Freigeben über

Tutorial: Migrieren von Okta-Anmelderichtlinien zu Microsoft Entra Conditional Access

In diesem Tutorial erfahren Sie, wie Sie eine Organisation von globalen Anmelderichtlinien oder Anmelderichtlinien auf Anwendungsebene in Okta Conditional Access in Microsoft Entra ID migrieren. Richtlinien für bedingten Zugriff schützen den Benutzerzugriff in Microsoft Entra ID und verbundenen Anwendungen.

Weitere Informationen: Was ist bedingter Zugriff?

In diesem Tutorial wird Folgendes vorausgesetzt:

  • Ein Office 365-Mandanten mit einem Verbund mit Okta für die Anmeldung und die Multi-Faktor-Authentifizierung
  • Microsoft Entra Connect-Server oder Microsoft Entra Connect-Cloudbereitstellungs-Agents, die für die Benutzerbereitstellung mit Microsoft Entra ID konfiguriert sind

Voraussetzungen

In den folgenden zwei Abschnitten finden Sie die Voraussetzungen für Lizenzierung und Anmeldeinformationen.

Lizenzierung

Es gibt Lizenzierungsanforderungen, wenn Sie von der Okta-Anmeldung zu bedingtem Zugriff wechseln. Der Prozess erfordert eine Microsoft Entra ID P1-Lizenz, um die Registrierung für die Multi-Faktor-Authentifizierung mit Microsoft Entra zu aktivieren.

Weitere Informationen: Zuweisen oder Entfernen von Lizenzen im Microsoft Entra Admin Center

Anmeldeinformationen als Enterprise-Administrator

Stellen Sie zum Konfigurieren des Datensatzes für den Dienstverbindungspunkt (Service Connection Point, SCP) sicher, dass Sie über Enterprise-Administrator-Anmeldeinformationen in der lokalen Gesamtstruktur verfügen.

Auswerten von Okta-Anmelderichtlinien für den Übergang

Suchen und bewerten Sie Okta-Anmelderichtlinien, um zu bestimmen, was zu Microsoft Entra ID übergeht.

  1. Wechseln Sie in Okta zu Sicherheit>Authentifizierung>Anmeldung.

    Screenshot der globalen MFA-Anmelderichtlinieneinträge auf der Seite

  2. Wechseln Sie zu "Anwendungen".

  3. Wählen Sie im Untermenü "Anwendungen"

  4. Wählen Sie in der Liste "Aktive Apps" die mit Microsoft Office 365 verbundene Instanz aus.

    Screenshot der Einstellungen unter

  5. Wählen Sie "Anmelden" aus.

  6. Scrollen Sie zum Ende der Seite.

Die Microsoft Office 365-Anwendungsanmelderichtlinie umfasst vier Regeln:

  • MFA für mobile Sitzungen erzwingen – erfordert MFA für mobile Authentifizierungs- oder Browsersitzungen auf iOS oder Android.
  • Zulassen vertrauenswürdiger Windows-Geräte – verhindert unnötige Überprüfungen oder Faktoraufforderungen für vertrauenswürdige Okta-Geräte
  • MFA von nicht vertrauenswürdigen Windows-Geräten anfordern – erfordert MFA von modernen Authentifizierungs- oder Browsersitzungen auf nicht vertrauenswürdigen Windows-Geräten
  • Blockieren der Legacyauthentifizierung – Verhindert, dass Legacyauthentifizierungsclients eine Verbindung mit dem Dienst herstellen

Der folgende Screenshot zeigt Bedingungen und Aktionen für die vier Regeln auf dem Bildschirm „Anmelderichtlinie“.

Screenshot der Bedingungen und Aktionen für die vier Regeln auf dem Bildschirm

Konfigurieren von Richtlinien für bedingten Zugriff

Konfigurieren Sie Richtlinien für bedingten Zugriff, um Okta-Bedingungen zu entsprechen. In einigen Szenarien benötigen Sie jedoch möglicherweise mehr Setup:

  • Okta-Netzwerkadressen für benannte Standorte in Microsoft Entra ID
  • Okta-Gerätevertrauensstellung für gerätebasierten bedingten Zugriff (zwei Optionen zum Auswerten von Benutzergeräten):
    • Siehe den folgenden Abschnitt: Microsoft Entra Hybrid Join-Konfiguration zum Synchronisieren von Windows-Geräten wie Windows 10, Windows Server 2016 und 2019 mit Microsoft Entra ID
    • Weitere Informationen finden Sie im folgenden Abschnitt: Konfigurieren der Gerätekompatibilität
    • Siehe Verwenden Sie die Microsoft Entra-Hybridbeitritt, ein Feature des Microsoft Entra Connect, das Windows-Geräte wie Windows 10, Windows Server 2016 und Windows Server 2019 mit Microsoft Entra ID synchronisiert.
    • Siehe: Registrieren des Geräts in Microsoft Intune und Zuweisen einer Compliancerichtlinie

Microsoft Entra Hybrid Join-Konfiguration

Führen Sie den Konfigurations-Assistenten aus, um Microsoft Entra Hybrid Join auf Ihrem Microsoft Entra Connect-Server zu aktivieren. Registrieren Sie nach der Konfiguration Geräte.

