Tutorial: Schützen von Benutzeranmeldeereignissen mit Azure AD Multi-Factor Authentication

Bei der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) wird vom Benutzer im Rahmen eines Anmeldeereignisses eine zusätzliche Art der Identifizierung angefordert. Dabei kann es sich beispielsweise um die Eingabe eines Codes auf dem Smartphone oder um einen Fingerabdruckscan handeln. Durch Erzwingen einer zweiten Form der Identifizierung wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.

Mithilfe von Azure AD Multi-Factor Authentication und Richtlinien für bedingten Zugriff kann der Benutzer während bestimmter Anmeldeereignisse flexibel zur MFA aufgefordert werden. Einen Überblick über die MFA erhalten Sie im Video Konfigurieren und Erzwingen der mehrstufigen Authentifizierung in Ihrem Mandanten.

Wichtig

In diesem Tutorial wird für Administratoren veranschaulicht, wie Azure AD Multi-Factor Authentication aktiviert wird.

Wenn Ihr IT-Team die Verwendung von Azure AD Multi-Factor Authentication nicht aktiviert hat oder Sie Probleme mit der Anmeldung haben, wenden Sie sich an Ihren Helpdesk.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen einer Richtlinie für bedingten Zugriff, um Azure AD Multi-Factor Authentication für eine Gruppe von Benutzern zu aktivieren
  • Konfigurieren der Richtlinienbedingungen zum Initiieren der MFA
  • Testen der Konfiguration und Verwendung der mehrstufigen Authentifizierung als Benutzer

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

  • Ein funktionierender Azure AD-Mandant mit aktivierter Azure AD Premium P1- oder Testlizenz.

  • Ein Konto mit den Berechtigungen Bedingter Zugriff Administrator, Sicherheitsadministrator oder Globaler Administrator. Einige MFA-Einstellungen können auch von einem Authentifizierungsrichtlinienadministrator verwaltet werden. Weitere Informationen finden Sie unter Authentifizierungsrichtlinienadministrator.

  • Ein Nicht-Administratorkonto mit einem Ihnen bekannten Kennwort. Für dieses Tutorial haben wir ein solches Konto mit dem Namen testuser erstellt. In diesem Tutorial testen Sie die Endbenutzerumgebung im Hinblick auf das Konfigurieren und Verwenden von Azure AD Multi-Factor Authentication.

  • Eine Gruppe, der der Benutzer ohne Administratorrechte angehört. Für dieses Tutorial haben wir eine solche Gruppe mit dem Namen MFA-Test-Group erstellt. In diesem Tutorial wird Azure AD Multi-Factor Authentication für diese Gruppe aktiviert.

Erstellen der Richtlinie für bedingten Zugriff

Es empfiehlt sich, Azure AD Multi-Factor Authentication mit Richtlinien für bedingten Zugriff zu aktivieren. Der bedingte Zugriff ermöglicht das Erstellen und Definieren von Richtlinien, die auf Anmeldeereignisse reagieren und zusätzliche Aktionen anfordern, bevor einem Benutzer der Zugriff auf eine Anwendung oder einen Dienst gewährt wird.

Übersichtsdiagramm: Funktionsweise des bedingten Zugriffs zum Schutz des Anmeldevorgangs

Richtlinien für bedingten Zugriff können auf bestimmte Benutzer, Gruppen und Apps angewendet werden. Ziel ist es, Ihre Organisation zu schützen und gleichzeitig die richtigen Zugriffsebenen für die Benutzer bereitzustellen, die Zugriff benötigen.

In diesem Tutorial wird eine einfache Richtlinie für bedingten Zugriff erstellt, um die MFA zu initiieren, wenn sich ein Benutzer beim Azure-Portal anmeldet. In einem späteren Tutorial dieser Reihe wird Azure AD Multi-Factor Authentication mithilfe einer risikobasierten Richtlinie für bedingten Zugriff konfiguriert.

