MFA Bypass bei automatischem iOS und Android Enrollment
Ist im M365-Tenant global MFA per Conditional Access aktiviert, bewirkt das Automated Device Enrollment mit Single App Mode von iOS Geräten und das Enterprise Zero Touch Enrollment von Android Geräten, dass der User den Enrollment Prozess nicht abschließen kann. Das Gerät ist in diesem Zustand komplett gesperrt, sodass weder per Bestätigungsanruf, noch per SMS Code die MFA durchgeführt werden kann.
Um die Geräte in Intune zu registrieren, muss für den Registrierungsprozess MFA deaktiviert werden.
Conditional Access
Hierzu ist die Conditional Access Policy, die für MFA zuständig ist, angepasst werden. In den angewendeten Cloud Apps müssen zwei Apps für Intune vom MFA ausgeschlossen werden:
| App Name | App ID |
|---|---|
| Microsoft Intune | 0000000a-0000-0000-c000-000000000000 |
| Microsoft Intune Enrollment | d4ebce55-015a-49b5-a083-c84d1797ae8c |
Device Settings
Zwar sollte bei der Nutzung von Conditional Access Policies für die MFA Anforderung in den Device Settings die MFA Anforderung für Geräteregistrierungen schon deaktiviert sein, trotzdem sollte man dies ebenfalls nochmals prüfen und ggf. korrekt einstellen:
Warum müssen beide Intune Apps ausgeschlossen werden? Enrollment ist klar, aber „Microsoft Intune“ verstehe ich nicht ganz.
Hallo.
Laut https://learn.microsoft.com/en-us/mem/intune/enrollment/multi-factor-authentication wird sowohl bei der Cloud App „Microsoft Intune Enrollment“ als auch bei „Microsoft Intune“ durch den Setup Assistant beim Enrollment die MFA angefordert. Daraus ergibt sich im Umkehrschluss, dass diese beiden Cloud Apps von der Conditional Access Policy für die MFA ausgenommen werden müssen. Warum das so ist, kann aber wohl nur Microsoft beantworten.
Gruß
Andreas