Hinweis

Microsoft Entra Hybrid Join wird mit den Microsoft Entra Connect-Cloudbereitstellungs-Agents nicht unterstützt.

  1. Konfigurieren Der Microsoft Entra-Hybridbeitritt.

  2. Wählen Sie auf der Seite "SCP-Konfiguration " die Dropdownliste " Authentifizierungsdienst " aus.

    Screenshot der Dropdownliste

  3. Wählen Sie eine Okta-Verbundanbieter-URL aus.

  4. Wählen Sie "Hinzufügen" aus.

  5. Geben Sie Ihre Anmeldeinformationen für den lokalen Enterprise-Administrator ein

  6. Wählen Sie "Weiter" aus.

    Tipp

    Wenn Sie die Legacy-Authentifizierung auf Windows-Clients entweder in der globalen Anmelderichtlinie oder der Anmelderichtlinie auf Anwendungsebene blockiert haben, erstellen Sie eine Regel, die den Abschluss des Microsoft Entra Hybrid Join-Prozesses ermöglicht. Lassen Sie den Legacy-Authentifizierungsstapel für Windows-Clients zu.
    Um benutzerdefinierte Clientzeichenfolgen für App-Richtlinien zu aktivieren, wenden Sie sich an das Okta-Hilfecenter.

Konfigurieren Sie die Gerätekonformität

Microsoft Entra Hybrid Join ist ein direkter Ersatz für die Okta-Gerätevertrauensstellung unter Windows. Richtlinien für bedingten Zugriff erkennen die Konformität für Geräte, die bei Microsoft Intune registriert sind.

Richtlinie zur Gerätekompatibilität

Windows 10/11-, iOS-, iPadOS- und Android-Registrierung

Wenn Sie sich für die Bereitstellung von Microsoft Entra Hybrid Join entschieden haben, können Sie eine weitere Gruppenrichtlinie bereitstellen, um die automatische Bereitstellung dieser Geräte in Intune abzuschließen.

Konfigurieren der Microsoft Entra-Mandanteinstellungen für die Multi-Faktor-Authentifizierung

Bestätigen Sie vor der Umstellung auf den bedingten Zugriff, dass die Basis-MFA-Mandanteneinstellungen für Ihre Organisation.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Hybrididentitätsadministrator an.

  2. Navigieren Sie zu Entra-ID-Benutzern>.

  3. Wählen Sie im oberen Menü des BenutzerbereichsBenutzerbasierte MFA aus.

  4. Das Legacyportal für die Multi-Faktor-Authentifizierung in Microsoft Entra wird angezeigt. Oder wählen Sie das Mehrstufige Authentifizierungsportal von Microsoft Entra aus.

    Screenshot des Bildschirms

  5. Vergewissern Sie sich, dass keine Benutzer für die traditionelle MFA aktiviert sind: Wählen Sie im Menü Mehrstufige Authentifizierung unter Authentifizierungsstatus die Optionen Aktiviert und Erzwungen aus. Wenn der Mandant über Benutzer in den folgenden Ansichten verfügt, deaktivieren Sie diese im Legacy-Menü.

    Screenshot des Mehrstufigen Authentifizierungsbildschirms mit hervorgehobener Suchfunktion.

  6. Stellen Sie sicher, dass das Erzwungene Feld leer ist.

  7. Wählen Sie die Option "Diensteinstellungen" aus.

  8. Ändern Sie die Auswahl von App-Kennwörtern so, dass Benutzer keine App-Kennwörter erstellen können, um sich bei Nicht-Browser-Apps anzumelden.

    Screenshot des Bildschirms für die mehrstufige Authentifizierung mit hervorgehobenen Diensteinstellungen.

  9. Deaktivieren Sie die Kontrollkästchen für die mehrstufige Authentifizierung für Anforderungen von Verbundbenutzern in meinem Intranet, und erlauben Sie Benutzern, die mehrstufige Authentifizierung auf Geräten zu merken, denen sie vertrauen (zwischen 1 und 365 Tagen).

  10. Wählen Sie "Speichern" aus.

    Screenshot der deaktivierten Kontrollkästchen auf dem Bildschirm

    Hinweis

    Siehe Optimieren von Aufforderungen zur erneuten Authentifizierung und Verstehen der Sitzungsdauer für die mehrstufige Microsoft Entra-Authentifizierung.

