Planen einer Azure Active Directory Multi-Factor Authentication-Bereitstellung

Mit Azure Active Directory (Azure AD) Multi-Factor Authentication (mehrstufige Authentifizierung) wird der Zugriff auf Daten und Anwendungen durch die Bereitstellung einer weiteren Sicherheitsebene unter Verwendung einer zweiten Authentifizierungsform geschützt. Organisationen können die mehrstufige Authentifizierung (MFA) mit bedingtem Zugriff aktivieren, um die Lösung an ihre spezifischen Anforderungen anzupassen.

In diesem Bereitstellungsleitfaden wird gezeigt, wie Sie einen Rollout von Azure AD Multi-Factor Authentication planen und implementieren können.

Voraussetzungen für die Bereitstellung von Azure AD Multi-Factor Authentication

Bevor Sie mit der Bereitstellung beginnen, sollten Sie sich vergewissern, dass die folgenden Voraussetzungen für die jeweiligen Szenarios erfüllt sind.

Szenario Voraussetzung
Nur Cloud-Identitätsumgebung mit moderner Authentifizierung Keine erforderlichen Aufgaben
Hybrididentitätsszenarios Bereitstellen von Azure AD Connect und Synchronisieren der Benutzeridentitäten zwischen lokalen Active Directory Domain Services (AD DS) und Azure AD
Für den Cloudzugriff veröffentlichte lokale ältere Anwendungen Bereitstellen eines Azure AD-Anwendungsproxys

Auswählen der Authentifizierungsmethoden für die mehrstufige Authentifizierung

Es gibt viele Methoden, die für eine zweistufige Authentifizierung verwendet werden können. Sie können die in der Liste der verfügbaren Authentifizierungsmethoden auf ihre Sicherheit, Benutzerfreundlichkeit und Verfügbarkeit hin prüfen und eine Methode auswählen.

Wichtig

Aktivieren Sie mehrere MFA-Methoden, sodass Benutzer eine Methode in der Hinterhand haben, falls deren hauptsächlich verwendete Methode nicht verfügbar ist. Die Methoden umfassen:

Berücksichtigen Sie bei der Auswahl der Authentifizierungsmethoden, die in Ihrem Mandanten verwendet werden sollen, die Sicherheit und Benutzerfreundlichkeit dieser Methoden:

Auswählen der richtigen Authentifizierungsmethode

Weitere Informationen zur Leistungsfähigkeit und Sicherheit dieser Methoden und ihrer Funktionsweise finden Sie in den folgenden Ressourcen:

Sie können dieses PowerShell-Skript verwenden, um die MFA-Konfigurationen der Benutzer zu analysieren und eine geeignete MFA-Authentifizierungsmethode vorzuschlagen.

Ein optimales Maß an Flexibilität und Benutzerfreundlichkeit bietet die Microsoft Authenticator-App. Diese Authentifizierungsmethode bietet die bestmögliche Benutzererfahrung und verfügt über mehrere Modi, z. B. kennwortlose Authentifizierung, MFA-Pushbenachrichtigungen und OATH-Codes. Die Microsoft Authenticator-App erfüllt auch die Anforderungen für den Authenticator-Vertrauensgrad 2 des National Institute of Standards and Technology.

Sie können die in Ihrem Mandanten verfügbaren Authentifizierungsmethoden steuern. So sollten Sie beispielsweise besonders unsichere Methoden wie SMS blockieren.

Authentifizierungsmethode Verwalten über Bereichsdefinition
Microsoft Authenticator (Pushbenachrichtigung und kennwortlose Anmeldung per Telefon) MFA-Einstellungen oder Authentifizierungsmethodenrichtlinie Die in Authenticator verfügbare kennwortlose Anmeldung per Telefon kann auf Benutzer und Gruppen beschränkt werden.
FIDO2-Sicherheitsschlüssel Richtlinien für Authentifizierungsmethoden Kann auf Benutzer und Gruppen beschränkt werden
OATH-Token für Software oder Hardware MFA-Einstellungen
SMS-Verifizierung MFA-Einstellungen
Verwalten der Anmeldung per SMS als primäre Authentifizierung in der Authentifizierungsrichtlinie
Die SMS-Anmeldung kann auf Benutzer und Gruppen beschränkt werden.
Sprachanrufe Richtlinien für Authentifizierungsmethoden

Planen von Richtlinien für bedingten Zugriff

Azure AD Multi-Factor Authentication wird über Richtlinien für bedingten Zugriff erzwungen. Diese Richtlinien ermöglichen es Ihnen, Benutzer zur MFA aufzufordern, wenn sie aus Sicherheitsgründen erforderlich ist, und sie Benutzern zu ersparen, wenn sie nicht erforderlich ist.

