Aktivieren von Azure AD Multi-Factor Authentication - Microsoft Entra (2023)

Bei der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) wird vom Benutzer im Rahmen eines Anmeldeereignisses eine zusätzliche Art der Identifizierung angefordert. Dabei kann es sich beispielsweise um die Eingabe eines Codes auf dem Smartphone oder um einen Fingerabdruckscan handeln. Durch Erzwingen einer zweiten Form der Identifizierung wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.

Mithilfe von AzureAD Multi-Factor Authentication und Richtlinien für bedingten Zugriff kann der Benutzer während bestimmter Anmeldeereignisse flexibel zur MFA aufgefordert werden. Einen Überblick über die MFA erhalten Sie im Video Konfigurieren und Erzwingen der mehrstufigen Authentifizierung in Ihrem Mandanten.

In diesem Tutorial lernen Sie Folgendes:

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein funktionierender AzureAD-Mandant mit aktivierter AzureAD PremiumP1- oder Testlizenz.

  • Sie können einen Mandanten kostenlos erstellen, falls erforderlich.

• Ein Konto mit den Berechtigungen Bedingter Zugriff Administrator, Sicherheitsadministrator oder Globaler Administrator. Einige MFA-Einstellungen können auch von einem Authentifizierungsrichtlinienadministrator verwaltet werden. Weitere Informationen finden Sie unter Authentifizierungsrichtlinienadministrator.

• Ein Nicht-Administratorkonto mit einem Ihnen bekannten Kennwort. Für dieses Tutorial haben wir ein solches Konto mit dem Namen testuser erstellt. In diesem Tutorial testen Sie die Endbenutzerumgebung im Hinblick auf das Konfigurieren und Verwenden von AzureAD Multi-Factor Authentication.

  • Informationen zum Erstellen eines Benutzerkontos finden Sie unter Hinzufügen oder Löschen von Benutzern mit AzureActiveDirectory.

• Eine Gruppe, der der Benutzer ohne Administratorrechte angehört. Für dieses Tutorial haben wir eine solche Gruppe mit dem Namen MFA-Test-Group erstellt. In diesem Tutorial wird AzureAD Multi-Factor Authentication für diese Gruppe aktiviert.

  • Weitere Informationen zum Erstellen einer Gruppe finden Sie unter Erstellen einer einfachen Gruppe und Hinzufügen von Mitgliedern mithilfe von Azure Active Directory.

Erstellen der Richtlinie für bedingten Zugriff

Es empfiehlt sich, AzureAD Multi-Factor Authentication mit Richtlinien für bedingten Zugriff zu aktivieren. Der bedingte Zugriff ermöglicht das Erstellen und Definieren von Richtlinien, die auf Anmeldeereignisse reagieren und zusätzliche Aktionen anfordern, bevor einem Benutzer der Zugriff auf eine Anwendung oder einen Dienst gewährt wird.

Richtlinien für bedingten Zugriff können auf bestimmte Benutzer, Gruppen und Apps angewendet werden. Ziel ist es, Ihre Organisation zu schützen und gleichzeitig die richtigen Zugriffsebenen für die Benutzer bereitzustellen, die Zugriff benötigen.

In diesem Tutorial wird eine einfache Richtlinie für bedingten Zugriff erstellt, um die MFA zu initiieren, wenn sich ein Benutzer beim Azure-Portal anmeldet. In einem späteren Tutorial dieser Reihe wird AzureAD Multi-Factor Authentication mithilfe einer risikobasierten Richtlinie für bedingten Zugriff konfiguriert.

Erstellen Sie zunächst eine Richtlinie für bedingten Zugriff, und weisen Sie Ihre Benutzertestgruppe zu:

1. Melden Sie sich mit dem Konto mit den Berechtigungen vom Typ Globaler Administrator beim Azure-Portal an.

2. Suchen Sie nach Azure Active Directory, und wählen Sie diese Option aus. Wählen Sie dann im Menü links die Option Sicherheit aus.

3. Wählen Sie Bedingter Zugriff, + Neue Richtlinie und dann Neue Richtlinie erstellen aus.

   

4. Geben Sie einen Namen für die Richtlinie ein (beispielsweise MFAPilot).

5. Wählen Sie im Bereich Zuweisungen unter Benutzer oder Workloadidentitäten den aktuellen Wert aus.

   

6. Überprüfen Sie, ob unter Wofür gilt diese Richtlinie? die Option Benutzer und Gruppen ausgewählt ist.

