Planen einer cloudbasierten Azure Multi-Factor AuthenticationPlanning a cloud-based Azure Multi-Factor Authentication

Benutzer stellen in zunehmend komplizierteren Szenarien eine Verbindung mit Unternehmensressourcen her.People are connecting to organizational resources in increasingly complicated scenarios. Benutzer stellen ein- und ausgehende Unternehmensnetzwerk-Verbindungen von im Besitz der Organisation befindlichen, privaten und öffentlichen Smartphones, Tablets, PCs und Laptops aus her, oft auf mehreren Plattformen.People connect from organization-owned, personal, and public devices on and off the corporate network using smart phones, tablets, PCs, and laptops, often on multiple platforms. In dieser stets verbundenen Welt mit mehreren Geräten und Plattformen ist die Sicherheit von Benutzerkonten wichtiger als je zuvor.In this always-connected, multi-device and multi-platform world, the security of user accounts is more important than ever. Geräte, Netzwerke und Plattformen übergreifend verwendete Kennwörter sind unabhängig von ihrer Komplexität nicht mehr ausreichend, um die Sicherheit des Benutzerkontos sicherzustellen, insbesondere dann, wenn Benutzer dazu neigen, Kennwörter für mehrere Konten wiederzuverwenden.Passwords, no matter their complexity, used across devices, networks, and platforms are no longer sufficient to ensure the security of the user account, especially when users tend to reuse passwords across accounts. Anspruchsvolles Phishing und andere Social Engineering-Angriffe können dazu führen, dass Benutzernamen und Kennwörter im Darknet angeboten und verkauft werden.Sophisticated phishing and other social engineering attacks can result in usernames and passwords being posted and sold across the dark web.

Azure Multi-Factor Authentication (MFA) trägt zur Sicherung des Zugriffs auf Daten und Anwendungen bei.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications. Sie bietet eine zusätzliche Sicherheitsebene mithilfe einer zweiten Form der Authentifizierung.It provides an additional layer of security using a second form of authentication. Organisationen können die Lösung mit dem bedingten Zugriff ihren speziellen Bedürfnissen anpassen.Organizations can use conditional access to make the solution fit their specific needs.

VoraussetzungenPrerequisites

Vor dem Starten einer Bereitstellung von Azure Multi-Factor Authentication sind Voraussetzungen zu berücksichtigen.Before starting a deployment of Azure Multi-Factor Authentication, there are prerequisite items that should be considered.

SzenarioScenario VoraussetzungPrerequisite
Nur Cloud-Identitätsumgebung mit moderner AuthentifizierungCloud-only identity environment with modern authentication Keine weiteren erforderlichen AufgabenNo additional prerequisite tasks
HybrididentitätsszenarienHybrid identity scenarios Azure AD Connect wird bereitgestellt, und Benutzeridentitäten werden mit den lokalen Active Directory Domain Services mit Azure Active Directory synchronisiert oder verbunden.Azure AD Connect is deployed and user identities are synchronized or federated with the on-premises Active Directory Domain Services with Azure Active Directory.
Für den Cloudzugriff veröffentlichte lokale ältere AnwendungenOn-premises legacy applications published for cloud access Azure AD-Anwendungsproxy wird bereitgestellt.Azure AD Application Proxy is deployed.
Verwenden von Azure MFA mit RADIUS-AuthentifizierungUsing Azure MFA with RADIUS Authentication Ein Netzwerkrichtlinienserver (Network Policy Server, NPS) wird bereitgestellt.A Network Policy Server (NPS) is deployed.
Benutzer haben Microsoft Office 2010 oder niedriger bzw. Apple Mail für iOS 11 oder niedrigerUsers have Microsoft Office 2010 or earlier, or Apple Mail for iOS 11 or earlier Aktualisieren Sie auf Microsoft Office 2013 oder höher und Apple Mail für iOS 12 oder höher.Upgrade to Microsoft Office 2013 or later and Apple mail for iOS 12 or later. Für die Legacyauthentifizierungsprotokolle wird der bedingte Zugriff nicht unterstützt.Conditional access is not supported by legacy authentication protocols.

Planen des Rollouts für BenutzerPlan user rollout

Ihr MFA-Rolloutplan sollte eine Pilotbereitstellung enthalten gefolgt von Bereitstellungsphasen, die innerhalb Ihrer Supportkapazität liegen.Your MFA rollout plan should include a pilot deployment followed by deployment waves that are within your support capacity. Beginnen Sie den Rollout durch Anwenden von Richtlinien für den bedingten Zugriff auf eine kleine Gruppe von Pilotbenutzern.Begin your rollout by applying your conditional access policies to a small group of pilot users. Nach dem Evaluieren der Auswirkungen auf die Pilotbenutzer, den verwendeten Prozess und das Registrierungsverhalten können Sie entweder der Richtlinie weitere Gruppen hinzufügen oder vorhandenen Gruppen weitere Benutzer hinzufügen.After evaluating the effect on the pilot users, process used, and registration behaviors, you can either add more groups to the policy or add more users to the existing groups.