Prozessfluss für den konzeptionellen bedingten Zugriff

Im Azure-Portal konfigurieren Sie Richtlinien für bedingten Zugriff unter Azure Active Directory>Sicherheit>Bedingter Zugriff.

Weitere Informationen zum Erstellen von Richtlinien für bedingten Zugriff finden Sie unter Richtlinie für bedingten Zugriff, um zur Azure AD Multi-Factor Authentication aufzufordern, wenn sich ein Benutzer beim Azure-Portal anmeldet. Das hilft Ihnen bei Folgendem:

  • Vertrautwerden mit der Benutzeroberfläche
  • Einführung in die Funktionsweise von bedingtem Zugriff

Einen ausführlichen Leitfaden zur Bereitstellung für bedingten Zugriff in Azure AD finden Sie unter Planen einer Bereitstellung für bedingten Zugriff.

Allgemeine Richtlinien für Azure AD Multi-Factor Authentication

Häufige Anwendungsfälle, die Azure AD Multi-Factor Authentication erfordern, sind folgende:

Benannte Orte

Beim Verwalten der Richtlinien für bedingten Zugriff können Sie mit der Standortbedingung einer Richtlinie für bedingten Zugriff die Einstellungen der Zugriffssteuerung an die Netzwerkstandorte Ihrer Benutzer knüpfen. Es wird empfohlen, benannte Standorte zu verwenden, sodass logische Gruppierungen von IP-Adressbereichen oder Ländern und Regionen erstellt werden können. Daraufhin wird eine Richtlinie für alle Apps erstellt, die die Anmeldung von diesem benannten Standort blockieren. Stellen Sie sicher, dass Ihre Administratoren von dieser Richtlinie ausgenommen sind.

Risikobasierte Richtlinien

Wenn in Ihrer Organisation Azure AD Identity Protection zum Erkennen von Risikosignalen verwendet wird, sollten Sie anstelle von benannten Standorten risikobasierte Richtlinien verwenden. Richtlinien können erstellt werden, um Kennwortänderungen zu erzwingen, wenn die Gefahr besteht, dass Identitäten kompromittiert werden, oder um MFA anzufordern, wenn eine Anmeldung wie z. B. bei kompromittierten Anmeldeinformationen, Anmeldungen über anonyme IP-Adressen usw. als riskant eingestuft wird.

Folgende Risikorichtlinien sind verfügbar:

Konvertieren von Benutzern von „MFA pro Benutzer“ zu „MFA mit bedingtem Zugriff“

Wenn Ihre Benutzer mithilfe von pro Benutzer aktivierter und erzwungener MFA aktiviert wurden, kann Ihnen das folgende PowerShell-Skript bei der Konvertierung in MFA mit bedingtem Zugriff helfen.

Führen Sie diese PowerShell-Instanz in einem ISE-Fenster aus, oder speichern Sie sie zur lokalen Ausführung als .PS1-Datei. Der Vorgang kann nur mithilfe des Moduls MSOnline ausgeführt werden.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Planen der Lebensdauer von Benutzersitzungen

Bei der Planung Ihrer MFA-Bereitstellung müssen Sie überlegen, wie oft Sie die Benutzer zu einer Eingabe auffordern möchten. Benutzer zur Angabe von Anmeldeinformationen aufzufordern, kann häufig sinnvoll erscheinen, sich aber nachteilig auswirken. Wenn Benutzer darin geschult werden, ihre Anmeldeinformationen ohne Nachdenken einzugeben, können sie diese versehentlich in einer böswilligen Eingabeaufforderung für Anmeldeinformationen angeben. Azure AD verfügt über mehrere Einstellungen, mit denen Sie festlegen können, wie häufig sich Benutzer erneut authentifizieren müssen. Machen Sie sich mit den Anforderungen Ihres Unternehmens und Ihrer Benutzer vertraut, und konfigurieren Sie die Einstellungen, die für Ihre Umgebung die beste Kombination bieten.

