Welke gebruiker gebruikt (nog) SMS of bellen als standaard MFA-methode?

"Het gebruik van de Authenticator app is de meest effectieve en veilige methode van alle MFA-methodes"

Joey Verlinden

Blog
maandag 28 maart 2022

Sinds een paar weken is de preview van Azure AD-aanbevelingen beschikbaar. Bij het doornemen van de aanbevelingen kwam naar boven dat sommige gebruikers vorige week SMS of spraakoproep als MFA-methode (multi-factor authenticatie) hebben gebruikt. Deze methode is nog steeds een secundaire methode. Is dit een fout of hadden de gebruikers om een of andere reden geen toegang tot hun Authenticator app?

Het gebruik van de Authenticator app is de meest effectieve en veilige methode van alle MFA-methodes. Het was daarom noodzakelijk dat we uitzochten welke gebruikers hier nog geen gebruik van maakte.

Na wat onderzoek vond ik deze scripts die zijn gebouwd door Microsoft. Met deze scripts kunt u alle gebruikers en de standard MFA-methode uitlezen. Voorbeelden van hoe deze scripts gebruikt kunnen worden zijn hieronder te vinden.

Voorbeelden (PowerShell)

Onderstaand voorbeeld toont aanbevelingen voor alle gebruikers binnen de tenant:

.\MfaAuthMethodAnalysis.ps1 -TenantId 9959f32b-837b-41db-b6e5-32277e344292

Onderstaand voorbeeld toont aanbevelingen per gebruiker binnen een Azure AD groep:

.\MfaAuthMethodAnalysis.ps1 -TenantId 9959f32b-837b-41db-b6e5-32277e344292 -TargetGroup 6424cd24-ee16-472f-bad6-85427c9febc2

Maakt een CSV-bestand met datum en tijd in de map waar het script wordt uitgevoerd. Aanbevelingen zijn zichtbaar in de Powershell console en het CSV bestand:

.\MfaAuthMethodAnalysis.ps1 -TenantId 9959f32b-837b-41db-b6e5-32277e344292 -LocationInfo -CsvOutput

Output

Ik geef voorkeur aan optie 3, die logging laat zien in PowerShell en daarnaast een CSV-bestand maakt met alle details. Het CSV-bestand ziet er vervolgens uit zoals in onderstaande afbeelding. Er is een filter toegepast die alle gebruikers laat zien die de Authenticator app niet als standaardmethode gebruiken.

De onderstaande afbeelding toont de gebruikers die 3, 4 of 5 authenticatiemethoden (MfaAuthMethodCount) hebben geconfigureerd, maar de Authenticator-app nog steeds niet als standaard MFA-methode gebruiken. Deze gebruikers kunnen met weinig moeite hun standaardmethode wijzigen. Gebruikers die slechts 1 of 2 MFA-methoden hebben, zullen eerst de Authenticator-app moeten instellen!

Opmerking: alle gebruikers met ‘PhoneAppNotification’, ‘PhoneAppOTP’ gebruiken de Authenticator-app. Gebruikers met ‘OneWaySMS’, ‘TwoWayVoiceMobile’ of ‘TwoWayVoiceOffice’ worden aangeraden om de standaardmethode te wijzigen via aka.ms/mfasetup.