Freigeben über


Planen der Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung

Bei der Microsoft Entra Multi-Faktor-Authentifizierung wird der Zugriff auf Daten und Anwendungen durch die Bereitstellung einer weiteren Sicherheitsebene unter Verwendung einer zweiten Authentifizierungsform geschützt. Organisationen können die mehrstufige Authentifizierung mit bedingtem Zugriff aktivieren, damit die Lösung ihren spezifischen Anforderungen entspricht.

In diesem Bereitstellungshandbuch erfahren Sie, wie Sie eine mehrstufige Microsoft Entra-Authentifizierung planen und implementieren.

Voraussetzungen für die Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung

Bevor Sie mit der Bereitstellung beginnen, sollten Sie sich vergewissern, dass die folgenden Voraussetzungen für die jeweiligen Szenarios erfüllt sind.

Szenario Voraussetzung
Reine Cloudidentitätsumgebung mit moderner Authentifizierung Keine erforderlichen Aufgaben
Hybrididentitätsszenarien Stellen Sie Microsoft Entra Connect bereit, und synchronisieren Sie Benutzeridentitäten zwischen den lokalen Active Directory Domain Services (AD DS) und microsoft Entra ID.
Lokale Legacyanwendungen , die für den Cloudzugriff veröffentlicht wurden Bereitstellen des Microsoft Entra-Anwendungsproxys

Auswählen der Authentifizierungsmethoden für die mehrstufige Authentifizierung

Es gibt viele Methoden, die für eine zweistufige Authentifizierung verwendet werden können. Sie können die in der Liste der verfügbaren Authentifizierungsmethoden auf ihre Sicherheit, Benutzerfreundlichkeit und Verfügbarkeit hin prüfen und eine Methode auswählen.

Wichtig

Aktivieren Sie mehrere MFA-Methoden, sodass Benutzer eine Methode in der Hinterhand haben, falls deren hauptsächlich verwendete Methode nicht verfügbar ist. Die Methoden umfassen:

Berücksichtigen Sie bei der Auswahl der Authentifizierungsmethoden, die in Ihrem Mandanten verwendet werden sollen, die Sicherheit und Benutzerfreundlichkeit dieser Methoden:

Auswählen der richtigen Authentifizierungsmethode

Weitere Informationen zur Leistungsfähigkeit und Sicherheit dieser Methoden und ihrer Funktionsweise finden Sie in den folgenden Ressourcen:

Ein optimales Maß an Flexibilität und Benutzerfreundlichkeit bietet die Microsoft Authenticator-App. Diese Authentifizierungsmethode bietet die bestmögliche Benutzererfahrung und verfügt über mehrere Modi, z. B. kennwortlose Authentifizierung, MFA-Pushbenachrichtigungen und OATH-Codes. Die Microsoft Authenticator-App erfüllt auch die Anforderungen des National Institute of Standards and Technology (NIST) Authenticator Assurance Level 2.

Sie können die in Ihrem Mandanten verfügbaren Authentifizierungsmethoden steuern. So sollten Sie beispielsweise besonders unsichere Methoden wie SMS blockieren.

Authentifizierungsmethode Verwalten über Bereichsdefinition
Microsoft Authenticator (Pushbenachrichtigung und kennwortlose Anmeldung per Telefon) MFA-Einstellungen oder Authentifizierungsmethodenrichtlinie Die in Authenticator verfügbare kennwortlose Anmeldung per Telefon kann auf Benutzer und Gruppen beschränkt werden.
FIDO2-Sicherheitsschlüssel Richtlinien für Authentifizierungsmethoden Kann auf Benutzer und Gruppen beschränkt werden
OATH-Token für Software oder Hardware MFA-Einstellungen
SMS-Verifizierung MFA-Einstellungen
Verwalten der Anmeldung per SMS als primäre Authentifizierung in der Authentifizierungsrichtlinie
Die SMS-Anmeldung kann auf Benutzer und Gruppen beschränkt werden.
Sprachanrufe Richtlinien für Authentifizierungsmethoden

Planen von Richtlinien für bedingten Zugriff

Die Microsoft Entra-Multi-Faktor-Authentifizierung wird mit Richtlinien für bedingten Zugriff erzwungen. Diese Richtlinien ermöglichen es Ihnen, Benutzer zur MFA aufzufordern, wenn sie aus Sicherheitsgründen erforderlich ist, und sie Benutzern zu ersparen, wenn sie nicht erforderlich ist.

