notwendig. Bitte gebt mir Bescheid, sollte noch was sein.
Viele Grüße
Markus