Freigeben über

Aktivieren der Multi-Faktor-Authentifizierung (MFA) von Microsoft Entra ID für P2S-VPN-Benutzer

  • Artikel

Wenn Sie möchten, dass Benutzer*innen vor der Gewährung des Zugriffs zur Angabe eines zweiten Authentifizierungsfaktors aufgefordert werden, können Sie Microsoft Entra-Multi-Faktor-Authentifizierung (MFA) konfigurieren. Sie können MFA auf Benutzerbasis konfigurieren oder MFA über bedingten Zugriff nutzen.

  • MFA auf Benutzerbasis kann ohne zusätzliche Kosten aktiviert werden. Wenn jedoch MFA auf Benutzerbasis aktiviert wird, werden Benutzer*innen zur Authentifizierung mit dem zweiten Faktor für alle Anwendungen aufgefordert, die an den Microsoft Entra-Mandanten gebunden sind. Informationen zu den erforderlichen Schritten finden Sie unter Option 1.
  • Der bedingte Zugriff ermöglicht eine differenziertere Kontrolle darüber, wie ein zweiter Faktor höher gestuft werden soll. Er kann die Zuweisung von MFA nur an VPN ermöglichen und andere Anwendungen ausschließen, die an den Microsoft Entra-Mandanten gebunden sind. Die Konfigurationsschritte finden Sie unter Option 2. Weitere Informationen zum bedingten Zugriff finden Sie unter Was ist bedingter Zugriff?.

Authentifizierung aktivieren

  1. Navigieren Sie zu Microsoft Entra ID > Unternehmensanwendungen > Alle Anwendungen.
  2. Wählen Sie auf der Seite Unternehmensanwendungen – Alle Anwendungen die Option Azure-VPN aus.

Konfigurieren von Anmeldeeinstellungen

Konfigurieren Sie auf der Seite Azure-VPN – Eigenschaften die Anmeldeeinstellungen.

  1. Legen Sie Aktiviert für die Benutzeranmeldung? auf Ja fest. Bei dieser Einstellung können sich alle Benutzer im AD-Mandanten erfolgreich mit dem VPN verbinden.
  2. Legen Sie Benutzerzuweisung erforderlich? auf Ja fest, wenn Sie die Anmeldung auf Benutzer beschränken möchten, die über Berechtigungen für das Azure-VPN verfügen.
  3. Speichern Sie die Änderungen.

Option 1: Zugriff pro Benutzer

Öffnen der MFA-Seite

  1. Melden Sie sich beim Azure-Portal an.
  2. Navigieren Sie zu Microsoft Entra ID > Benutzer.
  3. Wählen Sie auf der Seite Benutzer – Alle Benutzer die Option MFA pro Benutzer aus, um die Seite Multi-Faktor-Authentifizierung pro Benutzer zu öffnen.

Benutzer auswählen

  1. Wählen Sie auf der Seite Multi-Factor Authentication die Benutzer aus, für die Sie MFA aktivieren möchten.
  2. Wählen Sie MFA aktivieren aus.

Option 2: bedingter Zugriff

Es empfiehlt sich, die Multi-Faktor-Authentifizierung in Microsoft Entra mit Richtlinien für bedingten Zugriff zu aktivieren und zu verwenden. Detaillierte Konfigurationsschritte finden Sie im Tutorial zum Erzwingen der Multi-Faktor-Authentifizierung.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Schutz>Security Center>Bedingter Zugriff, wählen Sie + Neue Richtlinie und dann Neue Richtlinie erstellen aus.

  3. Geben Sie im Bereich Neu einen Namen für die Richtlinie ein, z. B. „VPN-Richtlinie“.

  4. Füllen Sie die folgenden Felder aus:

    Feld Wert
    Wofür gilt diese Richtlinie? Benutzer und Gruppen
    Zuweisungen Bestimmte Benutzer eingeschlossen
    Einbeziehen Wählen Sie die Option „Benutzer und Gruppen“ aus. Aktivieren Sie das Kontrollkästchen für Benutzende und Gruppen.
    Auswählen Wählen Sie mindestens eine benutzende Person oder eine Gruppe aus.

  5. Suchen Sie auf der Seite Auswählen die Microsoft Entra-Benutzenden oder -Gruppen, auf die diese Richtlinie angewendet werden soll, und wählen Sie sie aus. Wählen Sie z. B. „VPN-Benutzende“ und dann Auswählen aus.

Konfigurieren Sie dann die Bedingungen für die Multi-Faktor-Authentifizierung. In den folgenden Schritten konfigurieren Sie die Azure VPN Client-App so, dass Multi-Faktor-Authentifizierung erforderlich ist, wenn sich Benutzende anmelden. Weitere Informationen finden Sie unter Konfigurieren der Bedingungen.

  1. Wählen Sie unter Cloud-Apps oder -aktionen den aktuellen Wert aus, und überprüfen Sie dann unter Wählen Sie aus, worauf diese Richtlinie angewendet werden soll., ob die Option Cloud-Apps ausgewählt ist.

  2. Wählen Sie unter Einschließen die Option Ressourcen auswählen aus. Die App-Liste wird automatisch geöffnet, da noch keine Apps ausgewählt wurden.

  3. Wählen Sie im Bereich Auswählen die Azure VPN Client-App und dann Auswählen aus.

Als Nächstes konfigurieren Sie die Zugriffssteuerungen so, dass Multi-Faktor-Authentifizierung während eines Anmeldeereignisses erforderlich ist.

  1. Wählen Sie unter Zugriffssteuerungen die Option Gewähren und dann Zugriff gewähren aus.

  2. Wählen Sie Multi-Faktor-Authentifizierung erforderlich aus.

  3. Für mehrere Steuerungen wählen Sie Alle ausgewählten Steuerungen anfordern aus.

Aktivieren Sie nun die Richtlinie.

  1. Wählen Sie unter Richtlinie aktivieren die Option An aus.

  2. Wählen Sie Erstellen aus, um die Richtlinie für bedingten Zugriff anzuwenden.

Nächste Schritte

Um eine Verbindung mit Ihrem virtuellen Netzwerk herzustellen, müssen Sie ein VPN-Clientprofil erstellen und konfigurieren. Entsprechende Informationen finden Sie unter Konfigurieren eines VPN-Clients für P2S-VPN-Verbindungen.