BenutzerkommunikationUser Communications

Es ist wichtig, Benutzer in geplanter Kommunikation über zukünftige Änderungen, Azure MFA-Registrierungsanforderungen und alle erforderlichen Benutzeraktionen zu informieren.It is critical to inform users, in planned communications, about upcoming changes, Azure MFA registration requirements, and any necessary user actions. Die Kommunikation sollte zusammen mit Vertretern aus Ihrer Organisation entwickelt werden, z.B. aus den Abteilungen Kommunikation, Change Management und Personalwesen.We recommend communications are developed in concert with representatives from within your organization, such as a Communications, Change Management, or Human Resources departments.

Microsoft bietet Kommunikationsvorlagen und Endbenutzerdokumentation, womit Sie Ihre Kommunikation entwerfen können.Microsoft provides communication templates and end-user documentation to help draft your communications. Sie können Benutzer auf https://myprofile.microsoft.com verweisen, wo sie sich durch Auswahl der Sicherheitsinformation-Links auf dieser Seite direkt registrieren können.You can send users to https://myprofile.microsoft.com to register directly by selecting the Security Info links on that page.

Überlegungen zur BereitstellungDeployment Considerations

Azure Multi-Factor Authentication wird durch Erzwingen von Richtlinien mit bedingtem Zugriff bereitgestellt.Azure Multi-factor Authentication is deployed by enforcing policies with conditional access. Eine Richtlinie für bedingten Zugriff kann erfordern, dass Benutzer die Multi-Factor Authentication durchführen, wenn bestimmte Kriterien erfüllt sind, z.B.:A conditional access policy can require users to perform multi-factor authentication when certain criteria are met such as:

  • Alle Benutzer, bestimmter Benutzer, Mitglied einer Gruppe oder zugewiesene RolleAll users, a specific user, member of a group, or assigned role
  • Bestimmte Cloudanwendung, auf die zugegriffen wirdSpecific cloud application being accessed
  • GeräteplattformDevice platform
  • Status des GerätsState of device
  • Netzwerkadresse oder auf einen geografischen Standort bezogene IP-AdresseNetwork location or geo-located IP address
  • ClientanwendungenClient applications
  • Anmelderisiko (erfordert Identity Protection)Sign-in risk (Requires Identity Protection)
  • Kompatibles GerätCompliant device
  • Hybrid in Azure AD eingebundenes GerätHybrid Azure AD joined device
  • Genehmigte ClientanwendungApproved client application

Verwenden Sie die anpassbaren Poster und E-Mail-Vorlagen in [Multi-Factor Authentication-Rollout-Material], um die mehrstufige Authentifizierung in Ihrer Organisation einzuführen.Use the customizable posters and email templates in [multi-factor authentication rollout materials] to roll out multi-factor authentication to your organization. (https://www.microsoft.com/en-us/download/details.aspx?id=57600&WT.mc_id=rss_alldownloads_all)(https://www.microsoft.com/en-us/download/details.aspx?id=57600&WT.mc_id=rss_alldownloads_all)

Aktivieren von Multi-Factor Authentication mit bedingtem ZugriffEnable Multi-Factor Authentication with Conditional Access

Richtlinien für bedingten Zugriff erzwingen die Registrierung, sodass nicht registrierte Benutzer die Registrierung beim ersten Anmelden durchführen müssen, ein wichtiger Sicherheitsaspekt.Conditional access policies enforce registration, requiring unregistered users to complete registration at first sign-in, an important security consideration.

Azure AD Identity Protection trägt sowohl eine Registrierungsrichtlinie als auch automatische Risikoerkennungs- und Wartungsrichtlinien zu Azure Multi-Factor Authentication bei.Azure AD Identity Protection contributes both a registration policy for and automated risk detection and remediation policies to the Azure Multi-Factor Authentication story. Richtlinien können erstellt werden, um Kennwortänderungen zu erzwingen, wenn eine Bedrohung der kompromittierten Identität besteht, oder MFA erfordern, wenn eine Anmeldung aufgrund folgender Ereignisse als riskant eingestuft wird:Policies can be created to force password changes when there is a threat of compromised identity or require MFA when a sign-in is deemed risky by the following events:

  • Kompromittierte AnmeldeinformationenLeaked credentials
  • Anmeldungen von anonymen IP-AdressenSign-ins from anonymous IP addresses
  • Unmöglicher Ortswechsel zu atypischen OrtenImpossible travel to atypical locations
  • Anmeldungen von unbekannten StandortenSign-ins from unfamiliar locations
  • Anmeldungen von infizierten GerätenSign-ins from infected devices
  • Anmeldungen von IP-Adressen mit verdächtigen AktivitätenSign-ins from IP addresses with suspicious activities

Einige der von Azure Active Directory Identity Protection erkannten Risikoereignisse geschehen in Echtzeit, und einige erfordern Offlineverarbeitung.Some of the risk events detected by Azure Active Directory Identity Protection occur in real time and some require offline processing. Administratoren können wahlweise Benutzer blockieren, die riskante Verhaltensweisen zeigen, und den Vorgang manuell korrigieren, eine Kennwortänderung anfordern oder eine mehrstufige Authentifizierung im Rahmen ihrer Richtlinien für bedingten Zugriff anfordern.Administrators can choose to block users who exhibit risky behaviors and remediate manually, require a password change, or require a multi-factor authentication as part of their conditional access policies.

Definieren von NetzwerkadressenDefine network locations

Organisationen sollten bedingten Zugriff verwenden, um ihr Netzwerk mit benannten Orten zu definieren.We recommended that organizations use conditional access to define their network using named locations. Wenn Ihre Organisation Identity Protection verwendet, erwägen Sie die Nutzung risikobasierter Richtlinien statt benannter Orte.If your organization is using Identity Protection, consider using risk-based policies instead of named locations.

Konfigurieren eines benannten OrtsConfiguring a named location

  1. Öffnen Sie Azure Active Directory im Azure-Portal.Open Azure Active Directory in the Azure portal
  2. Klicken Sie auf Bedingter Zugriff.Click Conditional Access
  3. Klicken Sie auf Benannte Standorte.Click Named Locations
  4. Klicken Sie auf Neuer Standort.Click New Location
  5. Geben Sie im Feld Name einen aussagekräftigen Namen an.In the Name field, provide a meaningful name
  6. Wählen Sie aus, ob Sie den Standort mithilfe von IP-Bereichen oder Ländern/Regionen definieren.Select whether you are defining the location using IP ranges or Countries/Regions
    1. Bei Verwendung der IP-BereicheIf using IP Ranges
      1. Entscheiden Sie, ob Sie den Standort als vertrauenswürdig markieren.Decide whether to mark the location as Trusted. Die Anmeldung von einem vertrauenswürdigen Ort aus senkt das Anmelderisiko von Benutzern.Signing in from a trusted location lowers a user's sign-in risk. Markieren Sie diesen Standort nur dann als vertrauenswürdig, wenn die eingegebenen IP-Bereiche bekannt sind und in Ihrer Organisation als unbedenklich eingestuft werden.Only mark this location as trusted if you know the IP ranges entered are established and credible in your organization.
      2. Angeben der IP-BereicheSpecify the IP Ranges
    2. Bei Verwendung von Ländern/RegionenIf using Countries/Regions
      1. Erweitern Sie das Dropdownmenü, und wählen Sie die Länder oder Regionen aus, die Sie für diesen benannten Ort definieren möchten.Expand the drop-down menu and select the countries or regions you wish to define for this named location.
      2. Entscheiden Sie, ob Sie unbekannte Bereiche einschließen möchten.Decide whether to Include unknown areas. Unbekannte Bereiche sind IP-Adressen, die keinem Land/keiner Region zugeordnet werden können.Unknown areas are IP addresses that can't be mapped to a country/region.
  7. Klicken Sie auf ErstellenClick Create

Planen von AuthentifizierungsmethodenPlan authentication methods

Administratoren können die Authentifizierungsmethoden auswählen, die sie für Benutzer verfügbar machen möchten.Administrators can choose the authentication methods that they want to make available for users. Es ist wichtig, mehrere Authentifizierungsmethoden zuzulassen, damit Benutzern eine Sicherungsmethode zur Verfügung steht für den Fall, dass ihre primäre Methode nicht verfügbar ist.It is important to allow more than a single authentication method so that users have a backup method available in case their primary method is unavailable. Administratoren können die folgenden Methoden zulassen:The following methods are available for administrators to enable:

Benachrichtigung über mobile AppNotification through mobile app

Eine Pushbenachrichtigung wird an die Microsoft Authenticator-App auf Ihrem Mobilgerät gesendet.A push notification is sent to the Microsoft Authenticator app on your mobile device. Der Benutzer zeigt die Benachrichtigung an und wählt Genehmigen aus, um die Überprüfung abzuschließen.The user views the notification and selects Approve to complete verification. Pushbenachrichtigungen über eine mobile App bieten Benutzern die am wenigsten intrusive Option.Push notifications through a mobile app provide the least intrusive option for users. Sie sind auch die zuverlässigste und sicherste Option, da sie eine Daten- anstelle einer Telefonverbindung verwenden.They are also the most reliable and secure option because they use a data connection rather than telephony.

Hinweis

Wenn es in Ihrer Organisation Mitarbeiter gibt, die in China arbeiten oder nach China reisen, müssen Sie beachten, dass die Methode Benachrichtigung über mobile App auf Android-Geräten in diesem Land nicht funktioniert.If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices does not work in that country. Daher sollten diesen Benutzern alternative Methoden zur Verfügung gestellt werden.Alternate methods should be made available for those users.

Überprüfungscode von der mobilen AppVerification code from mobile app

Eine mobile App wie die Microsoft Authenticator-App generiert alle 30 Sekunden einen neuen OATH-Überprüfungscode.A mobile app like the Microsoft Authenticator app generates a new OATH verification code every 30 seconds. Der Benutzer gibt den Überprüfungscode auf der Anmeldeoberfläche ein.The user enters the verification code into the sign-in interface. Die Option „mobile App“ kann unabhängig davon verwendet werden, ob das Telefon ein Daten- oder Mobilfunksignal sendet.The mobile app option can be used whether or not the phone has a data or cellular signal.

Auf Telefon anrufenCall to phone

Der Benutzer erhält einen automatisierten Anruf.An automated voice call is placed to the user. Der Benutzer nimmt den Anruf an und drückt die #-Taste auf der Telefontastatur, um seine Authentifizierung zu bestätigen.The user answers the call and presses # on the phone keypad to approve their authentication. Der Telefonanruf ist eine hervorragende Sicherungsmethode für die Benachrichtigung bzw. den Überprüfungscode von einer mobilen App aus.Call to phone is a great backup method for notification or verification code from a mobile app.

Textnachricht an TelefonText message to phone

Eine SMS mit dem Überprüfungscode wird an den Benutzer gesendet, und der Benutzer wird aufgefordert, den Überprüfungscode auf der Anmeldeseite einzugeben.A text message that contains a verification code is sent to the user, the user is prompted to enter the verification code into the sign-in interface.

Auswählen der ÜberprüfungsoptionenChoose verification options

  1. Wechseln Sie zu Azure Active Directory, Benutzer, Multi-Factor Authentication.Browse to Azure Active Directory, Users, Multi-Factor Authentication.

    Zugreifen auf das Multi-Factor Authentication-Portal über das Blatt „Azure AD-Benutzer“ im Azure-Portal

  2. Navigieren Sie auf der neuen Registerkarte, die geöffnet wird, zu Diensteinstellungen.In the new tab that opens browse to service settings.

  3. Aktivieren Sie unter Überprüfungsoptionen alle Kontrollkästchen für Methoden, die den Benutzern zur Verfügung stehen sollen.Under verification options, check all of the boxes for methods available to users.

    Konfigurieren von Überprüfungsmethoden, in der Registerkarte „Diensteinstellung“ von Multi-Factor Authentication

  4. Klicken Sie auf Speichern.Click on Save.

  5. Schließen Sie die Registerkarte Diensteinstellungen.Close the service settings tab.

Planen der RegistrierungsrichtliniePlan registration policy

Administratoren müssen bestimmen, wie Benutzer ihre Methoden registrieren.Administrators must determine how users will register their methods. Organisationen sollten die neue kombinierte Registrierungsbenutzeroberfläche für Azure MFA und Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) aktivieren.Organizations should enable the new combined registration experience for Azure MFA and self-service password reset (SSPR). SSPR ermöglicht Benutzern das sichere Zurücksetzen des Kennworts mithilfe derselben Methoden, die sie für Multi-Factor Authentication verwenden.SSPR allows users to reset their password in a secure way using the same methods they use for multi-factor authentication. Diese derzeit in Public Preview befindliche kombinierte Registrierung wird empfohlen, da sie eine hervorragende Benutzerfreundlichkeit bietet, mit der Möglichkeit, sich einmal für beide Dienste zu registrieren.We recommend this combined registration, currently in public preview, because it’s a great experience for users, with the ability to register once for both services. Das Aktivieren der gleichen Methoden für SSPR und Azure MFA ermöglicht Benutzern, zur Verwendung beider Funktionen registriert zu werden.Enabling the same methods for SSPR and Azure MFA will allow your users to be registered to use both features.

Registrierung mit Identity ProtectionRegistration with Identity Protection

Wenn Ihre Organisation Azure Active Directory Identity Protection verwendet, konfigurieren Sie die MFA-Registrierungsrichtlinie, um Ihre Benutzer aufzufordern, sich bei ihrer nächsten Anmeldung interaktiv zu registrieren.If your organization is using Azure Active Directory Identity Protection, configure the MFA registration policy to prompt your users to register the next time they sign in interactively.

Registrierung ohne Identity ProtectionRegistration without identity Protection

Wenn Ihre Organisation nicht über Lizenzen verfügt, die Identity Protection aktivieren, werden Benutzer aufgefordert, sich das nächste Mal zu registrieren, wenn MFA bei der Anmeldung erforderlich ist.If your organization does not have licenses that enable Identity Protection, users are prompted to register the next time that MFA is required at sign-in. Benutzer sind möglicherweise nicht für MFA registriert, wenn sie keine mit MFA geschützten Anwendungen verwenden.Users may not be registered for MFA if they don't use applications protected with MFA. Es ist wichtig, dass alle Benutzer sich registrieren, sodass Angreifer nicht das Kennwort eines Benutzers erraten und sich in seinem Namen bei MFA registrieren und so effektiv die Kontrolle über das Konto erhalten können.It's important to get all users registered so that bad actors cannot guess the password of a user and register for MFA on their behalf, effectively taking control of the account.

Erzwingen der RegistrierungEnforcing registration

Mithilfe der folgenden Schritte kann eine Richtlinie für bedingten Zugriff Benutzer zwingen, sich für die Multi-Factor Authentication zu registrieren.Using the following steps a conditional access policy can force users to register for Multi-Factor Authentication

  1. Erstellen Sie eine Gruppe, und fügen Sie alle zurzeit nicht registrierten Benutzer hinzu.Create a group, add all users not currently registered.
  2. Erzwingen Sie mit bedingtem Zugriff die Multi-Factor Authentication für diese Gruppe für den Zugriff auf alle Ressourcen.Using conditional access, enforce multi-factor authentication for this group for access to all resources.
  3. Werten Sie in regelmäßigen Abständen erneut die Gruppenmitgliedschaft aus, und entfernen Sie Benutzer, die sich registriert haben, aus der Gruppe.Periodically, reevaluate the group membership, and remove users who have registered from the group.

Sie können registrierte und nicht registrierte Azure MFA-Benutzer mit PowerShell-Befehlen identifizieren, die auf dem MSOnline-PowerShell-Modul basieren.You may identify registered and non-registered Azure MFA users with PowerShell commands that rely on the MSOnline PowerShell module.

Identifizieren registrierter BenutzerIdentify registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods -ne $null} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Identifizieren nicht registrierter BenutzerIdentify non-registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Planen von Richtlinien für bedingten ZugriffPlan conditional access policies

Informationen zum Planen der Richtlinienstrategie für den bedingten Zugriff, die bestimmt, wann MFA und andere Steuerelemente erforderlich sind, finden Sie unter Was ist der bedingte Zugriff in Azure Active Directory?.To plan your conditional access policy strategy, which will determine when MFA and other controls are required, refer to What is conditional access in Azure Active Directory?.

Es ist wichtig, dass Sie verhindern, versehentlich aus Ihrem Azure AD-Mandanten ausgesperrt zu werden.It is important that you prevent being inadvertently locked out of your Azure AD tenant. Sie können die Auswirkungen eines versehentlichen Verlusts des Administratorzugriffs abmildern, indem Sie mindestens zwei Konten für den Notfallzugriff in Ihrem Mandanten erstellen und sie von Ihrer Richtlinie für bedingten Zugriff ausnehmen.You can mitigate the impact of this inadvertent lack of administrative access by creating two or more emergency access accounts in your tenant and excluding them from your conditional access policy.

Erstellen der Richtlinie für den bedingten ZugriffCreate conditional access policy

  1. Melden Sie sich mit dem globalen Administratorkonto am Azure-Portal an.Sign in to the Azure portal using a global administrator account.
  2. Navigieren Sie zu Azure Active Directory > Bedingter Zugriff.Browse to Azure Active Directory, Conditional Access.
  3. Wählen Sie Neue Richtlinie.Select New policy.
  4. Geben Sie einen aussagekräftigen Namen für Ihre Richtlinie an.Provide a meaningful name for your policy.
  5. Unter Benutzer und Gruppen:Under users and groups:
    • Wählen Sie auf der Registerkarte Einschließen das Optionsfeld Alle Benutzer.On the Include tab, select the All users radio button
    • Aktivieren Sie auf der Registerkarte Ausschließen das Kontrollkästchen für Benutzer und Gruppen, und wählen Sie Ihre Konten für den Notfallzugriff aus.On the Exclude tab, check the box for Users and groups and choose your emergency access accounts.
    • Klicken Sie auf Fertig.Click Done.
  6. Aktivieren Sie unter Cloud-Apps das Optionsfeld Alle Cloud-Apps.Under Cloud apps, select the All cloud apps radio button.
    • OPTIONAL: Wählen Sie auf der Registerkarte Ausschließen die Cloud-Apps aus, für die Ihre Organisation keine MFA benötigt.OPTIONALLY: On the Exclude tab, choose cloud apps that your organization does not require MFA for.
    • Klicken Sie auf Fertig.Click Done.
  7. Im Abschnitt Bedingungen:Under Conditions section:
    • OPTIONAL: Wenn Sie Azure Identity Protection aktiviert haben, können Sie entscheiden, ob das Anmelderisiko im Rahmen der Richtlinie ausgewertet werden soll.OPTIONALLY: If you have enabled Azure Identity Protection, you can choose to evaluate sign-in risk as part of the policy.
    • OPTIONAL: Wenn Sie vertrauenswürdige Speicherorte oder benannte Orte konfiguriert haben, können Sie angeben, ob diese in die Richtlinie ein- oder davon ausgeschlossen werden.OPTIONALLY: If you have configured trusted locations or named locations, you can specify to include or exclude those locations from the policy.
  8. Stellen Sie unter Gewähren sicher, dass das Optionsfeld Zugriff gewähren aktiviert ist.Under Grant, make sure the Grant access radio button is selected.
    • Aktivieren Sie das Kontrollkästchen Multi-Factor Authentication erforderlich.Check the box for Require multi-factor authentication.
    • Klicken Sie auf Auswählen.Click Select.
  9. Überspringen Sie den Abschnitt Sitzung.Skip the Session section.
  10. Legen Sie die Umschaltfläche Richtlinie aktivieren auf Ein fest.Set the Enable policy toggle to On.
  11. Klicken Sie auf Create.Click Create.

Erstellen Sie eine Richtlinie für bedingten Zugriff, um MFA für Azure-Portal-Benutzer in der Pilotgruppe zu aktivieren.

Planen der Integration mit lokalen SystemenPlan integration with on-premises systems

Einige ältere und lokale Anwendungen, die sich nicht direkt bei Azure AD authentifizieren, müssen zusätzliche Schritte zur Verwendung von MFA ausführen, unter anderem:Some legacy and on-premises applications that do not authenticate directly against Azure AD require additional steps to use MFA including:

  • Ältere lokale Anwendungen, die den Anwendungsproxy verwenden müssen.Legacy on-premises applications, which will need to use Application proxy.
  • Lokale RADIUS-Anwendungen, die den MFA-Adapter mit NPS-Server verwenden müssen.On-premises RADIUS applications, which will need to use MFA adapter with NPS server.
  • Lokale AD FS-Anwendungen, die den MFA-Adapter mit AD FS 2016 verwenden müssen.On-premises AD FS applications, which will need to use MFA adapter with AD FS 2016.

Anwendungen, die sich direkt bei Azure AD authentifizieren und die moderne Authentifizierung nutzen (WS-Fed, SAML, OAuth, OpenID Connect) können die Richtlinien für bedingten Zugriff direkt verwenden.Applications that authenticate directly with Azure AD and have modern authentication (WS-Fed, SAML, OAuth, OpenID Connect) can make use of conditional access policies directly.

Verwenden von Azure MFA mit dem Azure AD-AnwendungsproxyUse Azure MFA with Azure AD Application Proxy

Lokale Anwendungen können bei Ihrem Azure AD-Mandanten über den Azure AD-Anwendungsproxy veröffentlicht werden und die Azure Multi-Factor Authentication nutzen, wenn sie für die Verwendung der Azure AD-Vorauthentifizierung konfiguriert sind.Applications residing on-premises can be published to your Azure AD tenant via Azure AD Application Proxy and can take advantage of Azure Multi-Factor Authentication if they are configured to use Azure AD pre-authentication.

Diese Anwendungen unterliegen genau wie jede andere in Azure AD integrierte Anwendung Richtlinien für bedingten Zugriff, die die Azure Multi-Factor Authentication erzwingen.These applications are subject to conditional access policies that enforce Azure Multi-Factor Authentication, just like any other Azure AD-integrated application.

Ebenso werden, wenn Azure Multi-Factor Authentication für alle Benutzeranmeldungen erzwungen wird, mit dem Azure AD-Anwendungsproxy veröffentlichte lokale Anwendungen geschützt.Likewise, if Azure Multi-Factor Authentication is enforced for all user sign-ins, on-premises applications published with Azure AD Application Proxy will be protected.

Integration von Azure Multi-Factor Authentication in den NetzwerkrichtlinienserverIntegrating Azure Multi-Factor Authentication with Network Policy Server

Die NPS-Erweiterung (Network Policy Server, Netzwerkrichtlinienserver) für Azure MFA fügt Ihrer Authentifizierungsinfrastruktur unter Verwendung Ihrer vorhandenen Server cloudbasierte MFA-Funktionen hinzu.The Network Policy Server (NPS) extension for Azure MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Mit der NPS-Erweiterung können Sie zu Ihrem bestehenden Authentifizierungsablauf eine Überprüfung per Telefonanruf, SMS oder Telefon-App hinzufügen.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow. Für diese Integration gelten die folgenden Einschränkungen:This integration has the following limitations:

  • Mit dem CHAPv2-Protokoll werden nur Authenticator-App-Pushbenachrichtigungen und Sprachanrufe unterstützt.With the CHAPv2 protocol, only authenticator app push notifications and voice call are supported.
  • Richtlinien für bedingten Zugriff können nicht angewendet werden.Conditional access policies cannot be applied.

Die NPS-Erweiterung fungiert als Adapter zwischen RADIUS und cloudbasierter Azure MFA, um eine zweite Stufe der Authentifizierung zum Schutz von VPN, Remotedesktopgateway-Verbindungen oder anderen RADIUS-fähigen Anwendungen zu bieten.The NPS extension acts as an adapter between RADIUS and cloud-based Azure MFA to provide a second factor of authentication to protect VPN, Remote Desktop Gateway connections, or other RADIUS capable applications. Benutzer, die sich in dieser Umgebung für Azure MFA registrieren, werden bei allen Authentifizierungsversuchen abgefragt; das Fehlen an Richtlinien für den bedingten Zugriff bedeutet, dass MFA immer erforderlich ist.Users that register for Azure MFA in this environment will be challenged for all authentication attempts, the lack of conditional access policies mean MFA is always required.

Implementieren Ihres NPS-ServersImplementing Your NPS Server

Wenn Sie eine NPS-Instanz bereitgestellt haben und sie bereits verwendet wird, lesen Sie Integrieren Ihrer vorhandenen NPS-Infrastruktur in Azure Multi-Factor Authentication.If you have an NPS instance deployed and in use already, reference Integrate your existing NPS Infrastructure with Azure Multi-Factor Authentication. Wenn Sie den NPS zum ersten Mal einrichten, lesen Sie die Anweisungen in Der Netzwerkrichtlinienserver (NPS).If you are setting up NPS for the first time, refer to Network Policy Server (NPS) for instructions. Eine Problembehandlungsanleitung finden Sie im Artikel Auflösen von Fehlermeldungen in der NPS-Erweiterung für Azure Multi-Factor Authentication.Troubleshooting guidance can be found in the article Resolve error messages from the NPS extension for Azure Multi-Factor Authentication.

Vorbereiten von NPS für Benutzer, die nicht für MFA registriert sindPrepare NPS for users that aren't enrolled for MFA

Wählen Sie aus, was geschieht, wenn Benutzer, die nicht in MFA registriert sind, versuchen, sich zu authentifizieren.Choose what happens when users that aren’t enrolled with MFA try to authenticate. Verwenden Sie die Registrierungseinstellung REQUIRE_USER_MATCH im Registrierungspfad HKLM\Software\Microsoft\AzureMFA, um das Verhalten des Features zu steuern.Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. Diese Einstellung hat eine einzelne Konfigurationsoption.This setting has a single configuration option.

SchlüsselKey WertValue StandardDefault
REQUIRE_USER_MATCH TRUE/FALSETRUE / FALSE Nicht festgelegt (gleichwertig mit TRUE)Not set (equivalent to TRUE)

Diese Einstellung dient zum Bestimmen, was zu tun, wenn ein Benutzer nicht für MFA registriert ist.The purpose of this setting is to determine what to do when a user is not enrolled for MFA. Die Auswirkungen der Änderung dieser Einstellung werden in der folgenden Tabelle aufgeführt.The effects of changing this setting are listed in the table below.

EinstellungenSettings Benutzer-MFA-StatusUser MFA Status EffekteEffects
Schlüssel ist nicht vorhandenKey does not exist Nicht registriertNot enrolled MFA-Abfrage ist nicht erfolgreichMFA challenge is unsuccessful
Wert auf TRUE festgelegt / nicht festgelegtValue set to True / not set Nicht registriertNot enrolled MFA-Abfrage ist nicht erfolgreichMFA challenge is unsuccessful
Schlüssel auf FALSE festgelegtKey set to False Nicht registriertNot enrolled Authentifizierung ohne MFAAuthentication without MFA
Schlüssel auf FALSE oder TRUE festgelegtKey set to False or True RegistriertEnrolled Authentifizierung mit MFA erforderlichMust authenticate with MFA

Integrieren in Active Directory-Verbunddienste (AD FS)Integrate with Active Directory Federation Services

Wenn Ihre Organisation mit Azure AD im Verbund ist, können Sie sowohl lokal als auch in der Cloud mit Azure Multi-Factor Authentication AD FS-Ressourcen schützen.If your organization is federated with Azure AD, you can use Azure Multi-Factor Authentication to secure AD FS resources, both on-premises and in the cloud. Mit Azure MFA können Sie die Zahl der Kennwörter reduzieren und eine sicherere Methode zur Authentifizierung bieten.Azure MFA enables you to reduce passwords and provide a more secure way to authenticate. Seit Windows Server 2016 können Sie Azure MFA für die primäre Authentifizierung konfigurieren.Starting with Windows Server 2016, you can now configure Azure MFA for primary authentication.

Anders als mit AD FS unter Windows Server 2012 R2 wird der AD FS 2016 Azure MFA-Adapter direkt in Azure AD integriert und erfordert keinen lokalen Azure MFA-Server.Unlike with AD FS in Windows Server 2012 R2, the AD FS 2016 Azure MFA adapter integrates directly with Azure AD and does not require an on-premises Azure MFA server. Der Azure MFA-Adapter ist in Windows Server 2016 integriert, sodass keine zusätzliche Installation notwendig ist.The Azure MFA adapter is built into Windows Server 2016, and there is no need for an additional installation.

Wenn die Verwendung von Azure MFA mit AD FS 2016 und der Zielanwendung der Richtlinie für bedingten Zugriff unterliegt, sind zusätzliche Überlegungen erforderlich:When using Azure MFA with AD FS 2016 and the target application is subject to conditional access policy, there are additional considerations:

  • Bedingter Zugriff ist verfügbar, wenn die Anwendung eine Azure AD vertrauende Seite ist, im Verbund mit AD FS 2016.Conditional access is available when the application is a relying party to Azure AD, federated with AD FS 2016.
  • Bedingter Zugriff ist nicht verfügbar, wenn die Anwendung eine AD FS 2016 vertrauende Seite ist und von AD FS 2016 verwaltet wird oder damit im Verbund ist.Conditional access is not available when the application is a relying party to AD FS 2016 and is managed or federated with AD FS 2016.
  • Bedingter Zugriff ist auch nicht verfügbar, wenn AD FS 2016 dafür konfiguriert ist, Azure MFA als primäre Authentifizierungsmethode zu verwenden.Conditional access is also not available when AD FS 2016 is configured to use Azure MFA as the primary authentication method.

AD FS-ProtokollierungAD FS Logging

Standardmäßige AD FS 2016-Protokollierung sowohl im Windows-Sicherheitsprotokoll als auch im AD FS-Administratorprotokoll, enthält Informationen zu Authentifizierungsanforderungen sowie deren Erfolg oder Fehler.Standard AD FS 2016 logging in both the Windows Security Log and the AD FS Admin log, contains information about authentication requests and their success or failure. Ereignisprotokolldaten in diesen Ereignissen geben an, ob Azure MFA verwendet wurde.Event log data within these events will indicate whether Azure MFA was used. Beispielsweise kann eine AD FS-Überwachungsereignis-ID 1200 Folgendes enthalten:For example, an AD FS Auditing Event ID 1200 may contain:

<MfaPerformed>true</MfaPerformed>
<MfaMethod>MFA</MfaMethod>

Verlängern und Verwalten von ZertifikatenRenew and manage Certificates

Auf jedem AD FS-Server befindet sich im lokalen Computer My Store ein selbstsigniertes Azure MFA-Zertifikat mit dem Titel „OU=Microsoft AD FS Azure MFA“, das das Ablaufdatum des Zertifikats enthält.On each AD FS server, in the local computer My Store, there will be a self-signed Azure MFA certificate titled OU=Microsoft AD FS Azure MFA, which contains the certificate expiration date. Überprüfen Sie die Gültigkeitsdauer dieses Zertifikats auf jedem AD FS-Server, um das Ablaufdatum zu ermitteln.Check the validity period of this certificate on each AD FS server to determine the expiration date.

Wenn die Gültigkeitsdauer Ihrer Zertifikate sich dem Ablauf nähert, generieren und überprüfen Sie auf jedem AD FS-Server ein neues MFA-Zertifikat.If the validity period of your certificates is nearing expiration, generate and verify a new MFA certificate on each AD FS server.

Die folgende Anleitung enthält Informationen zum Verwalten von Azure MFA-Zertifikaten auf Ihren AD FS-Servern.The following guidance details how to manage the Azure MFA certificates on your AD FS servers. Wenn Sie AD FS mit Azure MFA konfigurieren, sind die über das New-AdfsAzureMfaTenantCertificate-PowerShell-Cmdlet generierten Zertifikate für 2 Jahre gültig.When you configure AD FS with Azure MFA, the certificates generated via the New-AdfsAzureMfaTenantCertificate PowerShell cmdlet are valid for 2 years. Verlängern Sie die Zertifikate, und installieren Sie sie vor Ablauf, um Unterbrechungen des MFA-Diensts zu vermeiden.Renew and install the renewed certificates prior to expiration to ovoid disruptions in MFA service.

Implementieren Ihres PlansImplement your Plan

Da Sie nun Ihre Lösung geplant haben, können Sie sie mit den folgenden Schritten implementieren:Now that you have planned your solution, you can implement by following the steps below:

  1. Erfüllen Sie etwaige notwendige Voraussetzungen.Meet any necessary prerequisites
    1. Stellen Sie Azure AD Connect für Hybridszenarien bereit.Deploy Azure AD Connect for any hybrid scenarios
    2. Stellen Sie den Azure AD-Anwendungsproxy für lokale Apps bereit, die für den Zugriff auf die Cloud veröffentlicht werden.Deploy Azure AD Application Proxy for on any on-premises apps published for cloud access
    3. Stellen Sie den NPS zur RADIUS-Authentifizierung bereit.Deploy NPS for any RADIUS authentication
    4. Stellen Sie sicher, dass Benutzer auf unterstützte Versionen von Microsoft Office mit aktivierter moderner Authentifizierung aktualisiert haben.Ensure users have upgraded to supported versions of Microsoft Office with modern authentication enabled
  2. Konfigurieren Sie ausgewählte Authentifizierungsmethoden.Configure chosen authentication methods
  3. Definieren Sie Ihre benannten Netzwerkadressen.Define your named network locations
  4. Wählen Sie Gruppen aus, um mit der MFA-Einführung zu beginnen.Select groups to begin rolling out MFA.
  5. Konfigurieren Sie Ihre Richtlinien für den bedingten Zugriff.Configure your conditional access policies
  6. Konfigurieren Sie Ihre MFA-Registrierungsrichtlinie.Configure your MFA registration policy
    1. Kombinierte MFA und SSPRCombined MFA and SSPR
    2. Mit Identity ProtectionWith Identity Protection
  7. Fordern Sie die Benutzer zur Registrierung unter https://aka.ms/mfasetup auf.Send user communications and get users to enroll at https://aka.ms/mfasetup
  8. Nachverfolgen, wer sich registriert hatKeep track of who’s enrolled

Verwalten Ihrer LösungManage your solution

Berichte für Azure MFAReports for Azure MFA

Azure Multi-Factor Authentication bietet Berichte über das Azure-Portal:Azure Multi-Factor Authentication provides reports through the Azure portal:

BerichtReport StandortLocation BESCHREIBUNGDescription
Nutzung und BetrugswarnungenUsage and fraud alerts Azure AD > AnmeldungenAzure AD > Sign-ins Bietet Informationen zur Gesamtnutzung, Übersichts- und Detailinformationen zu Benutzern sowie einen Verlauf von Betrugswarnungen, die im angegebenen Zeitraum gesendet wurden.Provides information on overall usage, user summary, and user details; as well as a history of fraud alerts submitted during the date range specified.

Behandeln von MFA-ProblemenTroubleshoot MFA Issues

Lösungen für häufig auftretende Probleme mit Azure MFA finden Sie im Artikel Problembehandlung bei Azure mehrstufige Authentifizierung im Microsoft Support Center.Find solutions for common issues with Azure MFA at the Troubleshooting Azure Multi-Factor Authentication article on the Microsoft Support Center.

Nächste SchritteNext steps