Aktivieren von benutzerspezifischer Azure AD Multi-Factor Authentication zum Schutz von Anmeldeereignissen

Um Benutzeranmeldeereignisse in Azure AD zu schützen, können Sie mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) anfordern. Der empfohlene Ansatz für den Schutz der Benutzer ist das Aktivieren von Azure AD Multi-Factor Authentication mit Richtlinien für bedingten Zugriff. Bedingter Zugriff ist ein Azure AD Premium P1- oder P2-Feature, mit dem Sie Regeln anwenden können, die in bestimmten Szenarien MFA erforderlich machen. Informationen zu den ersten Schritten mit bedingtem Zugriff finden Sie im Tutorial: Schützen von Benutzeranmeldeereignissen mit Azure AD Multi-Factor Authentication.

Für kostenlose Azure AD-Mandanten ohne bedingten Zugriff können Sie Sicherheitsstandards zum Schützen von Benutzern verwenden. Benutzer werden ggf. zur Durchführung von MFA aufgefordert. Sie können jedoch keine eigenen Regeln definieren, um das Verhalten zu steuern.

Bei Bedarf können Sie stattdessen für die einzelnen Konten Azure AD Multi-Factor Authentication pro Benutzer aktivieren. Wenn Benutzer individuell aktiviert werden, führen sie die mehrstufige Authentifizierung bei jeder Anmeldung durch (bis auf einige Ausnahmen, beispielsweise wenn sie sich von vertrauenswürdigen IP-Adressen aus anmelden oder wenn das Feature zum Speichern von MFA auf vertrauenswürdigen Geräten aktiviert ist).

Das Ändern der Benutzerstatus wird nur empfohlen, wenn Ihre Azure AD-Lizenzen keinen bedingten Zugriff enthalten und Sie keine Standardeinstellungen für die Sicherheit verwenden möchten. Weitere Informationen zu den verschiedenen Möglichkeiten zum Aktivieren von MFA finden Sie unter Features und Lizenzen für Azure AD Multi-Factor Authentication.

Wichtig

In diesem Artikel wird erläutert, wie Sie den Status für benutzerspezifische Azure AD Multi-Factor Authentication anzeigen und ändern. Wenn Sie bedingten Zugriff oder Sicherheitsstandardeinstellungen verwenden, führen Sie nicht die folgenden Schritte aus, um Benutzerkonten zu überprüfen oder zu aktivieren.

Wenn Sie Azure AD Multi-Factor Authentication über eine Richtlinie für bedingten Zugriff aktivieren, wird dadurch der Status des Benutzers nicht geändert. Keine Sorge, falls Benutzer als deaktiviert angezeigt werden. Der Status wird durch bedingten Zugriff nicht geändert.

Aktivieren oder erzwingen Sie keine benutzerspezifische Azure AD Multi-Factor Authentication, wenn Sie Richtlinien für bedingten Zugriff verwenden.

Benutzerstatus in Azure AD Multi-Factor Authentication

Der Status eines Benutzers gibt an, ob ein Administrator den Benutzer bei benutzerspezifischer Azure AD Multi-Factor Authentication registriert hat. Es gibt drei verschiedene Status für Benutzerkonten in Azure AD Multi-Factor Authentication:

State BESCHREIBUNG Legacyauthentifizierung betroffen Browser-Apps betroffen Moderne Authentifizierung betroffen
Disabled Der Standardstatus eines Benutzers, der nicht bei benutzerspezifischer Azure AD Multi-Factor Authentication registriert ist. Nein Nein Nein
Aktiviert Der Benutzer ist bei benutzerspezifischer Azure AD Multi-Factor Authentication registriert, kann jedoch weiterhin sein Kennwort für die Legacyauthentifizierung verwenden. Wenn der Benutzer noch keine MFA-Authentifizierungsmethoden registriert hat, wird er beim nächsten Anmelden mit moderner Authentifizierung (z. B. über einen Webbrowser) zum Registrieren aufgefordert. Nein. Legacyauthentifizierung wird weiterhin ausgeführt, bis die Registrierung abgeschlossen ist. Ja. Nach Ablauf der Sitzung ist eine Registrierung bei Azure AD Multi-Factor Authentication erforderlich. Ja. Nach Ablauf des Zugriffstokens ist eine Registrierung bei Azure AD Multi-Factor Authentication erforderlich.
Erzwungen Der Benutzer wird bei Azure AD Multi-Factor Authentication (benutzerspezifisch) registriert. Wenn der Benutzer noch keine Authentifizierungsmethoden registriert hat, wird er beim nächsten Anmelden mit moderner Authentifizierung (z. B. über einen Webbrowser) zum Registrieren aufgefordert. Benutzern, die beim Durchführen der Registrierung den Status Aktiviert aufweisen, wird automatisch der Status Erzwungen zugewiesen. Ja. Für Apps sind App-Kennwörter erforderlich. Ja. Azure AD Multi-Factor Authentication ist bei der Anmeldung erforderlich. Ja. Azure AD Multi-Factor Authentication ist bei der Anmeldung erforderlich.