Erstellen einer Richtlinie für bedingten Zugriff

Informationen zum Konfigurieren von Richtlinien für bedingten Zugriff finden Sie unter Bewährte Methoden zum Bereitstellen und Entwerfen des bedingten Zugriffs.

Nachdem Sie die Voraussetzungen konfiguriert und die Basiseinstellungen festgelegt haben, können Sie eine Richtlinie für bedingten Zugriff erstellen. Die Richtlinie kann auf eine Anwendung, eine Testgruppe von Benutzern oder beide ausgerichtet sein.

Bevor Sie beginnen:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID> und bedingter Zugriff.

  3. Informationen zum Erstellen einer Richtlinie in Microsoft EntraID Siehe allgemeine Richtlinie für bedingten Zugriff: MFA für alle Benutzer erforderlich.

  4. Erstellen Sie eine Regel für bedingten Zugriff, die auf der Gerätevertrauensstellung basiert.

    Screenshot der Einträge für

    Screenshot des Dialogfelds

  5. Nachdem Sie die standortbasierte Richtlinie und die Gerätevertrauensrichtlinie konfiguriert haben, blockieren Sie die Legacyauthentifizierung mit Microsoft Entra ID mit bedingtem Zugriff.

Mit diesen drei Richtlinien für bedingten Zugriff wird die ursprüngliche Erfahrung mit Okta-Anmelderichtlinien in Microsoft Entra ID repliziert.

Registrieren von Pilotmitgliedern bei MFA

Benutzer registrieren sich für MFA-Methoden.

Für einzelne Registrierungen wechseln Benutzer zum Microsoft-Anmeldebereich.

Um die Registrierung zu verwalten, wechseln Benutzer zu Microsoft My Sign-Ins | Sicherheitsinformationen.

Weitere Informationen: Aktivieren der kombinierten Registrierung von Sicherheitsinformationen in der Microsoft Entra-ID.

Hinweis

Wenn Benutzer registriert sind, werden sie zur Seite "Meine Sicherheit" umgeleitet, nachdem sie MFA erfüllt haben.

Aktivieren von Richtlinien für bedingten Zugriff

  1. Ändern Sie zum Testen die erstellten Richtlinien auf Aktivierung der Testbenutzeranmeldung.

    Screenshot der Richtlinien auf dem Bildschirm

  2. Im Office 365-Anmeldebereich wird der Testbenutzer John Smith aufgefordert, sich mit okta MFA und der mehrstufigen Authentifizierung von Microsoft Entra anzumelden.

  3. Schließen Sie die MFA-Verifizierung über Okta ab.

    Screenshot der MFA-Überprüfung über Okta.

  4. Der Benutzer wird für den bedingten Zugriff aufgefordert.

  5. Stellen Sie sicher, dass die Richtlinien konfiguriert sind, um für MFA ausgelöst zu werden.

    Screenshot der MFA-Überprüfung durch Okta, die für bedingten Zugriff angefordert wird.

Hinzufügen von Organisationsmitgliedern zu Richtlinien für bedingten Zugriff

Nachdem Sie Tests für Pilotmitglieder durchgeführt haben, fügen Sie die verbleibenden Organisationsmitglieder nach der Registrierung den Richtlinien für bedingten Zugriff hinzu.

Um eine doppelte Aufforderung für Microsoft Entra-MFA und Okta-MFA zu vermeiden, sollten Sie die Okta-MFA deaktivieren, indem Sie die Anmelderichtlinien ändern.

  1. Wechseln Sie zur Okta-Verwaltungskonsole

  2. Sicherheitsauthentifizierung> auswählen

  3. Wechseln Sie zur Anmelderichtlinie.

    Hinweis

    Legen Sie globale Richtlinien auf "Inaktiv " fest, wenn alle Anwendungen aus Okta durch Anwendungsanmeldungsrichtlinien geschützt sind.

  4. Setzen Sie die Durchsetzung der MFA-Richtlinie auf Inaktiv. Sie können die Richtlinie einer neuen Gruppe zuweisen, die nicht die Microsoft Entra-Benutzer enthält.

    Screenshot der globalen MFA-Anmelderichtlinie, die als inaktiv angezeigt wird.

  5. Wählen Sie im Bereich "Anmeldung auf Anwendungsebene" die Option " Regel deaktivieren" aus.

  6. Wählen Sie "Inaktiv" aus. Sie können die Richtlinie einer neuen Gruppe zuweisen, die nicht die Microsoft Entra-Benutzer enthält.

  7. Stellen Sie sicher, dass mindestens eine Anmelderichtlinie auf Anwendungsebene für die Anwendung aktiviert ist, die den Zugriff ohne MFA erlaubt.

    Screenshot des Anwendungszugriffs ohne MFA.

  8. Benutzer werden bei der nächsten Anmeldung zum bedingten Zugriff aufgefordert.

Nächste Schritte