Share via

Hinzufügen der Multi-Faktor-Authentifizierung (MFA) zu einer App

  • Artikel

In einem externen Mandant von Microsoft Entra External ID können Sie Ihre Anwendungen für Privat- und Geschäftskunden mit einer zusätzlichen Sicherheitsebene ausstatten, indem Sie eine Multi-Faktor-Authentifizierung (MFA) durchsetzen. Mit MFA müssen Benutzerinnen und Benutzer bei jeder Anmeldung einen einmaligen Passcode per E-Mail eingeben. In diesem Artikel wird beschrieben, wie Sie die MFA für Ihre Kunden erzwingen, indem Sie eine Microsoft Entra-Richtlinie für bedingten Zugriff erstellen und die MFA zu Ihrem Benutzerflow für die Registrierung und Anmeldung hinzufügen.

Wichtig

Wenn Sie die MFA aktivieren möchten, legen Sie die Authentifizierungsmethode Ihres lokalen Kontos auf E-Mail mit Kennwort fest. Wenn Sie die Option für Ihr lokales Konto auf E-Mail mit Einmal-Passcode festlegen, können sich Kunden, die diese Methode verwenden, nicht anmelden, da der Einmal-Passcode bereits ihre Anmeldemethode für den ersten Faktor ist und nicht als zweiter Faktor verwendet werden kann. Derzeit ist der Einmal-Passcode die einzige Methode, die für die MFA in externen Mandanten verfügbar ist.

Tipp

Jetzt testen

Um dieses Feature auszuprobieren, gehen Sie zur Woodgrove Groceries Demo und starten Sie den Anwendungsfall Multi-Factor Authentication.

Voraussetzungen

  • Ein externer Microsoft Entra-Mandant (wenn Sie keinen Mandanten haben, können Sie eine kostenlose Testversion starten).
  • Ein Benutzerflow zum Registrieren und Anmelden, bei dem die Authentifizierungsmethode für das lokale Konto auf E-Mail mit Kennwort eingestellt ist.
  • Eine App, die in Ihrem externen Mandanten registriert ist, dem Benutzerflow für die Registrierung und Anmeldung hinzugefügt und aktualisiert wird, um auf den Benutzerflow für die Authentifizierung zu verweisen.
  • Ein Konto mit mindestens der Rolle „Sicherheitsadministrator“, um Richtlinien für bedingten Zugriff und MFA konfigurieren zu können.

Erstellen der Richtlinie für bedingten Zugriff

Erstellen Sie eine Richtlinie für bedingten Zugriff in Ihrem externen Mandanten, in der die Benutzer*innen zur MFA aufgefordert werden, wenn sie sich bei Ihrer App registrieren oder anmelden. (Weitere Informationen finden Sie unter Allgemeine Richtlinie für bedingten Zugriff: Anfordern der MFA für alle Benutzer.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

  3. Browsen Sie zu Identität>Schutz>Security Center.

  4. Wählen Sie Bedingter Zugriff>Richtlinien und dann Neue Richtlinie aus.

    Screenshot der Schaltfläche „Neue Richtlinie“.

  5. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

  6. Wählen Sie unter Zuweisungen den Link unter Benutzer aus.

    a. Wählen Sie auf der Registerkarte Einschließen die Option Alle Benutzer aus.

    b. Wählen Sie auf der Registerkarte Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.

    Screenshot der Zuweisung von Benutzern zu der neuen Richtlinie.

  7. Wählen Sie unter Cloud-Apps oder -Aktionen den Link aus.

    a. Wählen Sie auf der Registerkarte „Einschließen“ eine der folgenden Optionen aus:

    • Wählen Sie Alle Cloud-Apps aus.

    • Wählen Sie Apps auswählen und dann den Link unter Auswählen aus. Suchen Sie Ihre App, wählen Sie sie aus, und wählen anschließend Auswählen aus.

    b. Wählen Sie unter Ausschließen alle Anwendungen aus, für die keine Multi-Faktor-Authentifizierung erforderlich ist.

    Screenshot der Zuweisung von Apps zu der neuen Richtlinie.

  8. Wählen Sie unter Zugriffssteuerungen den Link unter Zuweisung aus. Wählen Sie Zugriff gewähren, dann Mehrstufige Authentifizierung anfordern und schließlich Auswählen aus.

    Screenshot der MFA-Anforderung.

  9. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.

  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Aktivieren des Einmal-Passcode per E-Mail als MFA-Methode

Aktivieren Sie die Authentifizierungsmethode mit dem Einmal-Passcode per E-Mail in Ihrem externen Mandanten für alle Benutzer*innen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Schutz>Authentifizierungsmethoden.

  3. Wählen Sie aus der Liste MethodeE-Mail-OTP aus.

    Screenshot der Option „Einmal-Passcode per E-Mail.

  4. Aktivieren Sie unter Aktivieren und Ziel den Umschalter Aktivieren.

  5. Wählen Sie unter Einschließen neben Ziel die Option Alle Benutzer aus.

    Screenshot der Aktivierung des Einmal-Passcodes per E-Mail.

  6. Wählen Sie Speichern aus.

Testen der Anmeldung

Öffnen Sie Ihre Anwendung in einem privaten Browser, und wählen Sie Anmelden aus. Sie sollten aufgefordert werden, eine andere Authentifizierungsmethode auszuwählen.