Konzeptioneller Prozessfluss für bedingten Zugriff

Im Microsoft Entra Admin Center konfigurieren Sie Richtlinien für bedingten Zugriff unter entra ID>Conditional Access.

Weitere Informationen zum Erstellen von Richtlinien für bedingten Zugriff finden Sie in der Richtlinie für bedingten Zugriff, um bei der Anmeldung eines Benutzers zur mehrstufigen Microsoft Entra-Authentifizierung aufzufordern. Das hilft Ihnen bei Folgendem:

  • Vertrautwerden mit der Benutzeroberfläche
  • Einführung in die Funktionsweise von bedingtem Zugriff

End-to-End-Anleitungen zur Bereitstellung des bedingten Zugriffs in Microsoft Entra finden Sie im Bereitstellungsplan für bedingten Zugriff.

Allgemeine Richtlinien für die Microsoft Entra-Multi-Faktor-Authentifizierung

Häufige Anwendungsfälle, die Microsoft Entra-Multi-Faktor-Authentifizierung erfordern:

Benannte Orte

Beim Verwalten der Richtlinien für bedingten Zugriff können Sie mit der Standortbedingung einer Richtlinie für bedingten Zugriff die Einstellungen der Zugriffssteuerung an die Netzwerkstandorte Ihrer Benutzer knüpfen. Es wird empfohlen, benannte Speicherorte zu verwenden, damit Sie logische Gruppierungen von IP-Adressbereichen oder Ländern und Regionen erstellen können. Daraufhin wird eine Richtlinie für alle Apps erstellt, die die Anmeldung von diesem benannten Standort blockieren. Stellen Sie sicher, dass Ihre Administratoren von dieser Richtlinie ausgenommen sind.

Risikobasierte Richtlinien

Wenn Ihre Organisation Microsoft Entra ID Protection verwendet, um Risikosignale zu erkennen, sollten Sie risikobasierte Richtlinien anstelle von benannten Standorten verwenden. Richtlinien können erstellt werden, um Kennwortänderungen zu erzwingen, wenn eine Gefahr einer kompromittierten Identität besteht oder MFA erforderlich ist, wenn eine Anmeldung als risikobehaftet gilt, z. B. durchleckige Anmeldeinformationen, Anmeldungen von anonymen IP-Adressen und mehr.

Folgende Risikorichtlinien sind verfügbar:

Konvertieren von Benutzern von „MFA pro Benutzer“ zu „MFA mit bedingtem Zugriff“

Wenn Ihre Benutzer die MFA pro Benutzer aktiviert und die mehrstufige Microsoft Entra-Authentifizierung erzwungen haben, empfiehlt es sich, den bedingten Zugriff für alle Benutzer zu aktivieren und dann die mehrstufige Authentifizierung pro Benutzer manuell zu deaktivieren. Weitere Informationen finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff.

Planen der Lebensdauer von Benutzersitzungen

Bei der Planung Ihrer MFA-Bereitstellung müssen Sie überlegen, wie oft Sie die Benutzer zu einer Eingabe auffordern möchten. Benutzer zur Angabe von Anmeldeinformationen aufzufordern, kann häufig sinnvoll erscheinen, sich aber nachteilig auswirken. Wenn Benutzer darin geschult werden, ihre Anmeldeinformationen ohne Nachdenken einzugeben, können sie diese versehentlich in einer böswilligen Eingabeaufforderung für Anmeldeinformationen angeben. Microsoft Entra ID verfügt über mehrere Einstellungen, mit denen bestimmt wird, wie oft Sie sich erneut authentifizieren müssen. Machen Sie sich mit den Anforderungen Ihres Unternehmens und Ihrer Benutzer vertraut, und konfigurieren Sie die Einstellungen, die für Ihre Umgebung die beste Kombination bieten.

Es wird empfohlen, Geräte mit primären Aktualisierungstoken (Primary Refresh Tokens, PRT) zu verwenden, um den Ablauf für den Endbenutzer zu verbessern und die Lebensdauer einer Sitzung mit eine Richtlinie für die Anmeldehäufigkeit nur in bestimmten geschäftlichen Anwendungsfällen zu verkürzen.

