MFA Bypass bei automatischem iOS und Android Enrollment

Ist im M365-Tenant global MFA per Conditional Access aktiviert, bewirkt das Automated Device Enrollment mit Single App Mode von iOS Geräten und das Enterprise Zero Touch Enrollment von Android Geräten, dass der User den Enrollment Prozess nicht abschließen kann. Das Gerät ist in diesem Zustand komplett gesperrt, sodass weder per Bestätigungsanruf, noch per SMS Code die MFA durchgeführt werden kann.

Um die Geräte in Intune zu registrieren, muss für den Registrierungsprozess MFA deaktiviert werden.

Conditional Access

Hierzu ist die Conditional Access Policy, die für MFA zuständig ist, angepasst werden. In den angewendeten Cloud Apps müssen zwei Apps für Intune vom MFA ausgeschlossen werden:

App NameApp ID
Microsoft Intune0000000a-0000-0000-c000-000000000000
Microsoft Intune Enrollmentd4ebce55-015a-49b5-a083-c84d1797ae8c
Conditional Access Policy
Conditional Access Policy
Device Settings

Zwar sollte bei der Nutzung von Conditional Access Policies für die MFA Anforderung in den Device Settings die MFA Anforderung für Geräteregistrierungen schon deaktiviert sein, trotzdem sollte man dies ebenfalls nochmals prüfen und ggf. korrekt einstellen:

Device Settings
Device Settings

2 Antworten

  1. Pete sagt:

    Warum müssen beide Intune Apps ausgeschlossen werden? Enrollment ist klar, aber „Microsoft Intune“ verstehe ich nicht ganz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.