Benutzerportal für den Azure Multi-Factor Authentication-ServerUser portal for the Azure Multi-Factor Authentication Server

Das Benutzerportal ist eine IIS-Website, die es Benutzern ermöglicht, sich für Azure Multi-Factor Authentication (MFA) zu registrieren und ihre Konten zu verwalten.The user portal is an IIS web site that allows users to enroll in Azure Multi-Factor Authentication (MFA) and maintain their accounts. Die Benutzer können ihre Telefonnummer oder PIN ändern oder die zweistufige Überprüfung bei der nächsten Anmeldung umgehen.A user may change their phone number, change their PIN, or choose to bypass two-step verification during their next sign-on.

Die Benutzer melden sich mit ihrem normalen Benutzernamen und Kennwort am Benutzerportal an und rufen dann entweder die zweistufige Überprüfung auf oder beantworten Sicherheitsfragen, um die Authentifizierung abzuschließen.Users sign in to the user portal with their normal username and password, then either complete a two-step verification call or answer security questions to complete their authentication. Wenn die Benutzerregistrierung zulässig ist, konfigurieren Benutzer ihre Telefonnummer und PIN, wenn sie sich zum ersten Mal beim Benutzerportal anmelden.If user enrollment is allowed, users configure their phone number and PIN the first time they sign in to the user portal.

Es können Benutzerportaladministratoren eingerichtet werden, und ihnen kann die Berechtigung zum Hinzufügen neuer Benutzer und zum Aktualisieren vorhandener Benutzer erteilt werden.User portal Administrators may be set up and granted permission to add new users and update existing users.

Abhängig von Ihrer Umgebung können Sie das Benutzerportal auf dem gleichen Server wie den Azure Multi-Factor Authentication-Server oder auf einem anderen, mit dem Internet verbundenen Server bereitstellen.Depending on your environment, you may want to deploy the user portal on the same server as Azure Multi-Factor Authentication Server or on another internet-facing server.

Wichtig

Ab dem 1. Juli 2019 bietet Microsoft keine MFA-Server mehr für neue Bereitstellungen an.As of July 1, 2019, Microsoft will no longer offer MFA Server for new deployments. Neue Kunden, die eine Multi-Factor Authentication für ihre Benutzer einrichten möchten, können stattdessen die cloudbasierte Multi-Factor Authentication von Azure verwenden.New customers who would like to require multi-factor authentication from their users should use cloud-based Azure Multi-Factor Authentication. Bestehende Kunden, die ihren MFA-Server vor dem 1. Juli aktiviert haben, können weiterhin die neusten Versionen und zukünftige Updates herunterladen sowie Anmeldedaten zur Aktivierung generieren.Existing customers who have activated MFA Server prior to July 1 will be able to download the latest version, future updates and generate activation credentials as usual.

MFA Server-Benutzerportal: Anmeldeseite

Hinweis

Das Benutzerportal ist nur mit Multi-Factor Authentication-Server verfügbar.The user portal is only available with Multi-Factor Authentication Server. Wenn Sie Multi-Factor Authentication in der Cloud verwenden, können Sie Ihre Benutzer auf Einrichten meines Kontos für die zweistufige Überprüfung oder auf Verwalten der Einstellungen für die zweistufige Überprüfung verweisen.If you use Multi-Factor Authentication in the cloud, refer your users to the Set-up your account for two-step verification or Manage your settings for two-step verification.

Installieren des Webdienst-SDKInstall the web service SDK

Unabhängig vom Szenario gilt: Falls das Azure Multi-Factor Authentication-Webdienst-SDK noch nicht auf dem Azure Multi-Factor Authentication-Server (Azure MFA-Server) installiert ist, führen Sie die folgenden Schritte aus.In either scenario, if the Azure Multi-Factor Authentication Web Service SDK is not already installed on the Azure Multi-Factor Authentication (MFA) Server, complete the steps that follow.

  1. Öffnen Sie die Konsole des Multi-Factor Authentication-Servers.Open the Multi-Factor Authentication Server console.
  2. Wählen Sie im Webdienst-SDK die Option Webdienst-SDK installieren aus.Go to the Web Service SDK and select Install Web Service SDK.
  3. Führen Sie die Installation unter Verwendung der Standardeinstellungen durch, es sei denn, Sie müssen sie aus irgendeinem Grund ändern.Complete the install using the defaults unless you need to change them for some reason.
  4. Binden Sie ein TLS/SSL-Zertifikat an die Website in IIS.Bind a TLS/SSL Certificate to the site in IIS.