Weitere Informationen finden Sie unter Optimieren von Aufforderungen zur erneuten Authentifizierung und Verstehen der Sitzungsdauer für die mehrstufige Microsoft Entra-Authentifizierung.

Planen der Benutzerregistrierung

Ein wichtiger Schritt bei jeder Multi-Faktor-Authentifizierung-Bereitstellung ist die Registrierung von Benutzer*innen für die Verwendung der Microsoft Entra-Multi-Faktor-Authentifizierung. Authentifizierungsmethoden wie Sprach- und SMS-Nachrichten ermöglichen die Vorregistrierung, während andere wie die Authenticator-App eine Benutzerinteraktion erfordern. Administratoren müssen bestimmen, wie Benutzer ihre Methoden registrieren.

Die kombinierte Registrierung für SSPR und die Multi-Faktor-Authentifizierung von Microsoft Entra

Die kombinierte Registrierung für die mehrstufige Microsoft Entra-Authentifizierung und self-Service Password Reset (SSPR) ermöglicht Benutzern die Registrierung für MFA und SSPR in einer einheitlichen Umgebung. SSPR ermöglicht Benutzern das sichere Zurücksetzen des Kennworts mithilfe derselben Methoden, die sie für die Multi-Faktor-Authentifizierung von Microsoft Entra verwenden. Um sicherzustellen, dass Sie die Funktionalität und die Endbenutzerumgebung verstehen, lesen Sie die Kombinierten Sicherheitsinformationsregistrierungskonzepte.

Wichtig ist, dass Sie Benutzer über anstehende Änderungen, Registrierungsanforderungen und ggf. erforderliche Benutzeraktionen informieren. Wir stellen Kommunikationsvorlagen und Benutzerdokumentation bereit , um Ihre Benutzer auf die neue Oberfläche vorzubereiten und einen erfolgreichen Rollout sicherzustellen. Senden Sie Benutzer zum Registrieren an https://myprofile.microsoft.com, indem sie auf dieser Seite den Link Sicherheitsinformationen auswählen.

Registrierung mit Microsoft Entra ID Protection

Microsoft Entra ID Protection trägt sowohl eine Registrierungsrichtlinie als auch automatische Risikoerkennungs- und Wartungsrichtlinien zur Microsoft Entra-Multi-Faktor-Authentifizierung bei. Sie können Richtlinien erstellen, um bei Gefahr einer Identitätskompromittierung Kennwortänderungen zu erzwingen oder MFA zu verlangen, wenn eine Anmeldung als riskant eingestuft wird. Wenn Sie Microsoft Entra ID Protection verwenden, konfigurieren Sie die Mehrstufige Authentifizierungsregistrierungsrichtlinie von Microsoft Entra , um Ihre Benutzer aufzufordern, sich bei der nächsten interaktiven Anmeldung zu registrieren.

Registrierung ohne Microsoft Entra ID Protection

Wenn Sie keine Lizenzen zum Aktivieren von Microsoft Entra ID Protection haben, werden Ihre Benutzer*innen aufgefordert, sich das nächste Mal zu registrieren, wenn MFA bei der Anmeldung erforderlich ist. Wenn Sie festlegen möchten, dass Benutzer MFA verwenden müssen, können Sie Richtlinien für bedingten Zugriff verwenden und häufig verwendete Anwendungen wie HR-Systeme als Ziel verwenden. Wenn das Kennwort eines Benutzers kompromittiert wird, könnte es zum Registrieren für MFA verwendet und dabei die Kontrolle über das Konto übernommen werden. Daher wird empfohlen, den Sicherheitsregistrierungsprozess mit Richtlinien für bedingten Zugriff zu schützen , die vertrauenswürdige Geräte und Speicherorte erfordern. Sie können den Prozess weiter sichern, indem Sie auch einen temporären Zugriffspass benötigen. Ein von einem Administrator ausgegebener zeitlich begrenzter Passcode, der strenge Authentifizierungsanforderungen erfüllt und zum Integrieren anderer Authentifizierungsmethoden wie kennwortloser Methoden verwendet werden kann.