7. Wählen Sie unter Einschließen die Option Benutzer und Gruppen auswählen und dann Benutzer und Gruppen aus.

   

   Die (im nächsten Schritt angezeigte) Liste der Benutzer und Gruppen wird automatisch geöffnet, da noch keine Benutzer und Gruppen zugewiesen sind.

8. Navigieren Sie zu Ihrer AzureAD-Gruppe (etwa MFA-Test-Group), und wählen Sie die Gruppe und anschließend Auswählen aus.

   

Wir haben die Gruppe ausgewählt, auf die die Richtlinie angewendet werden soll. Im nächsten Abschnitt konfigurieren wir die Bedingungen für die Anwendung der Richtlinie.

Konfigurieren der Bedingungen die mehrstufige Authentifizierung

Nachdem Sie nun die Richtlinie für bedingten Zugriff erstellt und eine Benutzertestgruppe zugewiesen haben, müssen die Cloud-Apps oder -aktionen zum Auslösen der Richtlinie definiert werden. Bei diesen Cloud-Apps oder -aktionen handelt es sich um Szenarios, die eine zusätzliche Verarbeitung erfordern sollen, wie etwa die Aufforderung zur mehrstufigen Authentifizierung. So können Sie beispielsweise festlegen, dass für den Zugriff auf eine Finanzanwendung oder für die Verwendung von Verwaltungstools eine zusätzliche Authentifizierung erforderlich ist.

Konfigurieren von Apps mit mehrstufiger Authentifizierung

Konfigurieren Sie die Richtlinie für bedingten Zugriff in diesem Tutorial so, dass die mehrstufige Authentifizierung erforderlich ist, wenn sich ein Benutzer beim Azure-Portal anmeldet.

1. Wählen Sie unter Cloud-Apps oder -aktionen den aktuellen Wert aus, und überprüfen Sie dann unter Wählen Sie aus, worauf diese Richtlinie angewendet werden soll., ob die Option Cloud-Apps ausgewählt ist.

2. Wählen Sie unter Einschließen die Option Apps auswählen aus.

   Die (im nächsten Schritt angezeigte) App-Liste wird automatisch geöffnet, da noch keine Apps zugewiesen sind.

   Tipp

   Sie können auswählen, ob die Richtlinie für bedingten Zugriff auf alle Cloud-Apps (Alle Cloud-Apps) oder nur auf bestimmte Apps (Apps auswählen) angewendet werden soll. Sie haben auch die Möglichkeit, bestimmte Apps aus der Richtlinie auszuschließen.

3. Durchsuchen Sie die Liste der verfügbaren Anmeldeereignisse, die verwendet werden können. Wählen Sie für dieses Tutorial die Option MicrosoftAzure-Verwaltung aus, sodass die Richtlinie auf Anmeldeereignisse im Zusammenhang mit dem Azure-Portal angewendet wird. Wählen Sie anschließend Auswählen aus.

   

Konfigurieren der mehrstufigen Authentifizierung für den Zugriff

Als Nächstes konfigurieren wir die Zugriffssteuerungen. Mit Zugriffssteuerungen können Sie die Anforderungen definieren, die erfüllt sein müssen, damit einem Benutzer Zugriff gewährt wird. Dazu müssen sie möglicherweise eine genehmigte Client-App oder ein in AzureADHybrid eingebundenes Gerät verwenden.

In diesem Tutorial konfigurieren Sie die Zugriffssteuerungen so, dass die mehrstufige Authentifizierung während eines Anmeldeereignisses beim Azure-Portal erforderlich ist.

1. Wählen Sie im Bereich Zugriffssteuerungen unter Gewähren den aktuellen Wert aus, und klicken Sie dann auf Zugriff gewähren.

   

2. Wählen Sie Erfordert mehrstufige Authentifizierung aus, und klicken Sie dann Auswählen.

   

Aktivieren der Richtlinie

Richtlinien für bedingten Zugriff können auf Nur Bericht festgelegt werden, wenn Sie ermitteln möchten, welche Auswirkungen die Konfiguration auf die Benutzer hätte, oder auf Aus, wenn Sie die Richtlinie nicht sofort verwenden möchten. Da in diesem Tutorial eine Benutzertestgruppe als Zielgruppe verwendet wird, aktivieren wir als Nächstes die Richtlinie und testen anschließend AzureAD Multi-Factor Authentication.