Antworten auf Fragen zum Konfigurieren eines TLS/SSL-Zertifikats für einen IIS-Server finden Sie im Artikel How to Set Up SSL on IIS 7 (Einrichten von SSL in IIS 7).If you have questions about configuring a TLS/SSL Certificate on an IIS server, see the article How to Set Up SSL on IIS.

Das Webdienst-SDK muss durch ein TLS/SSL-Zertifikat geschützt sein.The Web Service SDK must be secured with a TLS/SSL certificate. Für diesen Zweck ist ein selbst signiertes Zertifikat ausreichend.A self-signed certificate is okay for this purpose. Importieren Sie das Zertifikat in den Speicher „Vertrauenswürdige Stammzertifizierungsstellen“ des lokalen Computerkontos auf dem Benutzerportal-Webserver, damit dieser das Zertifikat beim Initiieren einer TLS-Verbindung als vertrauenswürdig einstuft.Import the certificate into the "Trusted Root Certification Authorities" store of the Local Computer account on the User Portal web server so that it trusts that certificate when initiating the TLS connection.

MFA-Serverkonfiguration – Einrichten des Webdienst-SDKs

Bereitstellen des Benutzerportals auf demselben Server wie für den Azure Multi-Factor Authentication-ServerDeploy the user portal on the same server as the Azure Multi-Factor Authentication Server

Wenn Sie das Benutzerportal auf dem gleichen Server installieren möchten wie den Azure Multi-Factor Authentication-Server, ist Folgendes erforderlich:The following pre-requisites are required to install the user portal on the same server as the Azure Multi-Factor Authentication Server:

  • IIS, einschließlich ASP.NET und IIS 6-Metabasiskompatibilität (ab IIS 7)IIS, including ASP.NET, and IIS 6 meta base compatibility (for IIS 7 or higher)
  • Ein Konto mit Administratorrechten für den Computer und die Domäne, falls zutreffend.An account with admin rights for the computer and Domain if applicable. Das Konto benötigt Berechtigungen zum Erstellen von Active Directory-Sicherheitsgruppen.The account needs permissions to create Active Directory security groups.
  • Schützen Sie das Benutzerportal mit einem TLS/SSL-Zertifikat.Secure the user portal with a TLS/SSL certificate.
  • Schützen Sie das Azure Multi-Factor Authentication-Webdienst-SDK mit einem TLS/SSL-Zertifikat.Secure the Azure Multi-Factor Authentication Web Service SDK with a TLS/SSL certificate.

Führen Sie die folgenden Schritte aus, um das Benutzerportal bereitzustellen:To deploy the user portal, follow these steps:

  1. Öffnen Sie die Konsole des Azure Multi-Factor Authentication-Servers, klicken Sie im linken Menü auf das Symbol Benutzerportal, und klicken Sie anschließend auf Benutzerportal installieren.Open the Azure Multi-Factor Authentication Server console, click the User Portal icon in the left menu, then click Install User Portal.

  2. Führen Sie die Installation unter Verwendung der Standardeinstellungen durch, es sei denn, Sie müssen sie aus irgendeinem Grund ändern.Complete the install using the defaults unless you need to change them for some reason.

  3. Binden Sie ein TLS/SSL-Zertifikat an die Website in IIS.Bind a TLS/SSL Certificate to the site in IIS

    Hinweis

    Bei diesem Zertifikat handelt es sich in der Regel um ein öffentlich signiertes TLS/SSL-Zertifikat.This TLS/SSL Certificate is usually a publicly signed TLS/SSL Certificate.

  4. Öffnen Sie auf einem beliebigen Computer einen Webbrowser, und navigieren Sie zu der URL, unter der das Benutzerportal installiert wurde (Beispiel: https://mfa.contoso.com/MultiFactorAuth).Open a web browser from any computer and navigate to the URL where the user portal was installed (Example: https://mfa.contoso.com/MultiFactorAuth). Stellen Sie sicher, dass keine Zertifikatswarnungen oder -fehler angezeigt werden.Ensure that no certificate warnings or errors are displayed.