Erhöhen der Sicherheit registrierter Benutzer

Wenn Sie Benutzer für MFA per SMS oder Sprachanrufe registriert haben, sollten Sie diese auf sicherere Methoden wie die Microsoft Authenticator-App umstellen. Microsoft bietet jetzt eine öffentliche Vorschau der Funktionalität, mit der Sie Benutzer auffordern können, die Microsoft Authenticator-App während der Anmeldung einzurichten. Sie können diese Eingabeaufforderungen nach Gruppen festlegen und auf diese Weise bestimmen, wer zur Eingabe aufgefordert wird, sowie gezielte Kampagnen zur Umstellung von Benutzern auf sicherere Methoden durchführen.

Planen von Wiederherstellungsszenarios

Wie bereits erwähnt, sollten Sie sicherstellen, dass die Benutzer für mehrere MFA-Methoden registriert sind, damit sie entsprechend ausweichen können, wenn eine Methode nicht verfügbar ist. Wenn dem Benutzer keine Methode zum Ausweichen zur Verfügung steht, haben Sie folgende Möglichkeiten:

  • Stellen Sie ihm einen befristeten Zugriffspass zur Verfügung, damit er eigene Authentifizierungsmethoden verwenden kann. Sie können einen befristeten Zugriffspass auch bereitstellen, um einen befristeten Zugriff auf Ressourcen zu ermöglichen.
  • Aktualisieren Sie als Administrator die Methoden des Benutzers. Wählen Sie dazu den Benutzer im Microsoft Entra Admin Center aus, und wählen Sie dann entraID-Authentifizierungsmethoden> aus, und aktualisieren Sie ihre Methoden.

Planen der Integration mit lokalen Systemen

Anwendungen, die sich direkt bei Microsoft Entra ID authentifizieren und die moderne Authentifizierung nutzen (WS-Fed, SAML, OAuth, OpenID Connect), können die Richtlinien für bedingten Zugriff verwenden. Einige ältere und lokale Anwendungen authentifizieren sich nicht direkt bei Microsoft Entra ID und erfordern zusätzliche Schritte zur Verwendung der Microsoft Entra-Multi-Faktor-Authentifizierung. Sie können sie mithilfe von Microsoft Entra-Anwendungsproxy oder Netzwerkrichtliniendiensten integrieren.

Integrieren mit AD FS-Ressourcen

Es wird empfohlen, mit Active Directory-Verbunddiensten (AD FS) geschützte Anwendungen zu Microsoft Entra ID zu migrieren. Wenn Sie diese jedoch noch nicht zu Microsoft Entra ID migrieren möchten, können Sie den Adapter für die Azure-Multi-Faktor-Authentifizierung mit AD FS ab Version 2016 verwenden.

Wenn Ihre Organisation mit der Microsoft Entra-ID verbunden ist, können Sie die mehrstufige Microsoft Entra-Authentifizierung als Authentifizierungsanbieter mit AD FS-Ressourcen sowohl lokal als auch in der Cloud konfigurieren.

RADIUS-Clients und Microsoft Entra-Multi-Faktor-Authentifizierung

Clientanwendungen, für die die RADIUS-Authentifizierung verwendet wird, sollten auf moderne Protokolle wie SAML, OpenID Connect oder OAuth in Microsoft Entra ID umgestellt werden. Wenn die Anwendung nicht aktualisiert werden kann, können Sie die Netzwerkrichtlinienservererweiterung (Network Policy Server, NPS) bereitstellen. Die NPS-Erweiterung fungiert als Adapter zwischen RADIUS-basierten Anwendungen und der Microsoft Entra-Multi-Faktor-Authentifizierung, um einen zweiten Authentifizierungsfaktor bereitzustellen.

Allgemeine Integrationen

Viele Anbieter unterstützen inzwischen die SAML-Authentifizierung für ihre Anwendungen. Es wird empfohlen, diese Anwendungen nach Möglichkeit mit Microsoft Entra ID zu verbinden und MFA über bedingten Zugriff zu erzwingen. Wenn Ihr Anbieter keine moderne Authentifizierung unterstützt, können Sie die NPS-Erweiterung verwenden. Allgemeine RADIUS-Clientintegrationen umfassen Anwendungen wie Remotedesktopgateways und VPN-Server.

