Voor opleidingsdoeleinden heb ik een Microsoft 365 Business Standard abonnement. Op dit abonnement is Azure Active Directory door mij ingericht. Op 14 maart 2023 ontving ik een e-mail bericht van Microsoft, speciaal voor beheerders (admins / administrators). Het bericht waarschuwde mij dat Microsoft de standaarden voor de beveiliging van admin accounts op Azure AD (uiteindelijk) automatisch zou aanscherpen. Het bericht bevatte een link die ervoor zou zorgen dat de aangescherpte beveiliging direct in zou gaan. We leren altijd om natuurlijk nooit zomaar op links te klikken; ook al was het een legitieme link van Microsoft. De e-mail verweest (verwijst) naar documentatie, die beter eerst gelezen kan worden.
Wat was er vervolgens aan de hand?
- Ik ben (dus) admin / administrator op mijn Azure Active Directory
- Ik had (blijkbaar) multifactor authentication op mijn account (admin) aanstaan.
- De default manier van verifiëren was de Microsoft Authenticator App
- Dit heb ik ooit op mijn oude mobiele telefoon ingesteld, maar nooit echt werkend gekregen
- Door de aanscherping van aanmelden voor Admins bij Azure AD, was verifiëren met de Authenticator App nu ‘opeens’ wél actief; op mijn oude (!) toestel
De oplosssing
Voordat Microsoft wordt gebeld, kunnen eerst nog de volgende stappen worden geprobeerd:
- Ben je NIET de enige global administrator, vraag een collega global administrator om hulp.
- Ben je nog ergens op een machine met je account ingelogd? Zo ja, ga daar naar het admin paneel en los het probleem op
-
Microsoft bellen, dus. Dat ging niet helemaal zonder ‘slag of stoot’. Er zijn een aantal voorwaarden van toepassing voordat je kunt bellen, en die zijn:
- Technische ondersteuning is uitsluitend in het Engels en mijn ervaring is dat het Engels uitstekend is (dus geen Indiase call centra; met alle respect voor wat ze proberen)
- Je moet global administrator van het domein zijn
- Je hebt het inlogaccount van het administrator account nodig
- Je hebt het mobiele nummer nodig wat aan het inlogaccount is gekoppeld
- Je hebt het alternatieve e-mail adres nodig wat je aan je account hebt gekoppeld nodig (heb je dat niet? Doe dat dan! Er is een reden voor!)
De procedure
De procedure die Microsoft volgt, is de volgende:- Voldoe aan de voorwaarden die hierboven zijn vermeld; ze zijn strikt; en terecht!
- Zoek het lokale telefoonnummer van Microsoft op (directe link naar het telefoonnummer)
- Bel dat nummer en kies voor technische support voor Microsoft 365
- Je krijgt dan een support agent die de call aanmaakt en wat gegevens van je noteert
- Zijn alle vragen goed beantwoord, dan wordt je met iemand van het Data Protection Team doorverbonden
- Zij hebben dan ook weer wat vragen voor je; na het beantwoorden van die vragen, zal je worden teruggebeld. Ik werd de volgende dag teruggebeld
- Iemand van het Data Protection Team belt je terug en stelt nog wat vragen; hij/zij zal dan het gesprek beëindigen omdat ze een account reset moeten uitvoeren. Ze bellen dan binnen zo’n half uur terug (duurde bij mij een paar minuten langer)
- Je wordt teruggebeld en door het proces heen geleid; in deze fase is het belangrijk goed te luisteren en zo min mogelijk weerstand te bieden (dus geen “ja maar”!). Ze weten écht precies waar ze mee bezig zijn
- Uiteindelijk is je account weer vrij én hebben ze je geholpen met eventuele instellingen
Handige links (in het Engels)
Work or school account help (informatie over AD accounts)
Common problems with two-step verification for a work or school account
What to do if you lose your phone with an authenticator app (Kaspersky website)