Installation des MFA-Server-Benutzerportals

Antworten auf Fragen zum Konfigurieren eines TLS/SSL-Zertifikats für einen IIS-Server finden Sie im Artikel How to Set Up SSL on IIS 7 (Einrichten von SSL in IIS 7).If you have questions about configuring a TLS/SSL Certificate on an IIS server, see the article How to Set Up SSL on IIS.

Bereitstellen des Benutzerportals auf einem separaten ServerDeploy the user portal on a separate server

Wenn der Server, auf dem der Azure Multi-Factor Authentication-Server ausgeführt wird, über keine Internetverbindung verfügt, sollten Sie das Benutzerportal auf einem separaten Server mit Internetzugriff installieren.If the server where Azure Multi-Factor Authentication Server is running is not internet-facing, you should install the user portal on a separate, internet-facing server.

Falls Ihre Organisation die Microsoft Authenticator-App als eine der Überprüfungsmethoden nutzt und das Benutzerportal auf einem eigenen Server bereitgestellt werden soll, müssen die folgenden Voraussetzungen erfüllt sein:If your organization uses the Microsoft Authenticator app as one of the verification methods, and want to deploy the user portal on its own server, complete the following requirements:

  • Verwenden Sie Version 6.0 des Azure Multi-Factor Authentication-Servers (oder höher).Use v6.0 or higher of the Azure Multi-Factor Authentication Server.
  • Installieren Sie das Benutzerportal auf einem Webserver mit Internetzugriff, auf dem Microsoft Internetinformationsdienste (IIS) 6.x oder höher ausgeführt wird.Install the user portal on an internet-facing web server running Microsoft internet Information Services (IIS) 6.x or higher.
  • Stellen Sie bei Verwendung von IIS 6.x sicher, dass ASP.NET v2.0.50727 installiert, registriert und auf Zulässig festgelegt ist.When using IIS 6.x, ensure ASP.NET v2.0.50727 is installed, registered, and set to Allowed.
  • Bei Verwendung von IIS 7.x oder einer höheren Version benötigen Sie IIS einschließlich Standardauthentifizierung, ASP.NET und IIS 6-Metabasiskompatibilität.When using IIS 7.x or higher, IIS, including Basic Authentication, ASP.NET, and IIS 6 meta base compatibility.
  • Schützen Sie das Benutzerportal mit einem TLS/SSL-Zertifikat.Secure the user portal with a TLS/SSL certificate.
  • Schützen Sie das Azure Multi-Factor Authentication-Webdienst-SDK mit einem TLS/SSL-Zertifikat.Secure the Azure Multi-Factor Authentication Web Service SDK with a TLS/SSL certificate.
  • Stellen Sie sicher, dass über das Benutzerportal eine TLS/SSL-Verbindung mit dem Azure Multi-Factor Authentication-Webdienst-SDK hergestellt werden kann.Ensure that the user portal can connect to the Azure Multi-Factor Authentication Web Service SDK over TLS/SSL.
  • Stellen Sie sicher, dass das Benutzerportal beim Azure Multi-Factor Authentication-Webdienst-SDK mit den Anmeldeinformationen eines Dienstkontos der Sicherheitsgruppe „PhoneFactor Admins“ authentifiziert werden kann.Ensure that the user portal can authenticate to the Azure Multi-Factor Authentication Web Service SDK using the credentials of a service account in the "PhoneFactor Admins" security group. Dieses Dienstkonto und diese Gruppe müssen in Active Directory vorhanden sein, wenn der Azure Multi-Factor Authentication-Server auf einem in die Domäne eingebundenen Server ausgeführt wird.This service account and group should exist in Active Directory if the Azure Multi-Factor Authentication Server is running on a domain-joined server. Dieses Dienstkonto und diese Gruppe sind lokal auf dem Azure Multi-Factor Authentication-Server vorhanden, wenn dieser nicht in eine Domäne eingebunden ist.This service account and group exist locally on the Azure Multi-Factor Authentication Server if it is not joined to a domain.