Der Anfangsstatus aller Benutzer lautet Deaktiviert. Wenn Sie Benutzer bei benutzerspezifischer Azure AD Multi-Factor Authentication registrieren, ändert sich der Status der Benutzer in Aktiviert. Wenn aktivierte Benutzer sich anmelden und den Registrierungsprozess abschließen, ändert sich ihr Status in Erzwungen. Administratoren können die Status der Benutzer ändern, z. B. von Erzwungen in Aktiviert oder Deaktiviert.

Hinweis

Wenn MFA pro Benutzer für einen Benutzer erneut aktiviert wird und sich der Benutzer nicht erneut registriert, ändert sich der MFA-Status auf der MFA-Verwaltungsoberfläche nicht von Aktiviert in Erzwungen. Der Administrator muss dem Benutzer Erzwungen direkt zuweisen.

Anzeigen des Status eines Benutzers

Führen Sie zum Anzeigen und Verwalten der Benutzerstatus die folgenden Schritte aus, um auf das Azure-Portal zuzugreifen:

  1. Melden Sie sich als globaler Administrator beim Azure-Portal an.
  2. Suchen und wählen Sie Azure Active Directory und dann Benutzer>Alle Benutzer aus.
  3. Wählen Sie MFA pro Benutzer aus. Screenshot der Auswahl der Multi-Faktor-Authentifizierung im Fenster „Benutzer“ in Azure AD.
  4. Eine neue Seite wird geöffnet, auf der, wie im folgenden Beispiel gezeigt, der Benutzerstatus angezeigt wird. Screenshot mit Beispielinformationen zum Benutzerstatus für Azure AD Multi-Factor Authentication

Ändern des Status eines Benutzers

Führen Sie die folgenden Schritte aus, um den Status der benutzerspezifischen Azure AD Multi-Factor Authentication für einen Benutzer zu ändern:

  1. Führen Sie die vorstehenden Schritte zum Anzeigen des Status eines Benutzers aus, um zur Seite mit den Benutzern von Azure AD Multi-Factor Authentication zu gelangen.

  2. Suchen Sie den Benutzer, für den Sie benutzerspezifische Azure AD Multi-Factor Authentication aktivieren möchten. Sie müssen möglicherweise oben die Ansicht in Benutzer ändern. Benutzer, für den der Status geändert werden soll, auf der Registerkarte „Benutzer“ auswählen

  3. Aktivieren Sie das Kontrollkästchen neben den Namen der Benutzer, deren Status geändert werden soll.

  4. Wählen Sie auf der rechten Seite unter QuickSteps die Option Aktivieren oder Deaktivieren aus. Im folgenden Beispiel hat der Benutzer John Smith ein Häkchen neben seinem Namen und ist für die Verwendung aktiviert: Ausgewählten Benutzer durch Klicken auf „Aktivieren“ (im Menü „QuickSteps“) aktivieren

    Tipp

    Aktivierte Benutzer werden automatisch in Erzwungen geändert, wenn sie sich für Azure AD Multi-Factor Authentication registrieren. Ändern Sie den Benutzerstatus nicht manuell in Erzwungen, es sei denn, der Benutzer ist bereits registriert, oder die Unterbrechung der Verbindung mit den Legacyauthentifizierungsprotokollen ist für den Benutzer akzeptabel.

  5. Bestätigen Sie Ihre Auswahl im Popupfenster, das geöffnet wird.

Benachrichtigen Sie die Benutzer per E-Mail, nachdem Sie die Benutzer aktiviert haben. Teilen Sie den Benutzern mit, dass eine Aufforderung angezeigt wird, sich bei der nächsten Anmeldung zu registrieren. Und wenn Ihre Organisation auch nicht auf Browsern basierende Apps verwendet, die die moderne Authentifizierung nicht unterstützen, müssen die Benutzer App-Kennwörter erstellen. Weitere Informationen finden Sie im Leitfaden zu Azure AD Multi-Factor Authentication für Endbenutzer.

Konvertieren der aktivierten und erzwungenen benutzerspezifischen MFA in deaktiviert

Wenn für Ihre Benutzer die Azure AD Multi-Factor Authentication pro Benutzer aktiviert und erzwungen wurde, können Sie mithilfe des folgenden PowerShell-Codes eine Konvertierung in die Azure AD Multi-Factor Authentication mit bedingtem Zugriff vornehmen.

Führen Sie diese PowerShell-Instanz in einem ISE-Fenster aus, oder speichern Sie sie zur lokalen Ausführung als .PS1-Datei. Der Vorgang kann nur mithilfe des Moduls MSOnline ausgeführt werden.

# Connect to tenant
Connect-MsolService

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Nächste Schritte

Informationen zum Konfigurieren der Einstellungen von Azure AD Multi-Factor Authentication finden Sie unter Konfigurieren von Azure AD Multi-Factor Authentication-Einstellungen.

Informationen zum Verwalten von Benutzereinstellungen für Azure AD Multi-Factor Authentication finden Sie unter Verwalten von Benutzereinstellungen mit Azure AD Multi-Factor Authentication.

Lesen Sie Azure AD Multi-Factor Authentication-Berichte, um zu verstehen, warum ein Benutzer zur Ausführung von MFA aufgefordert bzw. nicht aufgefordert wurde.