Freigeben über

Verwalten einer externen Authentifizierungsmethode in Microsoft Entra ID (Vorschau)

  • Artikel

Mit einer externen Authentifizierungsmethode (EAM) können Benutzende einen externen Anbieter auswählen, um die Anforderungen der Multi-Faktor-Authentifizierung (MFA) zu erfüllen, wenn sie sich bei Microsoft Entra ID anmelden. Eine EAM kann MFA-Anforderungen erfüllen, die sich aus Richtlinien für bedingten Zugriff, risikobasierte Richtlinien für bedingten Zugriff von Microsoft Entra ID Protection, der Aktivierung von Privileged Identity Management (PIM) und aus der Anwendung selbst ergeben.

Eine EAM unterscheidet sich von einem Verbund dadurch, dass die benutzende Person in Microsoft Entra ID erstellt und verwaltet wird. Bei einem Verbund wird die Identität bei einem externen Identitätsanbieter verwaltet. EAMs erfordern mindestens eine Microsoft Entra ID P1-Lizenz.

Diagramm zur Veranschaulichung der Funktionsweise der externen Methodenauthentifizierung.

Erforderliche Metadaten zum Konfigurieren einer EAM

Um eine EAM zu erstellen, benötigen Sie die folgenden Informationen von Ihrem externen Authentifizierungsanbieter:

  • Eine Anwendungs-ID ist in der Regel eine mehrinstanzenfähige Anwendung von Ihrem Anbieter, die als Teil der Integration verwendet wird. Für diese Anwendung müssen Sie in Ihrem Mandanten eine Administratoreinwilligung erteilen.

  • Eine Client-ID ist ein Bezeichner Ihres Anbieters, der als Teil der Authentifizierungsintegration verwendet wird, um Microsoft Entra ID bei der Anforderung der Authentifizierung zu identifizieren.

  • Eine Discovery-URL ist der OpenID Connect (OIDC)-Ermittlungsendpunkt für den externen Authentifizierungsanbieter.

    Hinweis

    Siehe Konfigurieren eines neuen externen Authentifizierungsanbieters mit Microsoft Entra ID, um die App-Registrierung einzurichten.

Verwalten einer EAM im Microsoft Entra Admin Center

EAMs werden mit der Microsoft Entra ID-Authentifizierungsmethodenrichtlinie verwaltet, genau wie integrierte Methoden.

Erstellen einer EAM im Admin Center

Bevor Sie eine EAM im Admin Center erstellen, stellen Sie sicher, dass Sie über die Metadaten zum Konfigurieren einer EAM verfügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Externe Methode hinzufügen (Vorschau).

    Screenshot der Vorgehensweise beim Hinzufügen einer EAM im Microsoft Entra Admin Center.

    Fügen Sie Eigenschaften der Methode basierend auf Konfigurationsinformationen von Ihrem Anbieter hinzu. Zum Beispiel:

    • Name: Adatum
    • Client ID: 00001111-aaaa-2222-bbbb-3333cccc4444
    • Ermittlungsendpunkt: https://adatum.com/.well-known/openid-configuration
    • App ID: 11112222-bbbb-3333-cccc-4444dddd5555

    Wichtig

    Der Anzeigename ist der Name, der dem Benutzenden in der Methodenauswahl angezeigt wird. Er kann nicht geändert werden, nachdem die Methode erstellt wurde. Anzeigenamen müssen eindeutig sein.

    Screenshot der Vorgehensweise beim Hinzufügen von EAM-Eigenschaften.

    Sie benötigen mindestens die Rolle Administrator für privilegierte Rollen, um die Administratoreinwilligung für die Anwendung des Anbieters zu erteilen. Wenn Sie nicht über die erforderliche Rolle für die Einwilligung verfügen, können Sie Ihre Authentifizierungsmethode zwar speichern, aber erst aktivieren, wenn die Einwilligung erteilt wurde.

    Nachdem Sie die Werte Ihres Anbieters eingegeben haben, klicken Sie auf die Schaltfläche, um eine Administratoreinwilligung für die Anwendung anzufordern, damit diese die erforderlichen Informationen von der benutzenden Person lesen kann, um sich korrekt zu authentifizieren. Sie werden aufgefordert, sich mit einem Konto mit Administratorberechtigungen anzumelden und der Anwendung des Anbieters die erforderlichen Berechtigungen zu erteilen.

    Klicken Sie nach der Anmeldung auf Annehmen, um der Administratoreinwilligung zu erteilen:

    Screenshot: Erteilen der Administratoreinwilligung.

    Sie können die Berechtigungen sehen, die die Anbieteranwendung anfordert, bevor Sie die Einwilligung erteilen. Nachdem Sie die Administratoreinwilligung erteilt haben und die Änderung repliziert wurde, wird die Seite aktualisiert, um anzuzeigen, dass die Administratoreinwilligung erteilt wurde.

    Screenshot der Richtlinie für Authentifizierungsmethoden, nachdem die Einwilligung erteilt wurde.

Wenn die Anwendung über Berechtigungen verfügt, können Sie die Methode auch vor dem Speichern aktivieren. Andernfalls müssen Sie die Methode in einem deaktivierten Zustand speichern und aktivieren, nachdem für die Anwendung eine Einwilligung erteilt wurde.