Erstellen Sie zunächst eine Richtlinie für bedingten Zugriff, und weisen Sie Ihre Benutzertestgruppe zu:

  1. Melden Sie sich mit dem Konto mit den Berechtigungen vom Typ Globaler Administrator beim Azure-Portal an.

  2. Suchen Sie nach Azure Active Directory, und wählen Sie diese Option aus. Wählen Sie dann im Menü links die Option Sicherheit aus.

  3. Wählen Sie Bedingter Zugriff, + Neue Richtlinie und dann Neue Richtlinie erstellen aus.

    Screenshot der Seite „Bedingter Zugriff“, auf der Sie „Neue Richtlinie“ auswählen und dann „Neue Richtlinie erstellen“ auswählen.

  4. Geben Sie einen Namen für die Richtlinie ein (beispielsweise MFA Pilot).

  5. Wählen Sie im Bereich Zuweisungen unter Benutzer oder Workloadidentitäten den aktuellen Wert aus.

    Screenshot der Seite „Bedingter Zugriff“, auf der Sie den aktuellen Wert unter „Benutzer oder Workloadidentitäten“ auswählen.

  6. Überprüfen Sie, ob unter Wofür gilt diese Richtlinie? die Option Benutzer und Gruppen ausgewählt ist.

  7. Wählen Sie unter EinschließenBenutzer und Gruppen auswählen und dann Benutzer und Gruppen aus.

    Screenshot der Seite zur Erstellung einer neuen Richtlinie, auf der Sie Optionen für die Bestimmung von Benutzern und Gruppen auswählen.

    Die (im nächsten Schritt angezeigte) Liste der Benutzer und Gruppen wird automatisch geöffnet, da noch keine Benutzer und Gruppen zugewiesen sind.

  8. Navigieren Sie zu Ihrer Azure AD-Gruppe (etwa MFA-Test-Group), und wählen Sie die Gruppe und anschließend Auswählen aus.

    Screenshot der Liste der Benutzer und Gruppen mit Ergebnissen, die nach den Buchstaben M F A und „MFA-Test-Group“ gefiltert wurden.

Wir haben die Gruppe ausgewählt, auf die die Richtlinie angewendet werden soll. Im nächsten Abschnitt konfigurieren wir die Bedingungen für die Anwendung der Richtlinie.

Konfigurieren der Bedingungen die mehrstufige Authentifizierung

Nachdem Sie nun die Richtlinie für bedingten Zugriff erstellt und eine Benutzertestgruppe zugewiesen haben, müssen die Cloud-Apps oder -aktionen zum Auslösen der Richtlinie definiert werden. Bei diesen Cloud-Apps oder -aktionen handelt es sich um Szenarios, die eine zusätzliche Verarbeitung erfordern sollen, wie etwa die Aufforderung zur mehrstufigen Authentifizierung. So können Sie beispielsweise festlegen, dass für den Zugriff auf eine Finanzanwendung oder für die Verwendung von Verwaltungstools eine zusätzliche Authentifizierung erforderlich ist.

Konfigurieren von Apps mit mehrstufiger Authentifizierung

Konfigurieren Sie die Richtlinie für bedingten Zugriff in diesem Tutorial so, dass die mehrstufige Authentifizierung erforderlich ist, wenn sich ein Benutzer beim Azure-Portal anmeldet.

  1. Wählen Sie unter Cloud-Apps oder -aktionen den aktuellen Wert aus, und überprüfen Sie dann unter Wählen Sie aus, worauf diese Richtlinie angewendet werden soll., ob die Option Cloud-Apps ausgewählt ist.

  2. Wählen Sie unter Einschließen die Option Apps auswählen aus.

    Die (im nächsten Schritt angezeigte) App-Liste wird automatisch geöffnet, da noch keine Apps zugewiesen sind.

    Tipp

    Sie können auswählen, ob die Richtlinie für bedingten Zugriff auf alle Cloud-Apps (Alle Cloud-Apps) oder nur auf bestimmte Apps (Apps auswählen) angewendet werden soll. Sie haben auch die Möglichkeit, bestimmte Apps aus der Richtlinie auszuschließen.

  3. Durchsuchen Sie die Liste der verfügbaren Anmeldeereignisse, die verwendet werden können. Wählen Sie für dieses Tutorial die Option Microsoft Azure-Verwaltung aus, sodass die Richtlinie auf Anmeldeereignisse im Zusammenhang mit dem Azure-Portal angewendet wird. Wählen Sie anschließend Auswählen aus.

    Screenshot der Seite „Bedingter Zugriff“, auf der Sie die App „Verwaltung von Microsoft Azure“ auswählen, auf die die neue Richtlinie angewendet wird.

Konfigurieren der mehrstufigen Authentifizierung für den Zugriff

Als Nächstes konfigurieren wir die Zugriffssteuerungen. Mit Zugriffssteuerungen können Sie die Anforderungen definieren, die erfüllt sein müssen, damit einem Benutzer Zugriff gewährt wird. Dazu müssen sie möglicherweise eine genehmigte Client-App oder ein in Azure AD Hybrid eingebundenes Gerät verwenden.

In diesem Tutorial konfigurieren Sie die Zugriffssteuerungen so, dass die mehrstufige Authentifizierung während eines Anmeldeereignisses beim Azure-Portal erforderlich ist.

  1. Wählen Sie im Bereich Zugriffssteuerungen unter Gewähren den aktuellen Wert aus, und klicken Sie dann auf Zugriff gewähren.

    Screenshot der Seite „Bedingter Zugriff“, auf der Sie „Erteilen“ auswählen und dann „Zugriff gewähren“ auswählen.

  2. Wählen Sie Erfordert mehrstufige Authentifizierung aus, und klicken Sie dann Auswählen.

    Screenshot der Optionen zum Gewähren des Zugriffs, ´bei denen Sie „Mehrstufige Authentifizierung erforderlich“ auswählen.

Aktivieren der Richtlinie

Richtlinien für bedingten Zugriff können auf Nur Bericht festgelegt werden, wenn Sie ermitteln möchten, welche Auswirkungen die Konfiguration auf die Benutzer hätte, oder auf Aus, wenn Sie die Richtlinie nicht sofort verwenden möchten. Da in diesem Tutorial eine Benutzertestgruppe als Zielgruppe verwendet wird, aktivieren wir als Nächstes die Richtlinie und testen anschließend Azure AD Multi-Factor Authentication.

  1. Wählen Sie unter Richtlinie aktivieren die Option An aus.

    Screenshot des Steuerelements, das sich am unteren Rand der Webseite befindet, auf der Sie festlegen, ob die Richtlinie aktiviert wird.

  2. Wählen Sie Erstellen aus, um die Richtlinie für bedingten Zugriff anzuwenden.

Testen von Azure AD Multi-Factor Authentication

In diesem Abschnitt sehen wir uns die Richtlinie für bedingten Zugriff sowie Azure AD Multi-Factor Authentication in Aktion an.

Melden Sie sich zunächst bei einer Ressource an, für die keine MFA erforderlich ist:

  1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://account.activedirectory.windowsazure.com.

    Die Verwendung eines privaten Modus für Ihren Browser verhindert, dass sich vorhandene Anmeldeinformationen auf dieses Anmeldeereignis auswirken.

  2. Melden Sie sich mit Ihrem Testbenutzer ohne Administratorrechte an (beispielsweise testuser). Achten Sie darauf, dass Sie @ und den Domänennamen für das Benutzerkonto einschließen.

    Wenn Sie sich zum ersten Mal bei diesem Konto anmelden, werden Sie aufgefordert, das Kennwort zu ändern. Es gibt jedoch keine Aufforderung, die mehrstufige Authentifizierung zu konfigurieren oder zu verwenden.

