Mehrstufige Authentifizierungsstärke für externe Benutzer erforderlich
Die Authentifizierungsstärke ist eine Steuerung für bedingten Zugriff, mit der Sie eine bestimmte Kombination aus Methoden der Multi-Faktor-Authentifizierung (MFA) definieren können, die ein externer Benutzer ausführen muss, um auf Ihre Ressourcen zugreifen zu können. Diese Zugriffssteuerung ist besonders nützlich, um den externen Zugriff auf vertrauliche Apps in Ihrer Organisation einzuschränken. Sie können beispielsweise eine Richtlinie für bedingten Zugriff erstellen, eine Phishing-resistente Authentifizierungsstärke in der Richtlinie erzwingen und diese Gastbenutzern und externen Benutzern zuweisen.
Microsoft Entra ID bietet drei integrierte Authentifizierungsstärken:
- Mehrstufige Authentifizierungsstärke (weniger restriktiv) empfohlen in diesem Artikel
- Stärke für kennwortlose MFA
- Phishing-beständige MFA-Stärke (restriktiv)
Sie können eine der integrierten Stärken verwenden oder eine benutzerdefinierte Authentifizierungsstärke basierend auf den jeweils erforderlichen Authentifizierungsmethoden erstellen.
In Szenarien mit externen Benutzern variieren die MFA-Methoden, die ein Ressourcenmandant akzeptieren kann, abhängig davon, ob der Benutzer die MFA in seinem Basismandanten oder im Ressourcenmandanten durchführt. Ausführliche Informationen finden Sie unter Authentifizierungsstärke für externe Benutzer.
Hinweis
Derzeit können Sie Richtlinien zur Authentifizierungsstärke nur auf externe Benutzer anwenden, die sich mit Microsoft Entra ID authentifizieren. Verwenden Sie bei der Authentifizierung von Benutzern mit Einmal-Passcode per E-Mail, SAML-/WS-Fed- und Google-Verbund die MFA-Zugriffssteuerung „Gewähren“, um die MFA zu erzwingen.
Konfigurieren von mandantenübergreifenden Zugriffseinstellungen, um der MFA zu vertrauen
Richtlinien für die Authentifizierungsstärke werden in Verbindung mit Einstellungen für eingehende Vertrauensstellungen für MFA in Ihren mandantenübergreifenden Zugriffseinstellungen verwendet, um zu bestimmen, wo und wie der externe Benutzer die MFA ausführen muss. Zunächst authentifiziert sich ein Microsoft Entra-Benutzer mit seinem eigenen Konto bei seinem Basismandanten. Wenn dieser Benutzer anschließend versucht, auf Ihre Ressource zuzugreifen, wendet Microsoft Entra ID die Richtlinie zur Authentifizierungsstärke für den bedingten Zugriff an und überprüft, ob Sie die MFA-Vertrauensstellung aktiviert haben.
- Wenn die MFA-Vertrauensstellung aktiviert ist, überprüft Microsoft Entra ID die Authentifizierungssitzung des Benutzers auf einen Anspruch, der angibt, dass die MFA im Basismandanten des Benutzers ausgeführt wurde.
- Wenn die MFA-Vertrauensstellung deaktiviert ist, fordert der Ressourcenmandant den Benutzer über eine Abfrage auf, die MFA im Ressourcenmandanten mit einer zulässigen Authentifizierungsmethode auszuführen.
Die Authentifizierungsmethoden, die externe Benutzer verwenden können, um die MFA-Anforderungen zu erfüllen, sind jeweils davon abhängig, ob der Benutzer die MFA in seinem Basismandanten oder im Ressourcenmandanten ausführt. Weitere Informationen finden Sie in der Tabelle unter Stärke der Authentifizierung für bedingten Zugriff.
Wichtig
Bevor Sie die Richtlinie für bedingten Zugriff erstellen, müssen Sie Ihre mandantenübergreifenden Zugriffseinstellungen überprüfen, um sicherzustellen, dass Ihre Einstellungen für eingehende Vertrauensstellungen für MFA ordnungsgemäß konfiguriert sind.
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:
- Notfallzugriffs - oder Unterbrechungsglaskonten , um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. Im unwahrscheinlichen Szenario sind alle Administratoren gesperrt, ihr Administratorkonto für den Notfallzugriff kann verwendet werden, um sich anzumelden und Schritte zum Wiederherstellen des Zugriffs auszuführen.
- Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
- Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen.
Erstellen der Richtlinie für bedingten Zugriff
Führen Sie die folgenden Schritte aus, um eine Richtlinie für bedingten Zugriff zu erstellen, die eine Authentifizierungsstärke auf externe Benutzer anwendet.
Warnung
Wenn Sie externe Authentifizierungsmethoden verwenden, sind diese derzeit mit der Authentifizierungsstärke inkompatibel, und Sie sollten die Steuerung der mehrstufigen Authentifizierungserteilung verwenden.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Option Benutzer und Gruppen auswählen aus, und wählen Sie dann Gastbenutzer oder externe Benutzer aus.
- Wählen Sie die Typen von Gastbenutzern oder externen Benutzern aus, auf die Sie die Richtlinie anwenden möchten.
- Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
- Wählen Sie unter Einschließen die Option Benutzer und Gruppen auswählen aus, und wählen Sie dann Gastbenutzer oder externe Benutzer aus.
- Wählen Sie unter "Ressourcen für Zielressourcen>" (ehemals Cloud-Apps) unter "Einschließen " oder "Ausschließen" alle Anwendungen aus, die Sie in die Authentifizierungsstärkeanforderungen aufnehmen oder ausschließen möchten.
- Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
- Wählen Sie "Authentifizierungsstärke erforderlich" aus, und wählen Sie dann die entsprechende integrierte oder benutzerdefinierte Authentifizierungsstärke aus der Liste aus.
- Wählen Sie Auswählen.
- Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Nachdem Sie Ihre Einstellungen im Modus „Nur melden“ bestätigt haben, kann ein Administrator die Umschaltfläche Richtlinie aktivieren von Nur melden auf Ein festlegen.