Planen der MFA-Bereitstellung (Multi-Faktor-Authentifizierung)
Bevor Sie die Bereitstellung der Multi-Faktor-Authentifizierung von Microsoft Entra starten, müssen Sie einige Entscheidungen treffen.
Zuerst sollten Sie die MFA in Wellen einführen. Beginnen Sie mit einer kleinen Gruppe aus Pilotbenutzern, um die Komplexität Ihrer Umgebung zu bestimmen und Setupprobleme oder nicht unterstützte Apps und Geräte zu ermitteln. Erweitern Sie diese Gruppe dann im Lauf der Zeit, und werten Sie die Ergebnisse bei jedem Durchlauf aus, bis das gesamte Unternehmen registriert ist.
Erstellen Sie als Nächstes einen vollständigen Kommunikationsplan. Die Multi-Faktor-Authentifizierung von Microsoft Entra stellt mehrere Anforderungen an die Benutzerinteraktion, einschließlich eines Registrierungsprozesses. Informieren Sie Benutzer*innen über jeden Schritt. Teilen Sie ihnen die erforderlichen Schritte und wichtigen Fristen mit und auch, an welche Stelle sie sich bei Problemen und Fragen wenden können. Microsoft bietet Kommunikationsvorlagen (einschließlich Poster) und E-Mail-Vorlagen, mit denen Sie Ihre Kommunikation entwerfen können.
Richtlinien der Multi-Faktor-Authentifizierung von Microsoft Entra
Die Multi-Faktor-Authentifizierung von Microsoft Entra wird über Richtlinien für bedingten Zugriff erzwungen. Bei Richtlinien für bedingten Zugriff handelt es sich um IF-THEN-Anweisungen. Wenn ein Benutzer auf eine Ressource zugreifen möchte, dann muss dieser eine Aktion durchführen. Eine Führungskraft aus der Lohnbuchhaltung möchte zum Beispiel auf die Anwendung für die Gehaltsabrechnung zugreifen und muss dazu eine mehrstufige Authentifizierung durchlaufen. Weitere häufige Zugriffsanforderungen, für die möglicherweise die MFA erforderlich ist:
- Wenn auf eine bestimmte Cloudanwendung zugegriffen wird.
- Wenn ein Benutzer auf ein bestimmtes Netzwerk zugreift.
- Wenn ein Benutzer auf eine bestimmte Clientanwendung zugreift.
- Wenn ein Benutzer ein neues Gerät registriert.
Auswahl der unterstützten Authentifizierungsmethoden
Wenn Sie die Multi-Faktor-Authentifizierung von Microsoft Entra aktivieren, können Sie die Authentifizierungsmethoden auswählen, die Sie zur Verfügung stellen möchten. Sie sollten immer mehr als eine Methode unterstützen, damit Benutzer für den Fall, dass die primäre Methode nicht verfügbar ist, über eine alternative Option verfügen. Sie können zwischen folgenden Methoden wählen:
| Methode | Beschreibung |
|---|---|
| Prüfcode in der mobilen App | Eine mobile Authentifizierungs-App wie die Microsoft Authenticator-App kann verwendet werden, um einen OATH-Prüfcode abzurufen, der dann auf der Anmeldeoberfläche eingegeben wird. Dieser Code wird alle 30 Sekunden geändert, und die App funktioniert auch dann, wenn die Konnektivität eingeschränkt ist. Dieser Ansatz ist in China auf Android-Geräten nicht möglich. |
| Benachrichtigung über eine mobile App | Azure kann eine Pushbenachrichtigung an eine mobile Authentifizierungs-App wie Microsoft Authenticator senden. Die Benutzer*innen können die Pushbenachrichtigung auswählen und die Anmeldung überprüfen. |
| Anruf auf einem Telefon | Azure kann eine angegebene Telefonnummer anrufen. Der Benutzer genehmigt dann die Authentifizierung mithilfe der Tastatur. Diese Methode wird für Sicherungen bevorzugt. |
| FIDO2-Sicherheitsschlüssel | FIDO2-Sicherheitsschlüssel sind eine Phishing-resistente, standardbasierte Methode zur kennwortlosen Authentifizierung. Bei diesen Schlüsseln handelt es sich in der Regel um USB-Geräte, es können aber auch Bluetooth- oder NFC-Geräte sein. |
| Windows Hello for Business | Windows Hello for Business- ersetzt Kennwörter auf Geräten durch starke zweistufige Authentifizierung. Diese Authentifizierung besteht aus einer Form von Anmeldeinformationen, die an ein Gerät gebunden sind und biometrische Daten oder eine PIN verwenden. |
| OATH-Token | Bei OATH-Token kann es sich um Softwareanwendungen handeln (z. B. die Microsoft Authenticator-App und andere Authentifizierungs-Apps). Sie können auch hardwarebasierte Token sein, die Kunden von verschiedenen Anbietern erwerben können. |
Administratoren können eine oder mehrere dieser Optionen aktivieren. Anschließend können Benutzer sich für jede supportbasierte Authentifizierungsmethode anmelden, die sie verwenden möchten.
Auswählen einer Authentifizierungsmethode
Schließlich müssen Sie entscheiden, wie Benutzer ihre ausgewählten Methoden registrieren. Der einfachste Ansatz besteht darin, Microsoft Entra ID Protection zu verwenden. Wenn Ihre Organisation über Lizenzen für Identity Protection verfügt, können Sie diese so konfigurieren, dass Benutzer*innen bei der nächsten Anmeldung zur Registrierung für die Multi-Faktor-Authentifizierung aufgefordert werden.
Benutzer*innen können auch dazu aufgefordert werden, sich für die Multi-Faktor-Authentifizierung zu registrieren, wenn sie versuchen, eine Anwendung oder einen Dienst zu verwenden, für die bzw. den die Multi-Faktor-Authentifizierung erforderlich ist. Schließlich können Sie die Registrierung mithilfe einer Richtlinie für bedingten Zugriff erzwingen, die auf eine Azure-Gruppe angewendet wird, die alle Benutzer in Ihrer Organisation enthält. Bei diesem Ansatz ist manuelle Arbeit nötig, da die Gruppe regelmäßig überprüft werden muss, um registrierte Benutzer zu entfernen. Einige nützliche Skripts zum Automatisieren einiger dieser Prozesse finden Sie unter Planen einer Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung.