Freigeben über

Verwendung eines Microsoft Entra-Anbieters für die Multi-Faktor-Authentifizierung

  • Artikel

Wichtig

Ab dem 1. September 2018 können keine neuen Authentifizierungsanbieter mehr erstellt werden. Vorhandene Authentifizierungsanbieter können ggf. weiterhin verwendet und aktualisiert werden, aber Migration ist nicht mehr möglich. Die Multi-Faktor-Authentifizierung ist weiterhin als Feature in Microsoft Entra-ID P1- oder P2-Lizenzen verfügbar.

Die zweistufige Überprüfung ist standardmäßig für Administratoren in Microsoft Entra ID und für Microsoft 365-Benutzer verfügbar. Wenn Sie jedoch erweiterte Funktionen nutzen möchten, sollten Sie die Multi-Faktor-Authentifizierung in Microsoft Entra über bedingten Zugriff aktivieren. Weitere Informationen finden Sie unter Allgemeine Richtlinie für bedingten Zugriff: Anfordern der MFA für alle Benutzenden.

Ein Microsoft Entra Multi-Faktor-Authentifizierungs-Anbieter wird eingesetzt, um die Features zu nutzen, die von der Multi-Faktor-Authentifizierung von Microsoft Entra für Benutzer ohne Lizenzen bereitgestellt werden.

Beachten Sie, dass das SDK veraltet ist und nur noch bis zum 14. November 2018 funktioniert. Nach diesem Zeitpunkt führen Aufrufe an das SDK zu Fehlern.

Was ist ein MFA-Anbieter?

Es gibt zwei Arten von Authentifizierungsanbietern. Der Unterschied besteht darin, wie Ihr Azure-Abonnement in Rechnung gestellt wird. Bei der Option pro Authentifizierung wird die Anzahl der Authentifizierungen berechnet, die für Ihren Mandanten in einem Monat ausgeführt werden. Diese Option ist am besten geeignet, wenn sich einige Konten nur gelegentlich authentifizieren. Bei der Option pro Benutzer wird die Anzahl der Konten berechnet, die berechtigt sind, MFA auszuführen. Dies umfasst alle Konten in Microsoft Entra ID und alle aktivierten Konten im MFA-Server. Diese Option empfiehlt sich, wenn einige Benutzer über Lizenzen verfügen, MFA aber auf weitere Benutzer außerhalb Ihrer Lizenzierungsgrenzwerte erweitert werden muss.

Verwalten Ihres MFA-Anbieters

Das Nutzungsmodell (pro aktiviertem Benutzer oder pro Authentifizierung) kann nach der Erstellung eines MFA-Anbieters nicht mehr geändert werden.

Sofern die Anzahl erworbenen Lizenzen für alle Benutzer ausreicht, die für MFA aktiviert sind, können Sie den MFA-Anbieter auch ganz löschen.

Falls Ihr MFA-Anbieter nicht mit einem Microsoft Entra-Mandanten verknüpft ist oder Sie den neuen MFA-Anbieter mit einem anderen Microsoft Entra-Mandanten verknüpfen, werden Benutzereinstellungen und Konfigurationsoptionen nicht übernommen. Darüber hinaus müssen vorhandene Azure MFA-Server unter Verwendung von Aktivierungsanmeldeinformationen des MFA-Anbieters erneut aktiviert werden.

Entfernen eines Authentifizierungsanbieters

Achtung

Beim Löschen eines Authentifizierungsanbieters wird keine Bestätigung angezeigt. Löschen ist ein endgültiger Prozess.

Authentifizierungsanbieter finden Sie im Microsoft Entra Admin Center. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator an. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Anbieter. Klicken Sie auf die aufgeführten Anbieter, um die zugehörigen Details und Konfigurationen anzuzeigen.

Überprüfen Sie vor dem Entfernen eines Authentifizierungsanbieters zunächst alle benutzerdefinierten Einstellungen, die ggf. für Ihren Anbieter konfiguriert wurden. Überlegen Sie sich, welche Einstellungen von Ihrem Anbieter zu allgemeinen MFA-Einstellungen migriert werden müssen, und migrieren Sie sie.

Mit Anbietern verknüpfte Azure MFA-Server müssen unter Verwendung der Anmeldeinformationen reaktiviert werden, die unter Servereinstellungen generiert wurden. Vor der Reaktivierung müssen auf Azure MFA-Servern in Ihrer Umgebung folgende Dateien aus dem Verzeichnis \Program Files\Multi-Factor Authentication Server\Data\ gelöscht werden:

  • caCert
  • cert
  • groupCACert
  • groupKey
  • groupName
  • licenseKey
  • pkey

Löschen eines Authentifizierungsanbieters

Nachdem Sie sich vergewissert haben, dass alle Einstellungen migriert wurden, navigieren Sie zu Anbieter und wählen Sie die Auslassungspunkte ... und dann Löschen aus.

Warnung

Beim Löschen eines Authentifizierungsanbieters werden alle diesem Anbieter zugeordneten Berichtsinformationen gelöscht. Es empfiehlt sich gegebenenfalls, Aktivitätsberichte vor dem Löschen des Anbieters zu speichern.

Hinweis

Benutzer mit älteren Versionen von Microsoft Authenticator-App und Azure MFA-Server müssen ihre App möglicherweise neu registrieren.

Nächste Schritte

Konfigurieren der Einstellungen für die Multi-Faktor-Authentifizierung

Allgemeine Richtlinie für bedingten Zugriff: Verlangen der MFA für alle Benutzenden