  3. Schließen Sie das Browserfenster.

Sie haben die Richtlinie für bedingten Zugriff so konfiguriert, dass eine zusätzliche Authentifizierung für die Azure-Portal erforderlich ist. Aufgrund dieser Konfiguration werden Sie aufgefordert, Azure AD Multi-Factor Authentication zu verwenden oder eine Methode zu konfigurieren, sofern dies noch nicht geschehen ist. Testen Sie diese neue Anforderung, indem Sie sich beim Azure-Portal anmelden:

  1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://portal.azure.com.

  2. Melden Sie sich mit Ihrem Testbenutzer ohne Administratorrechte an (beispielsweise testuser). Achten Sie darauf, dass Sie @ und den Domänennamen für das Benutzerkonto einschließen.

    Sie müssen sich für Azure AD Multi-Factor Authentication registrieren und die mehrstufige Authentifizierung verwenden.

    Eine Aufforderung mit dem Inhalt „Weitere Informationen erforderlich“. Dies ist eine Aufforderung zum Konfigurieren einer Methode der mehrstufigen Authentifizierung für diesen Benutzer.

  3. Klicken Sie auf Weiter, um den Prozess zu starten.

    Sie können ein Telefon für Authentifizierung, ein Bürotelefon oder eine mobile App für die Authentifizierung konfigurieren. Das Telefon für Authentifizierung unterstützt SMS und Telefonanrufe, das Bürotelefon Anrufe an Nummern mit Durchwahl, und die mobile App unterstützt die Verwendung einer mobilen App zum Empfangen von Benachrichtigungen für die Authentifizierung oder zum Generieren von Authentifizierungscodes.

    Eine Aufforderung mit dem Inhalt „Zusätzliche Sicherheitsüberprüfung“. Dies ist eine Aufforderung zum Konfigurieren einer Methode der mehrstufigen Authentifizierung für diesen Benutzer. Sie können als Methode ein Authentifizierungstelefon, ein Bürotelefon oder eine mobile App auswählen.

  4. Führen Sie die Anweisungen auf dem Bildschirm aus, um die von Ihnen ausgewählte Methode der mehrstufigen Authentifizierung zu konfigurieren.

  5. Schließen Sie das Browserfenster, und melden Sie sich noch mal bei https://portal.azure.com an, um die von Ihnen konfigurierte Authentifizierungsmethode zu testen. Wenn Sie beispielsweise eine mobile App für die Authentifizierung konfiguriert haben, sollte eine Eingabeaufforderung wie die folgende angezeigt werden.

    Folgen Sie für die Anmeldung den Aufforderungen in Ihrem Browser und anschließend der Aufforderung auf dem Gerät, das Sie für die mehrstufige Authentifizierung registriert haben.

  6. Schließen Sie das Browserfenster.

Bereinigen von Ressourcen

Wenn Sie die Richtlinie für bedingten Zugriff, die im Rahmen dieses Tutorials zum Aktivieren von Azure Multi-Factor Authentication konfiguriert wurde, nicht mehr benötigen, löschen Sie die Richtlinie wie folgt:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie anschließend im Menü auf der linken Seite die Option Sicherheit aus.

  3. Wählen Sie Bedingter Zugriff und dann die erstellte Richtlinie aus, z. B. MFA Pilot.

  4. Wählen Sie Löschen aus, und bestätigen Sie den Löschvorgang der Richtlinie.

    Um die geöffnete Richtlinie für den bedingten Zugriff zu löschen, wählen Sie unter dem Namen der Richtlinie „Löschen“ aus.

Nächste Schritte

In diesem Tutorial haben Sie Azure AD Multi-Factor Authentication mithilfe von Richtlinien für bedingten Zugriff für eine ausgewählte Benutzergruppe aktiviert. Sie haben Folgendes gelernt:

  • Erstellen einer Richtlinie für bedingten Zugriff, um Azure AD Multi-Factor Authentication für eine Gruppe von Azure AD-Benutzern zu aktivieren
  • Konfigurieren der Richtlinienbedingungen zum Initiieren der mehrstufigen Authentifizierung
  • Testen der Konfiguration und Verwendung der mehrstufigen Authentifizierung als Benutzer