Aktivieren der kombinierten Registrierung von Sicherheitsinformationen in Microsoft Entra ID
Vor der kombinierten Registrierung registrierten Benutzer Authentifizierungsmethoden für die Multi-Faktor-Authentifizierung von Microsoft Entra und die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) getrennt voneinander. Benutzer waren verwirrt, dass ähnliche Methoden für Multi-Faktor-Authentifizierung und für SSPR von Microsoft Entra verwendet wurden, sie sich jedoch für beide Funktionen registrieren mussten. Mit der kombinierten Registrierung können sich Benutzer jetzt einmalig registrieren und die Vorteile von Multi-Faktor-Authentifizierung und SSPR von Microsoft Entra nutzen.
Machen Sie sich anhand der Konzepte der kombinierten Registrierung von Sicherheitsinformationen mit der Funktion und den Auswirkungen der neuen Umgebung vertraut.
Richtlinien für bedingten Zugriff für die kombinierte Registrierung
Mit Benutzeraktionen in der Richtlinie für bedingten Zugriff kann sichergestellt werden, wann und wie sich Benutzer für die Multi-Faktor-Authentifizierung von Microsoft Entra registrieren, und auch die Self-Service-Kennwortzurücksetzung ist möglich. Diese Funktionalität kann in Organisationen aktiviert werden, in denen sich Benutzer an einem zentralen Ort, z. B. einem vertrauenswürdigen Netzwerkspeicherort während des Onboardings von Personal, für Multi-Faktor-Authentifizierung und SSPR von Microsoft Entra registrieren sollen.
Hinweis
Diese Richtlinie gilt nur, wenn ein Benutzer auf eine kombinierte Registrierungsseite zugreift. Diese Richtlinie erzwingt keine MFA-Registrierung, wenn ein Benutzer auf andere Anwendungen zugreift.
Sie können eine MFA-Registrierungsrichtlinie mithilfe von Microsoft Entra ID-Schutz – MFA-Richtlinie konfigurieren erstellen.
Weitere Informationen zum Erstellen vertrauenswürdiger Speicherorte bei bedingtem Zugriff finden Sie unter Was sind Standortbedingungen beim bedingten Zugriff in Microsoft Entra?
Erstellen einer Richtlinie zum Erzwingen der Registrierung von einem vertrauenswürdigen Standort
Führen Sie die folgenden Schritte aus, um eine Richtlinie für alle ausgewählten Benutzer zu erstellen, die versuchen, sich über die Benutzeroberfläche mit der kombinierten Registrierung zu registrieren. Der Zugriff wird blockiert, sofern die Verbindung nicht von einem Standort aus hergestellt wird, der als ein vertrauenswürdiges Netzwerk gekennzeichnet ist:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für bedingten Zugriff an.
Browsen Sie zu Schutz>Bedingter Zugriff.
Wählen Sie + Neue Richtlinie aus.
Geben Sie einen Namen für diese Richtlinie ein, beispielsweise Kombinierte Registrierung von Sicherheitsinformationen in vertrauenswürdigen Netzwerken.
Wählen Sie unter Zuweisungen die Option Benutzer aus. Wählen Sie die Benutzer und Gruppen, für die diese Richtlinie gelten soll.
Warnung
Benutzer müssen für die kombinierte Registrierung aktiviert sein.
Wählen Sie unter Cloud-Apps oder -Aktionen die Option Alle Cloud-Apps aus. Aktivieren Sie Sicherheitsinformationen registrieren, und klicken Sie dann auf Fertig.
Konfigurieren Sie unter Bedingungen>Standorte die folgenden Optionen:
- Konfigurieren Sie Ja.
- Schließen Sie Alle Standorte ein.
- Schließen Sie Alle vertrauenswürdigen Standorte aus.
Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff blockieren und dann Auswählen aus.
Legen Sie Richtlinie aktivieren auf Ein fest.
Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.
Nächste Schritte
Wenn Sie Hilfe benötigen, finden Sie unter Problembehandlung für die kombinierte Registrierung von Sicherheitsinformationen sowie unter Was sind Standortbedingungen beim bedingten Zugriff in Microsoft Entra? weitere Informationen
Sehen Sie sich an, wie Sie in Ihrem Mandanten die Self-Service-Kennwortzurücksetzung aktivieren und Die Multi-Faktor-Authentifizierung in Microsoft Entra aktivieren können.
Informieren Sie sich bei Bedarf, wie Sie die erneute Registrierung von Authentifizierungsmethoden durch Benutzer erzwingen.