Wenn Sie das Benutzerportal auf einem anderen Server als dem Azure Multi-Factor Authentication-Server installieren möchten, sind folgende Schritte erforderlich:Installing the user portal on a server other than the Azure Multi-Factor Authentication Server requires the following steps:

  1. Auf dem Server MFA: Navigieren Sie zum Installationspfad. (Beispiel: „C:\Programme\Multi-Factor Authentication Server“), und kopieren Sie die Datei MultiFactorAuthenticationUserPortalSetup64 an einen Ort, auf den der mit dem Internet verbundene Server zugreifen kann und an dem die Installation erfolgen soll.On the MFA Server, browse to the installation path (Example: C:\Program Files\Multi-Factor Authentication Server), and copy the file MultiFactorAuthenticationUserPortalSetup64 to a location accessible to the internet-facing server where you will install it.

  2. Auf dem mit dem Internet verbundenen Webserver: Führen Sie die Installationsdatei „MultiFactorAuthenticationUserPortalSetup64“ als Administrator aus, ändern Sie ggf. den Standort, und legen Sie bei Bedarf das virtuelle Verzeichnis auf einen Kurznamen fest.On the internet-facing web server, run the MultiFactorAuthenticationUserPortalSetup64 install file as an administrator, change the Site if desired and change the Virtual directory to a short name if you would like.

  3. Binden Sie ein TLS/SSL-Zertifikat an die Website in IIS.Bind a TLS/SSL Certificate to the site in IIS.

    Hinweis

    Bei diesem Zertifikat handelt es sich in der Regel um ein öffentlich signiertes TLS/SSL-Zertifikat.This TLS/SSL Certificate is usually a publicly signed TLS/SSL Certificate.

  4. Navigieren Sie zu C:\inetpub\wwwroot\MultiFactorAuth.Browse to C:\inetpub\wwwroot\MultiFactorAuth

  5. Bearbeiten Sie die Datei „Web.Config“ im Editor.Edit the Web.Config file in Notepad

    • Suchen Sie den Schlüssel "USE_WEB_SERVICE_SDK" , und ändern Sie value="false" in value="true" .Find the key "USE_WEB_SERVICE_SDK" and change value="false" to value="true"
    • Suchen Sie den Schlüssel "WEB_SERVICE_SDK_AUTHENTICATION_USERNAME" , und ändern Sie value="" in value="DOMÄNE\Benutzer" , wobei es sich bei „DOMÄNE\Benutzer“ um ein Dienstkonto handelt, das der Gruppe „PhoneFactor Admins“ angehört.Find the key "WEB_SERVICE_SDK_AUTHENTICATION_USERNAME" and change value="" to value="DOMAIN\User" where DOMAIN\User is a Service Account that is a part of "PhoneFactor Admins" Group.
    • Suchen Sie den Schlüssel "WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD" , und ändern Sie value="" in value="Kennwort" , wobei es sich bei „Kennwort“ um das Kennwort für das Dienstkonto aus der vorherigen Zeile handelt.Find the key "WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD" and change value="" to value="Password" where Password is the password for the Service Account entered in the previous line.
    • Suchen Sie den Wert https://www.contoso.com/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx , und ändern Sie die Platzhalter-URL in die Webdienst-SDK-URL aus Schritt 2.Find the value https://www.contoso.com/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx and change this placeholder URL to the Web Service SDK URL we installed in step 2.
    • Speichern Sie die Datei „Web.Config“, und schließen Sie den Editor.Save the Web.Config file and close Notepad.
  6. Öffnen Sie auf einem beliebigen Computer einen Webbrowser, und navigieren Sie zu der URL, unter der das Benutzerportal installiert wurde (Beispiel: https://mfa.contoso.com/MultiFactorAuth).Open a web browser from any computer and navigate to the URL where the user portal was installed (Example: https://mfa.contoso.com/MultiFactorAuth). Stellen Sie sicher, dass keine Zertifikatswarnungen oder -fehler angezeigt werden.Ensure that no certificate warnings or errors are displayed.

Antworten auf Fragen zum Konfigurieren eines TLS/SSL-Zertifikats für einen IIS-Server finden Sie im Artikel How to Set Up SSL on IIS 7 (Einrichten von SSL in IIS 7).If you have questions about configuring a TLS/SSL Certificate on an IIS server, see the article How to Set Up SSL on IIS.

Konfigurieren der Benutzerportaleinstellungen auf dem Azure Multi-Factor Authentication-ServerConfigure user portal settings in the Azure Multi-Factor Authentication Server

Nachdem das Benutzerportal installiert wurde, müssen Sie den Azure Multi-Factor Authentication-Server für die Verwendung des Portals konfigurieren.Now that the user portal is installed, you need to configure the Azure Multi-Factor Authentication Server to work with the portal.

  1. Klicken Sie in der Konsole des Azure Multi-Factor Authentication-Servers auf das Symbol Benutzerportal.In the Azure Multi-Factor Authentication Server console, click the User Portal icon. Geben Sie auf der Registerkarte „Einstellungen“ im Textfeld Benutzerportal-URL die URL des Benutzerportals ein.On the Settings tab, enter the URL to the user portal in the User Portal URL textbox. Sofern die E-Mail-Funktion aktiviert wurde, wird diese URL in E-Mails eingefügt, die an Benutzer gesendet werden, wenn diese in den Azure Multi-Factor Authentication-Server importiert werden.If email functionality has been enabled, this URL is included in the emails that are sent to users when they are imported into the Azure Multi-Factor Authentication Server.
  2. Wählen Sie die Einstellungen aus, die Sie im Benutzerportal verwenden möchten.Choose the settings that you want to use in the User Portal. Wenn beispielsweise Benutzer ihre Authentifizierungsmethoden auswählen dürfen, sollten Sie sicherstellen, dass die Option Methodenauswahl durch Benutzer zulassen zusammen mit den zur Auswahl stehenden Methoden aktiviert ist.For example, if users are allowed to choose their authentication methods, ensure that Allow users to select method is checked, along with the methods they can choose from.
  3. Definieren Sie auf der Registerkarte Administratoren die gewünschten Administratoren. Mithilfe der Kontrollkästchen und Dropdownlisten der Felder „Hinzufügen“/„Bearbeiten“ lassen sich präzise Administratorberechtigungen erstellen.Define who should be Administrators on the Administrators tab. You can create granular administrative permissions using the checkboxes and dropdowns in the Add/Edit boxes.

Optionale Konfiguration:Optional configuration:

  • Sicherheitsfragen: Definieren Sie genehmigte Sicherheitsfragen für Ihre Umgebung und die Sprache, in der sie angezeigt werden.Security Questions - Define approved security questions for your environment and the language they appear in.
  • Vergangene Sitzungen: Konfigurieren Sie die Benutzerportalintegration in eine formularbasierte Website mit MFA.Passed Sessions - Configure user portal integration with a form-based website using MFA.
  • Vertrauenswürdige IPs: Lassen Sie zu, dass Benutzer die MFA überspringen, wenn sie sich über eine IP-Adresse authentifizieren, die in einer Liste mit vertrauenswürdigen IP-Adressen oder -Bereichen enthalten ist.Trusted IPs - Allow users to skip MFA when authenticating from a list of trusted IPs or ranges.

MFA-Server – Konfiguration des Benutzerportals

Der Azure Multi-Factor Authentication-Server stellt mehrere Optionen für das Benutzerportal bereit.Azure Multi-Factor Authentication server provides several options for the user portal. Die folgende Tabelle enthält eine Liste dieser Optionen sowie eine Erläuterung zu deren Verwendung.The following table provides a list of these options and an explanation of what they are used for.

Benutzerportal – EinstellungenUser Portal Settings BESCHREIBUNGDescription
Benutzerportal-URLUser Portal URL Geben Sie die URL ein, unter der das Portal gehostet wird.Enter the URL of where the portal is being hosted.
Primäre AuthentifizierungPrimary authentication Geben Sie den Typ der Authentifizierung für die Anmeldung beim Portal an.Specify the type of authentication to use when signing in to the portal. Mögliche Optionen: Windows-, Radius- oder LDAP-Authentifizierung.Either Windows, Radius, or LDAP authentication.
Benutzeranmeldung zulassenAllow users to log in Ermöglicht Benutzern die Eingabe von Benutzername und Kennwort auf der Anmeldeseite des Benutzerportals.Allow users to enter a username and password on the sign-in page for the User portal. Wenn diese Option nicht ausgewählt ist, sind die Felder abgeblendet.If this option is not selected, the boxes are grayed out.
Benutzerregistrierung zulassenAllow user enrollment Ermöglicht dem Benutzer die Registrierung bei der Multi-Factor Authentication. Dazu wird der Benutzer auf einem Setupbildschirm zur Eingabe zusätzlicher Informationen wie beispielsweise einer Telefonnummer aufgefordert.Allow a user to enroll in Multi-Factor Authentication by taking them to a setup screen that prompts them for additional information such as telephone number. Die Eingabeaufforderung für die Ersatzrufnummer ermöglicht dem Benutzer die Angabe einer sekundären Telefonnummer.Prompt for backup phone allows users to specify a secondary phone number. Die Eingabeaufforderung für das Drittanbieter-OATH-Token ermöglicht dem Benutzer die Angabe eines entsprechenden Tokens.Prompt for third-party OATH token allows users to specify a third-party OATH token.
Benutzern das Initiieren einer Einmalumgehung ermöglichenAllow users to initiate One-Time Bypass Ermöglicht Benutzern das Initiieren einer Einmalumgehung.Allow users to initiate a one-time bypass. Wenn ein Benutzer diese Option einrichtet, wird sie bei seiner nächsten Anmeldung wirksam.If a user sets this option up, it will take effect the next time the user signs in. Die Eingabeaufforderung für die Gültigkeit der Umgehung in Sekunden zeigt dem Benutzer ein Feld an, in dem er den Standardwert von 300 Sekunden ändern kann.Prompt for bypass seconds provides the user with a box so they can change the default of 300 seconds. Andernfalls gilt die Einmalumgehung nur für 300 Sekunden.Otherwise, the one-time bypass is only good for 300 seconds.
Benutzern die Auswahl der Methode ermöglichenAllow users to select method Ermöglicht Benutzern das Festlegen ihrer primären Kontaktmethode.Allow users to specify their primary contact method. Bei dieser Methode kann es sich um einen Telefonanruf, eine SMS, die mobile App oder ein OATH-Token handeln.This method can be phone call, text message, mobile app, or OATH token.
Benutzern die Auswahl der Sprache ermöglichenAllow users to select language Ermöglicht Benutzern das Ändern der Sprache, die für den Telefonanruf, die Textnachricht (SMS), die mobile App oder das OATH-Token verwendet wird.Allow users to change the language that is used for the phone call, text message, mobile app, or OATH token.
Benutzern das Aktivieren der mobilen App ermöglichenAllow users to activate mobile app Ermöglicht Benutzern das Generieren eines Aktivierungscodes, um den Aktivierungsprozess der mit dem Server verwendeten mobilen App durchzuführen.Allow users to generate an activation code to complete the mobile app activation process that is used with the server. Sie können auch die Anzahl der Geräte festlegen (1 bis 10), auf denen Benutzer die App aktivieren können.You can also set the number of devices they can activate the app on, between 1 and 10.
Sicherheitsfragen als Alternative verwendenUse security questions for fallback Ermöglicht die Verwendung von Sicherheitsfragen, falls die zweistufige Überprüfung fehlschlägt.Allow security questions in case two-step verification fails. Sie können die Anzahl der Sicherheitsfragen festlegen, die richtig beantwortet werden müssen.You can specify the number of security questions that must be successfully answered.
Benutzern das Zuordnen von Drittanbieter-OATH-Token ermöglichenAllow users to associate third-party OATH token Ermöglicht Benutzern das Angeben eines Drittanbieter-OATH-Tokens.Allow users to specify a third-party OATH token.
OATH-Token als Alternative verwendenUse OATH token for fallback Ermöglicht die Verwendung eines OATH-Tokens, falls die zweistufige Überprüfung nicht erfolgreich ist.Allow for the use of an OATH token in case two-step verification is not successful. Sie können auch den Sitzungstimeout in Minuten angeben.You can also specify the session timeout in minutes.
Aktivieren der ProtokollierungEnable logging Ermöglicht die Protokollierung im Benutzerportal.Enable logging on the user portal. Die Protokolldateien befinden sich unter: C:\Programme\Multi-Factor Authentication Server\Logs.The log files are located at: C:\Program Files\Multi-Factor Authentication Server\Logs.

Wichtig

Ab März 2019 sind die Telefonanrufoptionen für MFA Server-Benutzer in kostenlosen bzw. Testversionen von Azure AD-Mandanten nicht mehr verfügbar.Starting in March of 2019 the phone call options will not be available to MFA Server users in free/trial Azure AD tenants. SMS-Nachrichten sind von dieser Änderung nicht betroffen.SMS messages are not impacted by this change. Für Benutzer in kostenpflichtigen Azure AD-Mandanten ist die Telefonanrufoption weiterhin verfügbar.Phone call will continue to be available to users in paid Azure AD tenants. Diese Änderung wirkt sich nur auf kostenlose bzw. Testversionen von Azure AD-Mandanten aus.This change only impacts free/trial Azure AD tenants.

Diese Einstellungen werden dem Benutzer im Portal angezeigt, nachdem sie aktiviert wurden und der Benutzer sich beim Benutzerportal angemeldet hat.These settings become visible to the user in the portal once they are enabled and they are signed in to the user portal.

Verwalten Ihres MFA Server-Kontos im Benutzerportal

Self-Service-BenutzerregistrierungSelf-service user enrollment

Wenn Sie möchten, dass Ihre Benutzer sich anmelden und registrieren, müssen Sie auf der Registerkarte „Einstellungen“ die Optionen Benutzeranmeldung zulassen und Benutzerregistrierung zulassen auswählen. Denken Sie daran, dass die ausgewählten Einstellungen die Benutzeranmeldung beeinflussen.If you want your users to sign in and enroll, you must select the Allow users to log in and Allow user enrollment options under the Settings tab. Remember that the settings you select affect the user sign-in experience.

Wenn sich ein Benutzer beispielsweise zum ersten Mal beim Benutzerportal anmeldet, wird er auf die Seite zur Benutzereinrichtung von Azure Multi-Factor Authentication geleitet.For example, when a user signs in to the user portal for the first time, they are then taken to the Azure Multi-Factor Authentication User Setup page. Je nachdem, wie Sie Azure Multi-Factor Authentication konfiguriert haben, kann der Benutzer seine Authentifizierungsmethode auswählen.Depending on how you have configured Azure Multi-Factor Authentication, the user may be able to select their authentication method.

Wenn er die Überprüfungsmethode „Sprachanruf“ auswählt oder für die Verwendung dieser Methode vorkonfiguriert wurde, fordert die Seite den Benutzer zur Eingabe seiner primären Rufnummer und ggf. der Durchwahl auf.If they select the Voice Call verification method or have been pre-configured to use that method, the page prompts the user to enter their primary phone number and extension if applicable. Möglicherweise kann er auch eine Ersatzrufnummer eingeben.They may also be allowed to enter a backup phone number.

Registrieren der primären Rufnummer und der Ersatzrufnummer

Wenn der Benutzer bei der Authentifizierung eine PIN verwenden muss, fordert ihn die Seite zur Erstellung einer PIN auf.If the user is required to use a PIN when they authenticate, the page prompts them to create a PIN. Nach der Eingabe der Telefonnummer(n) und PIN (falls zutreffend) klickt der Benutzer auf die Schaltfläche Jetzt für Authentifizierung angerufen werden.After entering their phone number(s) and PIN (if applicable), the user clicks the Call Me Now to Authenticate button. Azure Multi-Factor Authentication prüft die primäre Telefonnummer des Benutzers durch einen Anruf.Azure Multi-Factor Authentication performs a phone call verification to the user's primary phone number. Der Benutzer muss den Anruf annehmen, ggf. seine PIN eingeben und # drücken, um zum nächsten Schritt der Selbstregistrierung zu gelangen.The user must answer the phone call and enter their PIN (if applicable) and press # to move on to the next step of the self-enrollment process.

Wenn der Benutzer die Überprüfung per SMS auswählt oder für die Verwendung dieser Methode vorkonfiguriert wurde, fordert die Seite den Benutzer zur Angabe seiner Mobiltelefonnummer auf.If the user selects the Text Message verification method or has been pre-configured to use that method, the page prompts the user for their mobile phone number. Wenn der Benutzer bei der Authentifizierung eine PIN verwenden muss, fordert ihn die Seite auch zur Eingabe einer PIN auf.If the user is required to use a PIN when they authenticate, the page also prompts them to enter a PIN. Nach der Eingabe der Telefonnummer und PIN (falls zutreffend) klickt der Benutzer auf die Schaltfläche Jetzt per SMS authentifizieren.After entering their phone number and PIN (if applicable), the user clicks the Text Me Now to Authenticate button. Azure Multi-Factor Authentication führt eine SMS-Überprüfung über das Mobiltelefon des Benutzers durch.Azure Multi-Factor Authentication performs an SMS verification to the user's mobile phone. Der Benutzer empfängt die SMS mit einer Einmalkennung (One-Time Passcode, OTP) und sendet dann eine Antwort auf die Nachricht mit der Einmalkennung und seiner PIN (falls zutreffend).The user receives the text message with a one-time-passcode (OTP), then replies to the message with that OTP plus their PIN (if applicable).

Benutzerportal: Überprüfung per SMS

Wenn der Benutzer die Überprüfungsmethode per mobiler App wählt, wird er aufgefordert, die Microsoft Authenticator-App auf seinem Gerät zu installieren und einen Aktivierungscode zu generieren.If the user selects the Mobile App verification method, the page prompts the user to install the Microsoft Authenticator app on their device and generate an activation code. Nach der Installation der App klickt der Benutzer auf die Schaltfläche „Aktivierungscode generieren“.After installing the app, the user clicks the Generate Activation Code button.

Hinweis

Zum Verwenden der Microsoft Authenticator-App muss der Benutzer Pushbenachrichtigungen für sein Gerät aktivieren.To use the Microsoft Authenticator app, the user must enable push notifications for their device.

Die Seite zeigt dann einen Aktivierungscode und eine URL zusammen mit einem Barcodebild an.The page then displays an activation code and a URL along with a barcode picture. Wenn der Benutzer bei der Authentifizierung eine PIN verwenden muss, fordert ihn die Seite zusätzlich zur Eingabe einer PIN auf.If the user is required to use a PIN when they authenticate, the page additionally prompts them to enter a PIN. Der Benutzer gibt den Aktivierungscode und die URL in die Microsoft Authenticator-App ein oder verwendet den Barcodescanner, um das Barcodebild zu scannen, und klickt auf die Schaltfläche „Aktivieren“.The user enters the activation code and URL into the Microsoft Authenticator app or uses the barcode scanner to scan the barcode picture and clicks the Activate button.

Nach Abschluss der Aktivierung klickt der Benutzer auf die Schaltfläche Jetzt authentifizieren.After the activation is complete, the user clicks the Authenticate Me Now button. Azure Multi-Factor Authentication führt eine Überprüfung über die mobile App des Benutzers durch.Azure Multi-Factor Authentication performs a verification to the user's mobile app. Der Benutzer muss seine PIN (falls zutreffend) eingeben die Schaltfläche „Authentifizieren“ in seiner mobilen App drücken, um mit dem nächsten Schritt der Selbstregistrierung fortzufahren.The user must enter their PIN (if applicable) and press the Authenticate button in their mobile app to move on to the next step of the self-enrollment process.

Wenn die Administratoren den Azure Multi-Factor Authentication-Server für das Erfassen von Sicherheitsfragen und -antworten konfiguriert haben, wird der Benutzer auf die Seite mit den Sicherheitsfragen weitergeleitet.If the administrators have configured the Azure Multi-Factor Authentication Server to collect security questions and answers, the user is then taken to the Security Questions page. Der Benutzer muss vier Sicherheitsfragen auswählen und die entsprechenden Antworten bereitstellen.The user must select four security questions and provide answers to their selected questions.

Benutzerportal-Sicherheitsfragen

Die Selbstregistrierung des Benutzers ist jetzt abgeschlossen, und der Benutzer wird am Benutzerportal angemeldet.The user self-enrollment is now complete and the user is signed in to the user portal. Benutzer können sich jederzeit erneut beim Benutzerportal anmelden, um ihre Telefonnummern, PINs, Authentifizierungsmethoden und Sicherheitsfragen zu ändern, sofern die Änderung der Methoden von den Administratoren zugelassen wurde.Users can sign back in to the user portal at any time in the future to change their phone numbers, PINs, authentication methods, and security questions if changing their methods is allowed by their administrators.

Nächste SchritteNext steps