Verwendung eines Microsoft Entra-Anbieters für die Multi-Faktor-Authentifizierung

  • Artikel

Wichtig

Ab dem 1. September 2018 können keine neuen Authentifizierungsanbieter mehr erstellt werden. Vorhandene Authentifizierungsanbieter können ggf. weiterhin verwendet und aktualisiert werden, aber Migration ist nicht mehr möglich. Die Multi-Faktor-Authentifizierung ist weiterhin als Feature in Microsoft Entra-ID P1- oder P2-Lizenzen verfügbar.

Die zweistufige Überprüfung ist standardmäßig für globale Administratoren verfügbar, die mit Microsoft Entra ID arbeiten, und für Microsoft 365-Benutzer. Falls Sie jedoch die erweiterten Funktionen nutzen möchten, müssen Sie die Vollversion der Multi-Faktor-Authentifizierung von Microsoft Entra erwerben.

Ein Microsoft Entra Anbieter für Multi-Faktor-Authentifizierung wird verwendet, um die Features zu nutzen, die von der Multi-Faktor-Authentifizierung von Microsoft Entra für Benutzer ohne Lizenzen bereitgestellt werden.

Beachten Sie, dass das SDK veraltet ist und nur noch bis zum 14. November 2018 funktioniert. Nach diesem Zeitpunkt führen Aufrufe an das SDK zu Fehlern.

Was ist ein MFA-Anbieter?

Es gibt zwei Arten von Authentifizierungsanbietern. Der Unterschied besteht darin, wie Ihr Azure-Abonnement in Rechnung gestellt wird. Bei der Option pro Authentifizierung wird die Anzahl der Authentifizierungen berechnet, die für Ihren Mandanten in einem Monat ausgeführt werden. Diese Option ist am besten geeignet, wenn sich einige Konten nur gelegentlich authentifizieren. Bei der Option pro Benutzer wird die Anzahl der Konten berechnet, die berechtigt sind, MFA auszuführen. Dies umfasst alle Konten in Microsoft Entra ID und alle aktivierten Konten im MFA-Server. Diese Option empfiehlt sich, wenn einige Benutzer über Lizenzen verfügen, MFA aber auf weitere Benutzer außerhalb Ihrer Lizenzierungsgrenzwerte erweitert werden muss.

Verwalten Ihres MFA-Anbieters

Das Nutzungsmodell (pro aktiviertem Benutzer oder pro Authentifizierung) kann nach der Erstellung eines MFA-Anbieters nicht mehr geändert werden.

Sofern die Anzahl erworbenen Lizenzen für alle Benutzer ausreicht, die für MFA aktiviert sind, können Sie den MFA-Anbieter auch ganz löschen.

Falls Ihr MFA-Anbieter nicht mit einem Microsoft Entra-Mandanten verknüpft ist oder Sie den neuen MFA-Anbieter mit einem anderen Microsoft Entra-Mandanten verknüpfen, werden Benutzereinstellungen und Konfigurationsoptionen nicht übernommen. Darüber hinaus müssen vorhandene Azure MFA-Server unter Verwendung von Aktivierungsanmeldeinformationen des MFA-Anbieters erneut aktiviert werden.

Entfernen eines Authentifizierungsanbieters

Achtung

Beim Löschen eines Authentifizierungsanbieters wird keine Bestätigung angezeigt. Löschen ist ein endgültiger Prozess.

Authentifizierungsanbieter finden Sie im Microsoft Entra Admin Center. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator an. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Anbieter. Klicken Sie auf die aufgeführten Anbieter, um die zugehörigen Details und Konfigurationen anzuzeigen.

Überprüfen Sie vor dem Entfernen eines Authentifizierungsanbieters zunächst alle benutzerdefinierten Einstellungen, die ggf. für Ihren Anbieter konfiguriert wurden. Überlegen Sie sich, welche Einstellungen von Ihrem Anbieter zu allgemeinen MFA-Einstellungen migriert werden müssen, und migrieren Sie sie.

Mit Anbietern verknüpfte Azure MFA-Server müssen unter Verwendung der Anmeldeinformationen reaktiviert werden, die unter Servereinstellungen generiert wurden. Vor der Reaktivierung müssen auf Azure MFA-Servern in Ihrer Umgebung folgende Dateien aus dem Verzeichnis \Program Files\Multi-Factor Authentication Server\Data\ gelöscht werden:

  • caCert
  • cert
  • groupCACert
  • groupKey
  • groupName
  • licenseKey
  • pkey

Delete an authentication provider

Nachdem Sie sich vergewissert haben, dass alle Einstellungen migriert wurden, navigieren Sie zu Anbieter und wählen die Auslassungspunkte ... und dann Löschen aus.

Warnung

Beim Löschen eines Authentifizierungsanbieters werden alle diesem Anbieter zugeordneten Berichtsinformationen gelöscht. Es empfiehlt sich gegebenenfalls, Aktivitätsberichte vor dem Löschen des Anbieters zu speichern.

Hinweis

Benutzer mit älteren Versionen von Microsoft Authenticator-App und Azure MFA-Server müssen ihre App möglicherweise neu registrieren.

Nächste Schritte

Konfigurieren der Einstellungen für die Multi-Faktor-Authentifizierung