Es wird empfohlen, Geräte mit primären Aktualisierungstoken (Primary Refresh Tokens, PRT) zu verwenden, um den Ablauf für den Endbenutzer zu verbessern und die Lebensdauer einer Sitzung mit eine Richtlinie für die Anmeldehäufigkeit nur in bestimmten geschäftlichen Anwendungsfällen zu verkürzen.

Weitere Informationen finden Sie unter Optimieren von Aufforderungen zur erneuten Authentifizierung und Grundlegendes zur Sitzungslebensdauer für Azure AD Multi-Factor Authentication.

Planen der Benutzerregistrierung

Ein wichtiger Schritt bei jeder MFA-Bereitstellung ist die Registrierung von Benutzern für die Verwendung von Azure AD Multi-Factor Authentication. Authentifizierungsmethoden wie Sprach- und SMS-Nachrichten ermöglichen die Vorregistrierung, während andere wie die Authenticator App eine Benutzerinteraktion erfordern. Administratoren müssen bestimmen, wie Benutzer ihre Methoden registrieren.

Kombinierten Registrierung für SSPR und Azure AD MFA

Hinweis

Ab dem 15. August 2020 werden alle neuen Azure AD-Mandanten automatisch für die kombinierte Registrierung aktiviert. Mandanten, die nach diesem Datum erstellt wurden, können nicht mehr die Legacy-Registrierungsworkflows verwenden. Nach dem 30. September 2022 werden alle vorhandenen Azure AD-Mandanten automatisch für die kombinierte Registrierung aktiviert.

Es wird empfohlen, dass Organisationen die kombinierte Registrierungsumgebung für Azure AD Multi-Factor Authentication und Self-Service-Kennwortzurücksetzung verwenden. Die Self-Service-Kennwortzurücksetzung ermöglicht Benutzern das sichere Zurücksetzen des Kennworts mithilfe derselben Methoden, die sie für Azure AD Multi-Factor Authentication verwenden. Die kombinierte Registrierung besteht für Endnutzer aus nur einem Schritt. Um sicherzugehen, dass Sie die Funktionalität und die Erfahrung des Endbenutzers verstehen, machen Sie sich mit den Konzepten der kombinierten Registrierung von Sicherheitsinformationen vertraut.

Wichtig ist, dass Sie Benutzer über anstehende Änderungen, Registrierungsanforderungen und ggf. erforderliche Benutzeraktionen informieren. Wir stellen Kommunikationsvorlagen und Benutzerdokumentation bereit, um Ihre Benutzer auf die neue Erfahrung vorzubereiten und eine erfolgreiche Einführung zu gewährleisten. Verweisen Sie Benutzer auf https://myprofile.microsoft.com, damit sie sich registrieren, indem sie auf dieser Seite den Link Sicherheitsinformation auswählen.

Registrierung mit Identity Protection

Azure AD Identity Protection trägt sowohl eine Registrierungsrichtlinie als auch automatische Risikoerkennungs- und Wartungsrichtlinien zu Azure AD Multi-Factor Authentication bei. Mithilfe von Richtlinien können bei Gefahr einer Identitätskompromittierung Kennwortänderungen erzwungen oder eine mehrstufige Authentifizierung (MFA) verlangt werden, wenn eine Anmeldung als riskant eingestuft wird. Wenn Sie Azure AD Identity Protection verwenden, konfigurieren Sie die Azure AD MFA-Registrierungsrichtlinie, um Ihre Benutzer aufzufordern, sich bei ihrer nächsten Anmeldung interaktiv zu registrieren.

Registrierung ohne Identity Protection

Wenn Sie keine Lizenzen zum Aktivieren von Azure AD Identity Protection haben, werden Benutzer aufgefordert, sich das nächste Mal zu registrieren, wenn MFA bei der Anmeldung erforderlich ist. Wenn Sie festlegen möchten, dass Benutzer MFA verwenden müssen, können Sie Richtlinien für bedingten Zugriff verwenden und häufig verwendete Anwendungen wie HR-Systeme als Ziel verwenden. Wenn das Kennwort eines Benutzers kompromittiert wird, könnte es zum Registrieren für MFA verwendet und dabei die Kontrolle über das Konto übernommen werden. Daher wird empfohlen, die Sicherheitsregistrierung mit Richtlinien für bedingten Zugriff zu schützen, indem verlangt wird, dass vertrauenswürdige Geräte und Standorte angegeben werden. Sie können den Prozess weiter schützen, indem Sie zusätzlich einen befristeten Zugriffspass verlangen. Ein von einem Administrator ausgegebener zeitlich begrenzter Passcode, der strenge Authentifizierungsanforderungen erfüllt und zum Integrieren anderer Authentifizierungsmethoden wie kennwortloser Methoden verwendet werden kann.

