Ik snap dat je moe wordt van zó vaak MFA moeten doorlopen, maar voor mijn gevoel is dit wel een beetje symptoom-bestrijding. Zoals The Eagle ook aangeeft, ik zou eens vragen: waarom zijn die 5x nodig?
Ondertussen heb ik vrij aardig wat implementaties van (moderne) werkplekken en het identity-stuk erachter gedaan, en het klinkt alsof dit een beetje overkill is. Normalerwijs is de standaard die overal zie: Kom je van een compliant device, dan hoef je geen MFA te doen want dan telt je device en het feit dat die in beheer en onder controle is als je extra factor. Is je device beheerd? Zo ja, dan zou je kunnen vragen of het beheer-team dat mogelijk in kan richten?
Daarnaast is ook al een paar keer "passwordless" genoemd. Hoewel je nog steeds je Authenticator-app nodig zult hebben kun je "Aanmelding via de telefoon" ("Enable phone sign-in" in engels) aanzetten in je Authenticator; op Apple kan dat op meerdere accounts, op Android voor nu maar op eentje (opmeer komt er ~dit kwartaal aan). Dat maakt aanloggen eenvoudiger, minder acties nodig maar veiliger.
En als laatste komt er passkey-ondersteuning aan op zeer korte termijn voor de Authenticator, maakt dingen weer iets gemakkelijker (en phishing resistant).
Anyway: Ik zou eens vragen bij IT of ze die compliance-check: òf MFA, òf compliant device (of Hybrid Azure AD Joined check, als ze nog geen compliance ondersteunen) kunnen implementeren, dan heb je meteen de bron te pakken. Daarmee help je ook meteen je collega's
Vwb de FIDO2-keys, een biometrische spaart je "gedoe" uit met authenticeren, een traditionele heeft nog altijd een PIN nodig voor authenticatie, dus maakt het proces bewerkelijker. Biometrische FIDO2's zijn bijvoorbeeld de Yubico Yubikey Bio en FEITIAN BioPass FIDO2 Plus. Mijn ervaring is wel dat Yubico solide, robuust (kan in een wasmachine en werkt daarna nog) en goed ondersteund is, FEITIAN... Tja, not so much, maar wel goedkoper.
Hope it helps
I see dead pixels...