Freigeben über


Schritt 1. Erhöhen Sie die Anmeldesicherheit für Hybrid-Mitarbeiter mit MFA

Um die Sicherheit der Anmeldungen Ihrer Hybrid Worker zu erhöhen, verwenden Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA). MFA erfordert, dass Nutzeranmeldungen einer zusätzlichen Überprüfung unterzogen werden, die über das Kennwort des Nutzerkontos hinausgeht. Selbst wenn ein böswilliger Nutzer ein Nutzerkontokennwort ermittelt, muss er in der Lage sein, auf eine zusätzliche Überprüfung zu antworten, z. B. eine Textnachricht, die an ein Smartphone gesendet wird, bevor der Zugriff gewährt wird.

Mit dem richtigen Kennwort und einer zusätzlichen Bestätigung können Sie sich erfolgreich anmelden.

Für alle Nutzer, einschließlich Hybrid-Mitarbeiter und insbesondere Administratoren, empfiehlt Microsoft dringend MFA.

Es gibt drei Möglichkeiten, von Ihren Nutzern die Verwendung von MFA basierend auf Ihrem Microsoft 365-Plan zu verlangen.

Plan Empfehlung
Alle Microsoft 365-Pläne (ohne Microsoft Entra-ID P1- oder P2-Lizenzen) Aktivieren Sie Sicherheitsstandards in Microsoft Entra ID. Sicherheitsstandards in Microsoft Entra ID umfassen MFA für Benutzer und Administratoren.
Microsoft 365 E3 (einschließlich Microsoft Entra-ID P1-Lizenzen) Verwenden Sie Allgemeine Richtlinien für den bedingten Zugriff, um die folgenden Richtlinien zu konfigurieren:
- MFA für Administratoren erforderlich
- MFA für alle Nutzer erforderlich
- Blockieren von Legacy-Authentifizierung
Microsoft 365 E5 (einschließlich Microsoft Entra-ID P2-Lizenzen) Nutzen Sie das Feature in Microsoft Entra-ID und implementieren Sie die von Microsoft empfohlenen Richtlinien für bedingten Zugriff und zugehörige Richtlinien wie die folgenden:
– MFA wird erforderlich, wenn das Anmelderisiko mittel oder hoch ist.
– Blockieren von Clients, die keine moderne Authentifizierung unterstützen.
– Benutzer mit hohem Risiko müssen ihr Kennwort ändern.

Sicherheitsstandards

Die Sicherheitsstandards sind eine neue Funktion für kostenpflichtige Microsoft 365- und Office 365- oder Testabonnements, die nach dem 21. Oktober 2019 erstellt wurden. Für diese Abonnements sind Sicherheitsstandards aktiviert, sodass alle Benutzer MFA mit der Microsoft Authenticator-App verwenden müssen.

Nutzer haben 14 Tage Zeit, sich mit ihrem Smartphone mit der Microsoft Authenticator-App für MFA zu registrieren. Dies beginnt mit der ersten Anmeldung, nachdem die Sicherheitsstandards aktiviert wurden. Nach Ablauf von 14 Tagen kann sich der Nutzer erst nach Abschluss der MFA-Registrierung anmelden.

Sicherheitsstandards stellen sicher, dass alle Organisationen über eine grundlegende Sicherheitsstufe für die Nutzeranmeldung verfügen, die standardmäßig aktiviert ist. Sie können Sicherheitsstandards für MFA mit Richtlinien für den bedingten Zugriff oder für einzelne Konten deaktivieren.

Weitere Informationen finden Sie in dieser Übersicht der Sicherheitsstandards.

Richtlinien für bedingten Zugriff

Richtlinien für den bedingten Zugriff sind eine Reihe von Regeln, die die Bedingungen angeben, unter denen Anmeldungen ausgewertet und zugelassen werden. Sie können beispielsweise eine Richtlinie für den bedingten Zugriff erstellen, in der Folgendes angegeben ist:

  • Entspricht die Bezeichnung eines Benutzerkontos dem Namen eines Mitglieds einer Gruppe von Benutzern, denen Exchange, Benutzer, Kennwort sowie Sicherheits-, SharePoint- oder globale Administratorrollen zugewiesen sind, ist eine mehrstufige Authentifizierung (MFA) erforderlich, bevor der Zugriff genehmigt wird.

Diese Richtlinie ermöglicht es Ihnen, MFA basierend auf einer Gruppenmitgliedschaft zu verlangen, anstatt einzelne Benutzerkonten für MFA zu konfigurieren, wenn diesen Administratorrollen zugewiesen oder entzogen wurden.

Sie können die Richtlinien für den bedingten Zugriff auch für erweiterte Funktionen verwenden, z. B. wenn die Anmeldung von einem kompatiblen Gerät aus erfolgen muss, z. B. von Ihrem Laptop unter Windows 11 oder 10.

Bedingter Zugriff erfordert Microsoft Entra ID P1-Lizenzen, die in Microsoft 365 E3 und E5 enthalten sind.

Weitere Informationen finden Sie in dieser Übersicht über den bedingten Zugriff.

Microsoft Entra ID Protection Support

Mit Microsoft Entra ID Protection können Sie eine zusätzliche Richtlinie für bedingten Zugriff erstellen, die Folgendes angibt:

  • Wenn das Anmelderisiko als mittleres oder hohes Risiko eingestuft wird, ist MFA zu fordern.

Microsoft Entra ID Protection erfordert Microsoft Entra-ID P2-Lizenzen, die in Microsoft 365 E5 enthalten sind.

Weitere Informationen finden Sie unter Risikoabhängiger bedingter Zugriff.

Mit Microsoft Entra ID Protection können Sie auch eine Richtlinie erstellen, damit sich Ihre Benutzer für MFA registrieren müssen. Weitere Informationen finden Sie unter Konfigurieren der Registrierungsrichtlinie für Microsoft Entra mehrstufige Authentifizierung.

Diese Methoden zusammen verwenden

Denken Sie dabei an Folgendes:

  • Sie können die Sicherheitsstandards nicht aktivieren, wenn Sie Richtlinien für den bedingten Zugriff aktiviert haben.
  • Sie können keine Richtlinien für den bedingten Zugriff aktivieren, wenn Sie die Sicherheitsstandards aktiviert haben.

Wenn die Sicherheitsstandards aktiviert sind, werden alle neuen Nutzer zur MFA-Registrierung und zur Verwendung der Microsoft Authenticator-App aufgefordert.

Diese Tabelle zeigt die Ergebnisse der Aktivierung von MFA mit Sicherheitsstandards und Richtlinien für bedingten Zugriff.

Methode Aktiviert Deaktiviert Zusätzliche Authentifizierungsmethode
Sicherheitsstandards Richtlinien für bedingten Zugriff können nicht verwendet werden Richtlinien für den bedingten Zugriff können verwendet werden Microsoft Authenticator-App
Richtlinien für bedingten Zugriff Wenn welche aktiviert sind, können Sie die Sicherheitsstandards nicht aktivieren Wenn alle deaktiviert sind, können Sie die Sicherheitsstandards aktivieren Werden vom Benutzer während der MFA-Registrierung festgelegt

Gestatten Sie Ihren Benutzern das Zurücksetzen des eigenen Kennworts

Die Self-Service-Kennwortzurücksetzung (SSPR) ermöglicht Benutzern, ihre eigenen Kennwörter zurückzusetzen, ohne sich an die IT-Mitarbeiter wenden zu müssen. Benutzer können ihre Kennwörter jederzeit und von jedem Ort aus schnell zurücksetzen. Weitere Informationen finden Sie unter Planen einer Microsoft Entra Bereitstellung der Self-Service-Kennwortzurücksetzung.

Anmelden bei SaaS-Apps mit Microsoft Entra-ID

Zusätzlich zur Bereitstellung der Cloudauthentifizierung für Benutzer kann Microsoft Entra-ID auch Ihre zentrale Methode sein, um alle Ihre Apps zu schützen, unabhängig davon, ob sie lokal, in der Cloud von Microsoft oder in einer anderen Cloud sind. Durch die Integration Ihrer Apps in Microsoft Entra-ID können Sie Hybrid Workern das Ermitteln der benötigten Anwendungen und die sichere Anmeldung erleichtern.

Technische Administratorressourcen für MFA und Identität

Ergebnisse von Schritt 1

Nach der Bereitstellung von MFA haben Ihre Nutzer:

  • Die Verpflichtung MFA für Anmeldungen verwenden.
  • Den MFA-Registrierungsprozess abgeschlossen und verwenden MFA für alle Anmeldungen.
  • Die Möglichkeit, SSPR zum Zurücksetzen des eigenen Kennworts zu verwenden.

Nächster Schritt

Schritt 2: Bereitstellung des Remotezugriffs auf lokale Apps und Dienste.

Fahren Sie mit Schritt 2 fort, um den Remotezugriff auf lokale Apps und Dienste bereitzustellen.