Sobald die Methode aktiviert ist, können alle Benutzende im Bereich die Methode für alle MFA-Eingabeaufforderungen auswählen. Wenn für die Anwendung vom Anbieter keine Einwilligung wurde, schlägt eine Anmeldung mit dieser Methode fehl.

Wenn die Anwendung gelöscht wird oder nicht mehr über die Berechtigung verfügt, wird Benutzenden ein Fehler angezeigt, und die Anmeldung schlägt fehl. Die Methode kann nicht verwendet werden.

Konfigurieren einer EAM im Admin Center

Um Ihre EAMs im Microsoft Entra Admin Center zu verwalten, öffnen Sie die Richtlinie für Authentifizierungsmethoden. Wählen Sie den Methodennamen aus, um die Konfigurationsoptionen zu öffnen. Sie können wählen, welche benutzenden Personen in diese Methode einbezogen und welche ausgeschlossen werden sollen.

Sie können wählen, welche benutzenden Personen mit dieser Methode ein- und ausgeschlossen werden sollen.

Löschen einer EAM im Admin Center

Wenn Sie nicht mehr möchten, dass Ihre Benutzende die EAM verwenden können, haben Sie folgende Möglichkeiten:

  • Legen Sie Aktivieren auf Aus fest, um die Methodenkonfiguration zu speichern
  • Klicken Sie auf Löschen, um die Methode zu löschen

Screenshot zum Löschen einer EAM.

Verwalten einer EAM mit Microsoft Graph

Um die Richtlinie für Authentifizierungsmethoden mithilfe von Microsoft Graph zu verwalten, benötigen Sie die Policy.ReadWrite.AuthenticationMethod-Berechtigung. Weitere Informationen finden Sie unter authenticationMethodsPolicy aktualisieren.

Benutzererlebnis

Benutzende, die für die EAM aktiviert sind, können sie verwenden, wenn sie sich anmelden und die Multi-Faktor-Authentifizierung erforderlich ist.

Hinweis

Wir arbeiten aktiv daran, die vom System bevorzugte MFA mit EAMs zu unterstützen.

Wenn der Benutzer andere Möglichkeiten zum Anmelden hat und die vom System bevorzugte MFA aktiviert ist, werden diese anderen Methoden standardmäßig angezeigt. Die Benutzende können eine andere Methode verwenden und dann das EAM auswählen. Wenn die Benutzende beispielsweise Authenticator als eine andere Methode aktiviert haben, werden sie zur Eingabe des Nummernabgleichs aufgefordert.

Screenshot der Auswahl einer EAM, wenn die vom System bevorzugte MFA aktiviert ist.

Wenn die Benutzende keine anderen Methoden aktiviert haben, können sie einfach EAM auswählen. Sie werden an den externen Authentifizierungsanbieter umgeleitet, um die Authentifizierung abzuschließen.

Screenshot der Anmeldung mit einer EAM.

Registrierung der Authentifizierungsmethode für EAMs

In der Vorschau gelten alle Benutzer in einer eingeschlossenen Gruppe für die EAM als MFA-fähig und können mit der externen Authentifizierungsmethode der MFA gerecht werden. Benutzer, die MFA-fähig sind, weil sie ein eingeschlossenes Ziel für eine EAM sind, werden nicht in Berichte zur Registrierung der Authentifizierungsmethode einbezogen.

Hinweis

Wir arbeiten aktiv an der Aufnahme von Registrierungsfunktionen für EAMs. Sobald die Registrierung hinzugefügt ist, müssen Benutzer, die bisher eine EAM verwendet haben, die EAM bei Entra ID registrieren, bevor sie aufgefordert werden, sie für die MFA zu verwenden.

Paralleles Verwenden von benutzerdefinierten Steuerelementen für EAM und bedingten Zugriff

EAMs und benutzerdefinierte Steuerelemente können parallel ausgeführt werden. Microsoft empfiehlt Administrierenden, zwei Richtlinien für bedingten Zugriff zu konfigurieren:

  • Eine Richtlinie zum Erzwingen des benutzerdefinierten Steuerelements
  • Eine andere Richtlinie mit der erforderlichen MFA-Gewährung

Schließen Sie eine Testgruppe von Benutzenden für jede Richtlinie ein, aber nicht für beide. Wenn ein benutzende Person in beiden Richtlinien oder einer Richtlinie mit beiden Bedingungen enthalten ist, muss die benutzende Person während der Anmeldung MFA verwenden. Außerdem muss das benutzerdefinierte Steuerelement erfüllt werden, was dazu führt, dass sie ein zweites Mal an den externen Anbieter weitergeleitet wird.

Nächste Schritte

Weitere Informationen zum Verwalten von Authentifizierungsmethoden finden Sie unter Verwalten von Authentifizierungsmethoden für Microsoft Entra ID.

Informationen zu EAM-Anbieterreferenzen finden Sie unter Referenz für externe Methodenanbieter für die Microsoft Entra-Multi-Faktor-Authentifizierung (Vorschau).