Tutorial: Erzwingen der mehrstufigen Authentifizierung für B2B-Gastbenutzer

Bei der Zusammenarbeit mit externen B2B-Gastbenutzern wird empfohlen, Ihre Apps mit Richtlinien für die mehrstufige Authentifizierung (Multi-Factor Authentification, MFA) zu schützen. Denn dann benötigen externe Benutzer mehr als nur einen Benutzernamen und ein Kennwort, um auf Ihre Ressourcen zuzugreifen. In Azure Active Directory (Azure AD) ist dies mit einer Richtlinie für bedingten Zugriff möglich, die MFA für den Zugriff erfordert. MFA-Richtlinien können auf Mandanten-, App- oder Einzelbenutzerebene erzwungen werden, so wie sie auch für Mitglieder Ihrer eigenen Organisation aktiviert werden können. Der Ressourcenmandant ist immer für die mehrstufige Azure AD-Authentifizierung für Benutzer zuständig. Dies gilt auch, wenn die Organisation des Gastbenutzers über Funktionen für die mehrstufige Authentifizierung verfügt.

Beispiel:

Diagramm einer Gastbenutzeranmeldung bei Apps eines Unternehmens

  1. Ein Administrator oder Mitarbeiter von Unternehmen A lädt einen Gastbenutzer ein, eine Cloud oder lokale Anwendung zu verwenden, die so konfiguriert ist, dass sie MFA für den Zugriff erfordert.
  2. Der Gastbenutzer meldet sich mit seinem Geschäfts-, Schul- oder Unikonto bzw. mit seiner Identität bei einem sozialen Netzwerk an.
  3. Der Benutzer wird aufgefordert, eine MFA auszuführen.
  4. Der Benutzer richtet die MFA bei Unternehmen A ein und wählt deren MFA-Option aus. Dem Benutzer wird der Zugriff auf die Anwendung gewährt.

Hinweis

Die mehrstufige Azure AD-Authentifizierung wird auf dem Ressourcenmandanten durchgeführt, um die Vorhersagbarkeit sicherzustellen. Wenn sich der Gastbenutzer anmeldet, wird im Hintergrund die Anmeldeseite des Ressourcenmandanten angezeigt, und im Vordergrund werden die Anmeldeseite für den eigenen Basismandanten und das Unternehmenslogo angezeigt.

In diesem Lernprogramm lernen Sie Folgendes:

  • Testen der Anmeldung vor dem MFA-Setup.
  • Erstellen einer Richtlinie für bedingten Zugriff, die MFA für den Zugriff auf eine Cloud-App in Ihrer Umgebung verlangt. In diesem Tutorial wird dieser Vorgang anhand der Microsoft Azure-Verwaltungs-App veranschaulicht.
  • Verwenden des What If-Tools zum Simulieren der MFA-Anmeldung.
  • Testen der Richtlinie für bedingten Zugriff.
  • Löschen des Testbenutzers und der Richtlinie.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

Für die Durchführung des Szenarios im Rahmen dieses Tutorials benötigen Sie Folgendes:

  • Zugriff auf Azure AD Premium. Zum Funktionsumfang dieser Edition gehört die Richtlinie für bedingten Zugriff. Um MFA zu erzwingen, müssen Sie eine Azure AD-Richtlinie für bedingten Zugriff erstellen. Die MFA-Richtlinien werden in Ihrer Organisation immer erzwungen, unabhängig davon, ob Partner über MFA-Funktionen verfügen.
  • Ein gültiges externes E-Mail-Konto, das Sie Ihrem Mandantenverzeichnis als Gastbenutzer hinzufügen und zum Anmelden verwenden können. Wie Sie ein Gastkonto erstellen, erfahren Sie unter Hinzufügen von B2B-Gastbenutzern im Azure-Portal.

Erstellen eines Testgastbenutzers in Azure AD

  1. Melden Sie sich beim Azure-Portal als Azure AD-Administrator an.

  2. Wählen Sie im Azure-Portal die Option Azure Active Directory aus.

  3. Wählen Sie im Menü auf der linken Seite unter Verwalten die Option Benutzer aus.

  4. Wählen Sie Neuer Benutzer und dann Externen Benutzer einladen aus.

    Screenshot der Auswahl der Option „Neuer Gastbenutzer“

  5. Geben Sie unter Identität die E-Mail-Adresse des externen Benutzers ein. Geben Sie optional einen Namen und eine Begrüßungsnachricht ein.

    Screenshot der Eingabe der Gast-E-Mail-Adresse

  6. Klicken Sie auf Einladen. Die Einladung wird daraufhin automatisch an den Gastbenutzer gesendet. Daraufhin wird die Meldung Benutzer erfolgreich eingeladen. angezeigt.

  7. Nach dem Senden der Einladung wird das Benutzerkonto dem Verzeichnis automatisch als Gast hinzugefügt.

Testen der Anmeldung vor dem MFA-Setup

  1. Melden Sie sich mit Ihrem Testbenutzernamen und dem dazugehörigen Kennwort im Azure-Portal an.
  2. Sie sollten nur mit Ihren Anmeldeinformationen auf das Azure-Portal zugreifen können. Es ist keine andere Authentifizierung erforderlich.
  3. Melden Sie sich ab.