1. Wählen Sie unter Richtlinie aktivieren die Option An aus.

   

2. Wählen Sie Erstellen aus, um die Richtlinie für bedingten Zugriff anzuwenden.

Testen von AzureAD Multi-Factor Authentication

In diesem Abschnitt sehen wir uns die Richtlinie für bedingten Zugriff sowie AzureAD Multi-Factor Authentication in Aktion an.

Melden Sie sich zunächst bei einer Ressource an, für die keine MFA erforderlich ist:

1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://account.activedirectory.windowsazure.com.

   Die Verwendung eines privaten Modus für Ihren Browser verhindert, dass sich vorhandene Anmeldeinformationen auf dieses Anmeldeereignis auswirken.

2. Melden Sie sich mit Ihrem Testbenutzer ohne Administratorrechte an (beispielsweise testuser). Achten Sie darauf, dass Sie @ und den Domänennamen für das Benutzerkonto einschließen.

   Wenn Sie sich zum ersten Mal bei diesem Konto anmelden, werden Sie aufgefordert, das Kennwort zu ändern. Es gibt jedoch keine Aufforderung, die mehrstufige Authentifizierung zu konfigurieren oder zu verwenden.

3. Schließen Sie das Browserfenster.

Sie haben die Richtlinie für bedingten Zugriff so konfiguriert, dass eine zusätzliche Authentifizierung für die Azure-Portal erforderlich ist. Aufgrund dieser Konfiguration werden Sie aufgefordert, AzureAD Multi-Factor Authentication zu verwenden oder eine Methode zu konfigurieren, sofern dies noch nicht geschehen ist. Testen Sie diese neue Anforderung, indem Sie sich beim Azure-Portal anmelden:

1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und melden Sie sich beim Azure-Portal an.

2. Melden Sie sich mit Ihrem Testbenutzer ohne Administratorrechte an (beispielsweise testuser). Achten Sie darauf, dass Sie @ und den Domänennamen für das Benutzerkonto einschließen.

   Sie müssen sich für AzureAD Multi-Factor Authentication registrieren und die mehrstufige Authentifizierung verwenden.

   

3. Klicken Sie auf Weiter, um den Prozess zu starten.

   Sie können ein Telefon für Authentifizierung, ein Bürotelefon oder eine mobile App für die Authentifizierung konfigurieren. Das Telefon für Authentifizierung unterstützt SMS und Telefonanrufe, das Bürotelefon Anrufe an Nummern mit Durchwahl, und die mobile App unterstützt die Verwendung einer mobilen App zum Empfangen von Benachrichtigungen für die Authentifizierung oder zum Generieren von Authentifizierungscodes.

   

4. Führen Sie die Anweisungen auf dem Bildschirm aus, um die von Ihnen ausgewählte Methode der mehrstufigen Authentifizierung zu konfigurieren.

5. Schließen Sie das Browserfenster, und melden Sie sich noch mal beim Azure-Portal an, um die von Ihnen konfigurierte Authentifizierungsmethode zu testen. Wenn Sie beispielsweise eine mobile App für die Authentifizierung konfiguriert haben, sollte eine Eingabeaufforderung wie die folgende angezeigt werden.

   

6. Schließen Sie das Browserfenster.

Bereinigen von Ressourcen

Wenn Sie die Richtlinie für bedingten Zugriff, die im Rahmen dieses Tutorials zum Aktivieren von AzureMulti-Factor Authentication konfiguriert wurde, nicht mehr benötigen, löschen Sie die Richtlinie wie folgt:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie anschließend im Menü auf der linken Seite die Option Sicherheit aus.

3. Wählen Sie Bedingter Zugriff und dann die erstellte Richtlinie (z.B. MFA Pilot) aus.

4. Wählen Sie Löschen aus, und bestätigen Sie den Löschvorgang der Richtlinie.

   

Nächste Schritte

In diesem Tutorial haben Sie AzureAD Multi-Factor Authentication mithilfe von Richtlinien für bedingten Zugriff für eine ausgewählte Benutzergruppe aktiviert. Sie haben Folgendes gelernt: