Übung: Aktivieren der Multi-Faktor-Authentifizierung von Microsoft Entra

Abgeschlossen

Im Folgenden werden die grundlegenden Schritte erläutert, die zum Konfigurieren und Aktivieren der Multi-Faktor-Authentifizierung von Microsoft Entra mit bedingten Richtlinien erforderlich sind. Beachten Sie, dass eine Bereitstellung in der Praxis sorgfältig durchdacht und geplant werden muss. Lesen Sie die Dokumentationsartikel am Ende dieses Moduls, bevor Sie die MFA für Ihre Umgebungen aktivieren.

Wichtig

Sie benötigen Microsoft Entra ID P1 oder P2 für diese Übung. Sie können eine 30-tägige kostenlose Testversion nutzen, um dieses Feature zu testen, oder nur die Anweisungen im Folgenden lesen, um den Ablauf nachvollziehen zu können.

Konfigurieren der Optionen für die Multi-Faktor-Authentifizierung

  1. Melden Sie sich mit dem globalen Administratorkonto beim Azure-Portal an.

  2. Navigieren Sie mit der Microsoft Entra ID-Option im Seitenmenü zum Microsoft Entra-Dashboard.

  3. Wählen Sie im Menü auf der linken Seite Sicherheit aus.

  4. Wählen Sie im Menü unter der Überschrift Verwalten die Option Multi-Faktor-Authentifizierung aus. Hier werden die Optionen für die Multi-Faktor-Authentifizierung aufgeführt.

    Screenshot showing MFA options in the dashboard.

  5. Wählen Sie unter Konfigurieren die Option Zusätzliche Einstellungen für die cloudbasierte Multi-Faktor-Authentifizierung aus. Dadurch wird eine neue Browserseite geöffnet, auf der alle MFA-Optionen für Azure angezeigt werden.

    Screenshot showing MFA configuration.

    Auf dieser Seite wählen Sie die unterstützten Authentifizierungsmethoden aus. In diesem Beispiel sind sie alle ausgewählt.

    Hier können Sie auch App-Kennwörter aktivieren oder deaktivieren, damit Benutzer eindeutige Kennwörter für Konten erstellen können, falls eine App die Multi-Faktor-Authentifizierung nicht unterstützt. Dieses Feature ermöglicht es dem Benutzer, sich mit seiner Microsoft Entra-Identität mit einem anderen Kennwort zu authentifizieren, das für diese App spezifisch ist.

Einrichten von Regeln für bedingten Zugriff für MFA

Als Nächstes wird erläutert, wie Sie Regeln für den bedingten Zugriff einrichten, die die MFA für Gastbenutzer erzwingen, die auf bestimmte Apps in Ihrem Netzwerk zugreifen.

  1. Wechseln Sie zurück zum Azure-Portal, und klicken Sie auf Microsoft Entra ID>Sicherheit>Bedingter Zugriff.

  2. Wählen Sie im oberen Menü Neue Richtlinie erstellen.

    Screenshot highlighting the New Policy button in the Azure portal.

  3. Nennen Sie Ihre Richtlinie beispielsweise Alle Gäste.

  4. Wählen unter Benutzer die Option 0 Benutzer und Gruppen ausgewählt aus.

    1. Wählen Sie unter Einschließen die Option Benutzer und Gruppen auswählenaus.
    2. Wählen Sie Benutzer und Gruppen und dann Auswählen aus.
  5. Wählen Sie unter Zielressourcen die Option Keine Zielressourcen ausgewählt aus.

    1. Wählen Sie Cloud-Apps aus.
    2. Wählen Sie unter Einschließen die Option Apps auswählen aus.
    3. Wählen Sie unter Auswählen die Option Keine aus. Wählen Sie Apps aus den Optionen auf der rechten Seite und dann Auswählen aus.
  6. Wählen Sie unter Bedingungen die Option 0 Bedingungen ausgewählt aus.

    1. Wählen Sie unter Speicherorte die Option Nicht konfiguriert aus.
    2. Wählen Sie unter Konfigurieren die Option Ja und dann Beliebiger Speicherort aus.
  7. Wählen Sie unter Erteilen die Option 0 Steuerelemente ausgewählt aus.

    1. Stellen Sie sicher, dass Zugriff gewähren ausgewählt ist.
    2. Wählen Sie Multi-Faktor-Authentifizierung erforderlich und dann Auswählen aus. Diese Option erzwingt MFA.
  8. Legen Sie Richtlinie aktivieren auf Ein und dann Erstellen fest.

    Screenshot showing the complete Add Policy dialog.

Die MFA ist jetzt für die ausgewählten Anwendungen aktiviert. Wenn Benutzer*innen oder Gäste das nächste Mal versuchen, sich bei dieser App anzumelden, werden sie aufgefordert, sich für die Multi-Faktor-Authentifizierung zu registrieren.