Erstellen einer Richtlinie für bedingten Zugriff mit erforderlicher MFA

  1. Melden Sie sich am Azure-Portal als Sicherheitsadministrator oder Administrator für bedingten Zugriff an.

  2. Wählen Sie im Azure-Portal die Option Azure Active Directory aus.

  3. Wählen Sie im Menü auf der linken Seite unter Verwalten die Option Sicherheit aus.

  4. Wählen Sie unter Schützen die Option Bedingter Zugriff aus.

  5. Wählen Sie auf der Seite Bedingter Zugriff in der Symbolleiste oben Neue Richtlinie aus.

  6. Geben Sie auf der Seite Neu im Textfeld NameMehrstufige Authentifizierung für Zugriff auf B2B-Portal erforderlich ein.

  7. Wählen Sie im Abschnitt Zuweisungen den Link unter Benutzer und Gruppen aus.

  8. Wählen Sie auf der Seite Benutzer und Gruppen die Option Benutzer und Gruppen auswählen und dann Gast- oder externen Benutzer aus. Sie können die Richtlinie verschiedenen externen Benutzertypen, integrierten Verzeichnisrollen oder Benutzer*innen und Gruppen zuweisen.

    Screenshot der Auswahl aller Gastbenutzer

  9. Wählen Sie im Abschnitt Zuweisungen den Link unter Cloudanwendungen oder -aktionen aus.

  10. Wählen Sie Apps auswählen und dann den Link unter Auswählen aus.

    Screenshot der Seite „Cloud-Apps“ und der Option „Auswählen“

  11. Wählen Sie auf der Seite Auswählen die Option Microsoft Azure-Verwaltung und dann Auswählen aus.

  12. Wählen Sie auf der Seite Neu im Abschnitt Zugriffskontrollen den Link unter Gewähren aus.

  13. Wählen Sie auf der Seite Gewähren die Option Zugriff gewähren aus, aktivieren Sie das Kontrollkästchen Mehrstufige Authentifizierung erforderlich, und wählen Sie dann Auswählen aus.

    Screenshot der Option „Multi-Faktor-Authentifizierung erfordern“

  14. Wählen Sie unter Richtlinie aktivieren die Option An aus.

    Screenshot der Option „Richtlinie aktivieren“, die auf „Ein“ festgelegt ist

  15. Klicken Sie auf Erstellen.

Simuliertes Anmelden mit der What If-Option

  1. Wählen Sie auf der Seite Bedingter Zugriff | Richtlinien die Option What If aus.

    Screenshot, auf dem hervorgehoben ist, wo Sie auf der Seite „Bedingter Zugriff – Richtlinien“ die Option „What if“ auswählen

  2. Wählen Sie den Link unter Benutzer aus.

  3. Geben Sie im Suchfeld den Namen Ihres Testgastbenutzers ein. Wählen Sie in den Suchergebnissen den Benutzer aus, und wählen Sie dann Auswählen aus.

    Screenshot eines ausgewählten Gastbenutzers

  4. Wählen Sie den Link unter Cloud apps, actions, or authentication content (Cloud-Apps, Aktionen oder Authentifizierungsinhalt) aus. Wählen Sie Apps auswählen und dann den Link unter Auswählen aus.

    Screenshot der ausgewählten Microsoft Azure-Verwaltungs-App

  5. Wählen Sie auf der Seite Cloud-Apps in der Anwendungsliste Microsoft Azure-Verwaltung und dann Auswählen aus.

  6. Wählen Sie What If aus, und überprüfen Sie, ob Ihre neue Richtlinie auf der Registerkarte Anzuwendende Richtlinien unter Auswertungsergebnisse angezeigt wird.

    Screenshot der Ergebnisse der What If-Auswertung

Testen der Richtlinie für bedingten Zugriff

  1. Melden Sie sich mit Ihrem Testbenutzernamen und dem dazugehörigen Kennwort im Azure-Portal an.

  2. Sie sollten eine Anforderung für zusätzliche Authentifizierungsmethoden sehen. Es kann einige Zeit dauern, bis die Richtlinie wirksam wird.

    Screenshot der Meldung „Weitere Informationen erforderlich“

    Hinweis

    Sie können auch mandantenübergreifende Zugriffseinstellungen konfigurieren, um der Multi-Faktor-Authentifizierung vom Azure AD-Home-Mandanten zu vertrauen. Dadurch können externe Azure AD-Benutzer*innen die Multi-Faktor-Authentifizierung verwenden, die in ihrem eigenen Mandanten registriert ist, anstatt sich beim Ressourcen-Mandanten zu registrieren.

  3. Melden Sie sich ab.

Bereinigen von Ressourcen

Löschen Sie den Testbenutzer und die Testrichtlinie für bedingten Zugriff, wenn sie nicht mehr benötigt werden.

  1. Melden Sie sich beim Azure-Portal als Azure AD-Administrator an.
  2. Wählen Sie im linken Bereich Azure Active Directory aus.
  3. Wählen Sie unter Verwalten die Option Benutzer aus.
  4. Wählen Sie den Testbenutzer und dann Benutzer löschen aus.
  5. Wählen Sie im linken Bereich Azure Active Directory aus.
  6. Wählen Sie unter SicherheitBedingter Zugriff aus.
  7. Wählen Sie in der Liste Richtlinienname das Kontextmenü (...) für Ihre Testrichtlinie und dann Löschen aus. Klicken Sie auf Ja, um zu bestätigen.

Nächste Schritte

In diesem Tutorial haben Sie eine Richtlinie für bedingten Zugriff erstellt, die voraussetzt, dass Gastbenutzer zum Anmelden bei einer Ihrer Cloud-Apps MFA verwenden. Weitere Informationen zum Hinzufügen von Gastbenutzern für die Zusammenarbeit finden Sie unter Hinzufügen von Benutzern für die Azure Active Directory B2B-Zusammenarbeit im Azure-Portal.