Andere können folgende sein:

  • Citrix Gateway

    Citrix Gateway unterstützt sowohl die RADIUS- als auch die NPS-Erweiterungsintegration sowie eine SAML-Integration.

  • Cisco VPN

    • Das Cisco VPN unterstützt sowohl RADIUS- als auch SAML-Authentifizierung für SSO.
    • Durch den Wechsel von der RADIUS-Authentifizierung zu SAML können Sie Cisco VPN integrieren, ohne die NPS-Erweiterung bereitzustellen.
  • Alle VPNs

Bereitstellen der Microsoft Entra-Multi-Faktor-Authentifizierung

Ihr Rolloutplan für die Microsoft Entra-Multi-Faktor-Authentifizierung sollte eine Pilotbereitstellung enthalten, gefolgt von Bereitstellungsphasen, die innerhalb Ihrer Support-Kapazität liegen. Beginnen Sie den Rollout durch Anwenden von Richtlinien für den bedingten Zugriff auf eine kleine Gruppe von Pilotbenutzern. Nach dem Evaluieren der Auswirkungen auf die Pilotbenutzer, den verwendeten Prozess und das Registrierungsverhalten können Sie entweder der Richtlinie weitere Gruppen hinzufügen oder vorhandenen Gruppen weitere Benutzer hinzufügen.

Führen Sie folgende Schritte aus:

  1. Erfüllen Sie die notwendigen Voraussetzungen
  2. Konfigurieren Sie ausgewählte Authentifizierungsmethoden.
  3. Konfigurieren Sie Richtlinien für bedingten Zugriff.
  4. Konfigurieren Sie die Einstellungen für die Lebensdauer von Sitzungen.
  5. Konfigurieren der Registrierungsrichtlinien für die Microsoft Entra-Multi-Faktor-Authentifizierung

Verwalten der Microsoft Entra-Multi-Faktor-Authentifizierung

Dieser Abschnitt enthält Informationen zur Berichterstellung und Problembehandlung bei der Microsoft Entra-Multi-Faktor-Authentifizierung.

Berichterstellung und Überwachung

Microsoft Entra ID enthält Berichte mit technischen und geschäftlichen Informationen, mit denen der Fortschritt der Bereitstellung verfolgt und geprüft werden kann, ob sich Ihre Benutzer*innen mit MFA anmelden können. Sorgen Sie dafür, dass die Besitzer Ihrer geschäftlichen und technischen Anwendungen den Besitz dieser Berichte übernehmen und sie den Anforderungen Ihrer Organisation gemäß nutzen.

Sie können die Registrierung und Nutzung von Authentifizierungsmethoden in Ihrer Organisation mithilfe des Dashboards "Authentifizierungsmethodenaktivität" überwachen. So können Sie nachvollziehen, welche Methoden registriert werden und wie sie verwendet werden.

Verwenden Sie Anmeldeprotokolle, um MFA-Ereignisse zu überprüfen

Die Microsoft Entra-Anmeldeprotokolle enthalten Authentifizierungsdetails für Ereignisse, wenn ein Benutzer zur MFA aufgefordert wird und ob Richtlinien für bedingten Zugriff verwendet wurden.

NPS-Erweiterungs- und AD FS-Protokolle für Cloud-MFA-Aktivitäten sind jetzt in den Anmeldeprotokollen enthalten und nicht mehr im Aktivitätsbericht veröffentlicht.

Weitere Informationen und zusätzliche Berichte zur Mehrfaktor-Authentifizierung von Microsoft Entra finden Sie unter Microsoft Entra Multifaktor-Authentifizierungsereignisse.

Problembehandlung bei der Microsoft Entra-Multi-Faktor-Authentifizierung

Informationen zu häufig auftretenden Problemen bei der mehrstufigen Authentifizierung von Microsoft Entra finden Sie in der Problembehandlung.

Exemplarische Vorgehensweise

Eine geführte exemplarische Vorgehensweise für viele der Empfehlungen in diesem Artikel finden Sie in der geführten exemplarischen Vorgehensweise zum Konfigurieren der mehrstufigen Authentifizierung in Microsoft 365.

Nächste Schritte

Bereitstellung anderer Identitätsfunktionen