Erhöhen der Sicherheit registrierter Benutzer

Wenn Sie Benutzer für MFA per SMS oder Sprachanrufe registriert haben, sollten Sie diese auf sicherere Methoden wie die Microsoft Authenticator-App umstellen. Microsoft bietet jetzt eine öffentliche Vorschau der Funktionalität, mit der Sie Benutzer auffordern können, die Microsoft Authenticator-App während der Anmeldung einzurichten. Sie können diese Eingabeaufforderungen nach Gruppen festlegen und auf diese Weise bestimmen, wer zur Eingabe aufgefordert wird, sowie gezielte Kampagnen zur Umstellung von Benutzern auf sicherere Methoden durchführen.

Planen von Wiederherstellungsszenarios

Wie bereits erwähnt, sollten Sie sicherstellen, dass die Benutzer für mehrere MFA-Methoden registriert sind, damit sie entsprechend ausweichen können, wenn eine Methode nicht verfügbar ist. Wenn dem Benutzer keine Methode zum Ausweichen zur Verfügung steht, haben Sie folgende Möglichkeiten:

  • Stellen Sie ihm einen befristeten Zugriffspass zur Verfügung, damit er eigene Authentifizierungsmethoden verwenden kann. Sie können einen befristeten Zugriffspass auch bereitstellen, um einen befristeten Zugriff auf Ressourcen zu ermöglichen.
  • Aktualisieren Sie als Administrator die Methoden des Benutzers. Wählen Sie hierzu im Azure-Portal den Benutzer und die Authentifizierungsmethoden aus, und aktualisieren Sie die Methoden des Benutzers. Benutzerkommunikation

Planen der Integration mit lokalen Systemen

Anwendungen, die sich direkt bei Azure AD authentifizieren und die moderne Authentifizierung nutzen (WS-Fed, SAML, OAuth, OpenID Connect), können die Richtlinien für bedingten Zugriff verwenden. Einige ältere und lokale Anwendungen authentifizieren sich nicht direkt bei Azure AD und erfordern zusätzliche Schritte zur Verwendung von Azure AD Multi-Factor Authentication. Sie können sie integrieren, indem Sie den Azure AD-Anwendungsproxy oder Netzwerkrichtliniendienste verwenden.

Integrieren mit AD FS-Ressourcen

Es wird empfohlen, mit Anwendungen bei der Migration zu Azure AD mit Active Directory Federation Services (AD FS) zu schützen. Wenn Sie diese jedoch noch nicht zu Azure AD migrieren möchten, können Sie den Azure Multi-Factor Authentication-Adapter mit AD FS ab Version 2016 verwenden.

Wenn in Ihrer Organisation ein Verbund mit Azure AD genutzt wird, können Sie sowohl lokal als auch in der Cloud Azure AD Multi-Factor Authentication als Authentifizierungsanbieter mit AD FS-Ressourcen konfigurieren.

RADIUS-Clients und Azure AD Multi-Factor Authentication

Clientanwendungen, für die die RADIUS-Authentifizierung verwendet wird, sollten auf moderne Protokolle wie SAML, Open ID Verbinden oder OAuth auf Azure AD umgestellt werden. Wenn die Anwendung nicht aktualisiert werden kann, können Sie den Netzwerkrichtlinienserver (Network Policy Server, NPS) mit der Azure MFA-Erweiterung bereitstellen. Die NPS-Erweiterung fungiert als Adapter zwischen RADIUS-basierten Anwendungen und Azure AD MFA, um einen zweiten Authentifizierungsfaktor bereitzustellen.

