Share via

Schützen von Cloudressourcen mit der Multi-Faktor-Authentifizierung in Microsoft Entra und AD FS

  • Artikel

Wenn Ihre Organisation mit Microsoft Entra ID verbunden ist, verwenden Sie die Multi-Faktor-Authentifizierung in Microsoft Entra oder Active Directory-Verbunddienste (Active Directory Federation Services, AD FS), um Ressourcen zu schützen, auf die von Microsoft Entra ID zugegriffen wird. Verwenden Sie die folgenden Prozeduren, um Microsoft Entra-Ressourcen entweder mit der Multi-Faktor-Authentifizierung in Microsoft Entra oder Active Directory-Verbunddiensten (AD FS) zu schützen.

Hinweis

Legen Sie die Domäneneinstellung federatedIdpMfaBehavior auf enforceMfaByFederatedIdp (empfohlen) oder SupportsMFA auf $True fest. Die federatedIdpMfaBehavior-Einstellung überschreibt SupportsMFA, wenn beide festgelegt sind.

Schützen von Microsoft Entra-Ressourcen mithilfe von AD FS

Zum Schützen Ihrer Cloudressource richten Sie eine Anspruchsregel ein, damit Active Directory-Verbunddienste (AD FS)den multipleauthn-Anspruch ausgibt, wenn ein Benutzer die zweistufige Überprüfung erfolgreich durchführt. Dieser Anspruch wird an Microsoft Entra ID übergeben. Die Schritte werden im folgenden Verfahren veranschaulicht:

  1. Öffnen Sie die AD FS-Verwaltung.

  2. Wählen Sie auf der linken Seite die Option Vertrauensstellungen der vertrauenden Seite.

  3. Klicken Sie mit der rechten Maustaste auf Microsoft Office 365 Identity Platform, und wählen Sie Anspruchsregeln bearbeiten.

    ADFS Console - Relying Party Trusts

  4. Klicken Sie unter „Ausstellungstransformationsregeln“ auf Regel hinzufügen.

    Editing Issuance Transform Rules

  5. Wählen Sie im Assistenten zum Hinzufügen von Transformationsanspruchsregeln im Dropdownmenü die Option Passthrough oder eingehenden Anspruch filtern, und klicken Sie auf Weiter.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Benennen Sie die Regel.

  7. Wählen Sie Authentifizierungsmethodenreferenzen als eingehenden Anspruchstyp aus.

  8. Wählen Sie Durchlauf aller Anspruchswerte.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Klicken Sie auf Fertig stellen. Schließen Sie die AD FS-Verwaltungskonsole.

Vertrauenswürdige IPs für Partnerbenutzer

Mit vertrauenswürdigen IPs können Administratoren die zweistufige Überprüfung für bestimmte IP-Adressen oder Partnerbenutzer umgehen, deren Anfragen aus dem eigenen Intranet stammen. In den folgenden Abschnitten wird beschrieben, wie Sie die Umgehung mithilfe von vertrauenswürdigen IPs konfigurieren. Hierzu wird für AD FS die Verwendung eines Passthrough-Elements oder für die Filterung einer Vorlage für einen eingehenden Anspruch mit dem Anspruchstyp „Innerhalb des Unternehmensnetzwerks“ konfiguriert.

In diesem Beispiel wird Microsoft 365 für die Vertrauensstellungen der vertrauenden Seite verwendet.

Konfigurieren der AD FS-Anspruchsregeln

Als Erstes müssen wir die AD FS-Ansprüche konfigurieren. Erstellen Sie zwei Anspruchsregeln: eine für den Anspruchstyp „Innerhalb des Unternehmensnetzwerks“ und eine weitere zur Aufrechterhaltung der Anmeldung von Benutzern.

  1. Öffnen Sie die AD FS-Verwaltung.

  2. Wählen Sie auf der linken Seite die Option Vertrauensstellungen der vertrauenden Seite.

  3. Klicken Sie mit der rechten Maustaste auf Microsoft Office 365 Identity Platform, und wählen Sie Anspruchsregeln bearbeiten.

    ADFS Console - Edit Claim Rules

  4. Klicken Sie unter „Ausstellungstransformationsregeln“ auf Regel hinzufügen.

    Adding a Claim Rule

  5. Wählen Sie im Assistenten zum Hinzufügen von Transformationsanspruchsregeln im Dropdownmenü die Option Passthrough oder eingehenden Anspruch filtern, und klicken Sie auf Weiter.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. Geben Sie der Regel im Feld neben „Anspruchsregelname“ einen Namen. Beispiel: InsideCorpNet.

  7. Wählen Sie in der Dropdownliste neben „Eingehender Anspruchstyp“ die Option Innerhalb des Unternehmensnetzwerks.

    Adding Inside Corporate Network claim

  8. Klicken Sie auf Fertig stellen.

  9. Klicken Sie unter „Ausstellungstransformationsregeln“ auf Regel hinzufügen.

  10. Wählen Sie im Assistenten zum Hinzufügen von Transformationsanspruchsregeln in der Dropdownliste die Option Ansprüche mit benutzerdefinierter Regel senden, und klicken Sie auf Weiter.

  11. Geben Sie im Feld unter „Anspruchsregelname:“ den Text Benutzeranmeldung aufrechterhalten ein.

  12. Geben Sie in das Feld für benutzerdefinierte Regeln Folgendes ein:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Klicken Sie auf Fertig stellen.

  14. Klicken Sie auf Anwenden.

  15. Klicken Sie auf OK.

  16. Schließen Sie die AD FS-Verwaltung.

Konfigurieren von vertrauenswürdigen IP-Adressen für die Multi-Faktor-Authentifizierung in Microsoft Entra mit Verbundbenutzern

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Da die Ansprüche jetzt vorhanden sind, können wir vertrauenswürdige IPs konfigurieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zuBedingter Zugriff>Benannte Standorte.

  3. Wählen Sie auf dem Blatt Bedingter Zugriff – Benannte Orte die Option Durch MFA bestätigte IPs konfigurieren aus.

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. Wählen Sie auf der Seite „Diensteinstellungen“ unter Vertrauenswürdige IP-Adressen die Option Multi-Faktor-Authentifizierung für Anforderungen von Verbundbenutzern in meinem Intranet überspringen.

  5. Klicken Sie auf Speichern.

Das ist alles! An diesem Punkt sollten Microsoft 365-Partnerbenutzer nur MFA verwenden müssen, wenn ein Anspruch von außerhalb des Unternehmensintranets stammt.