Allgemeine Integrationen

Viele Anbieter unterstützen inzwischen die SAML-Authentifizierung für ihre Anwendungen. Es wird empfohlen, diese Anwendungen nach Möglichkeit mit Azure AD zu verbinden und MFA durch bedingten Zugriff zu erzwingen. Wenn Ihr Anbieter keine moderne Authentifizierung unterstützt, können Sie die NPS-Erweiterung verwenden. Häufig verwendete RADIUS-Client-Integrationen sind etwa Anwendungen wie Remotedesktop-Gateways und VPN-Server.

Andere können Folgendes umfassen:

  • Citrix Gateway

    Citrix Gateway unterstützt sowohl die Integration der RADIUS- und NPS-Erweiterung als auch eine SAML-Integration.

  • Cisco VPN

    • Cisco VPN unterstützt sowohl die RADIUS- als auch die SAML-Authentifizierung für SSO.
    • Durch den Wechsel von der RADIUS-Authentifizierung zu SAML können Sie Cisco VPN integrieren, ohne die NPS-Erweiterung bereitzustellen.
  • Alle VPNs

Bereitstellen von Azure AD Multi-Factor Authentication

Ihr Rolloutplan für Azure AD Multi-Factor Authentication sollte eine Pilotbereitstellung enthalten, gefolgt von Bereitstellungsphasen, die innerhalb Ihrer Supportkapazität liegen. Beginnen Sie den Rollout durch Anwenden von Richtlinien für den bedingten Zugriff auf eine kleine Gruppe von Pilotbenutzern. Nach dem Evaluieren der Auswirkungen auf die Pilotbenutzer, den verwendeten Prozess und das Registrierungsverhalten können Sie entweder der Richtlinie weitere Gruppen hinzufügen oder vorhandenen Gruppen weitere Benutzer hinzufügen.

Führen Sie diese Schritte aus:

  1. Erfüllen Sie die notwendigen Voraussetzungen.
  2. Konfigurieren Sie ausgewählte Authentifizierungsmethoden.
  3. Konfigurieren Sie Richtlinien für bedingten Zugriff.
  4. Konfigurieren Sie die Einstellungen für die Lebensdauer von Sitzungen.
  5. Konfigurieren Sie Azure AD MFA-Registrierungsrichtlinien

Verwalten von Azure AD Multi-Factor Authentication

Dieser Abschnitt enthält Informationen zur Berichterstellung und Problembehandlung bei Azure AD Multi-Factor Authentication.

Berichterstellung und Überwachung

Azure AD enthält Berichte mit technischen und geschäftlichen Informationen, mit denen der Fortschritt der Bereitstellung verfolgt und geprüft werden kann, ob sich Benutzer bei MFA anmelden können. Sorgen Sie dafür, dass die Besitzer Ihrer geschäftlichen und technischen Anwendungen den Besitz dieser Berichte übernehmen und sie den Anforderungen Ihrer Organisation gemäß nutzen.

Mithilfe des Dashboards Aktivität für Authentifizierungsmethoden können Sie die Registrierung und Nutzung von Authentifizierungsmethoden in Ihrer Organisation überwachen. So können Sie nachvollziehen, welche Methoden registriert werden und wie sie verwendet werden.

Anmeldebericht zum Überprüfen von MFA-Ereignissen

Die Azure AD-Anmeldeberichte enthalten Authentifizierungsdetails für Ereignisse, bei denen ein Benutzer zur MFA aufgefordert wird, und Informationen dazu, ob Richtlinien für bedingten Zugriff verwendet wurden. Sie können auch PowerShell für die Berichterstellung über Benutzer verwenden, die für Azure AD Multi-Factor Authentication registriert wurden.

Die NPS-Erweiterung und die AD FS-Protokolle für cloudbasierte MFA-Aktivitäten sind jetzt in den Anmeldeprotokollen enthalten und werden nicht mehr unter Sicherheit > MFA > Aktivitätsbericht veröffentlicht.

Weitere Informationen und zusätzliche Berichte zu Azure AD Multi-Factor Authentication finden Sie unter Überprüfen von Azure AD Multi-Factor Authentication-Ereignissen.

Problembehandlung bei Azure AD Multi-Factor Authentication

Informationen zu häufigen Problemen finden Sie unter Problembehandlung bei Azure AD Multi-Factor Authentication.

Nächste Schritte

Bereitstellen anderer Identitätsfeatures