Tutorial: Schützen von Benutzeranmeldeereignissen mit Azure Multi-Factor AuthenticationTutorial: Secure user sign-in events with Azure Multi-Factor Authentication

Bei der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) wird vom Benutzer im Rahmen eines Anmeldeereignisses eine zusätzliche Art der Identifizierung angefordert.Multi-factor authentication (MFA) is a process where a user is prompted during a sign-in event for additional forms of identification. Dabei kann es sich beispielsweise um die Eingabe eines Codes auf dem Smartphone oder um einen Fingerabdruckscan handeln.This prompt could be to enter a code on their cellphone or to provide a fingerprint scan. Wenn Sie ein zweites Authentifizierungsverfahren erzwingen, wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Mithilfe von Azure Multi-Factor Authentication und Richtlinien für bedingten Zugriff kann die MFA für Benutzer flexibel während bestimmter Anmeldeereignisse aktiviert werden.Azure Multi-Factor Authentication and Conditional Access policies give the flexibility to enable MFA for users during specific sign-in events.

Wichtig

In diesem Tutorial wird für Administratoren veranschaulicht, wie Azure Multi-Factor Authentication aktiviert wird.This tutorial shows an administrator how to enable Azure Multi-Factor Authentication.

Wenn Ihr IT-Team die Verwendung von Azure Multi-Factor Authentication nicht aktiviert hat oder Sie Probleme mit der Anmeldung haben, sollten Sie sich an Ihren Helpdesk wenden.If your IT team hasn't enabled the ability to use Azure Multi-Factor Authentication or you have problems during sign-in, reach out to your helpdesk for additional assistance.

In diesem Tutorial lernen Sie Folgendes:In this tutorial you learn how to:

  • Erstellen einer Richtlinie für bedingten Zugriff, um Azure Multi-Factor Authentication für eine Gruppe von Benutzern zu aktivierenCreate a Conditional Access policy to enable Azure Multi-Factor Authentication for a group of users
  • Konfigurieren der Richtlinienbedingungen zum Initiieren der MFAConfigure the policy conditions that prompt for MFA
  • Testen des MFA-Prozesses als BenutzerTest the MFA process as a user

VoraussetzungenPrerequisites

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:To complete this tutorial, you need the following resources and privileges:

  • Einen funktionierenden Azure AD-Mandanten mit mindestens einer aktivierten Azure AD Premium P1- oder -Testlizenz.A working Azure AD tenant with at least an Azure AD Premium P1 or trial license enabled.
  • Ein Konto mit Berechtigungen vom Typ Globaler Administrator.An account with global administrator privileges.
  • Ein Benutzer ohne Administratorrechte mit einem Ihnen bekannten Kennwort, wie z. B. testuser.A non-administrator user with a password you know, such as testuser. Das Konto wird in diesem Tutorial verwendet, um Azure Multi-Factor Authentication als Endbenutzer zu testen.You test the end-user Azure Multi-Factor Authentication experience using this account in this tutorial.
  • Eine Gruppe, der der Benutzer ohne Administratorrechte angehört (beispielsweise MFA-Test-Group).A group that the non-administrator user is a member of, such as MFA-Test-Group. In diesem Tutorial wird Azure Multi-Factor Authentication für diese Gruppe aktiviert.You enable Azure Multi-Factor Authentication for this group in this tutorial.

Erstellen der Richtlinie für bedingten ZugriffCreate a Conditional Access policy

Es empfiehlt sich, Azure Multi-Factor Authentication mit Richtlinien für bedingten Zugriff zu aktivieren.The recommended way to enable and use Azure Multi-Factor Authentication is with Conditional Access policies. Bedingter Zugriff ermöglicht das Erstellen und Definieren von Richtlinien, die auf Anmeldeereignisse reagieren und zusätzliche Aktionen anfordern, bevor einem Benutzer der Zugriff auf eine Anwendung oder einen Dienst gewährt wird.Conditional Access lets you create and define policies that react to sign in events and request additional actions before a user is granted access to an application or service.

Übersichtsdiagramm: Funktionsweise des bedingten Zugriffs zum Schutz des Anmeldevorgangs

Richtlinien für bedingten Zugriff können präzise und spezifisch sein, damit Benutzer jederzeit und überall produktiv arbeiten können, gleichzeitig aber auch Ihre Organisation geschützt ist.Conditional Access policies can be granular and specific, with the goal to empower users to be productive wherever and whenever, but also protect your organization. In diesem Tutorial wird eine einfache Richtlinie für bedingten Zugriff erstellt, um die MFA zu initiieren, wenn sich ein Benutzer beim Azure-Portal anmeldet.In this tutorial, let's create a basic Conditional Access policy to prompt for MFA when a user signs in to the Azure portal. In einem späteren Tutorial dieser Reihe wird Azure Multi-Factor Authentication mithilfe einer risikobasierten Richtlinie für bedingten Zugriff konfiguriert.In a later tutorial in this series, you configure Azure Multi-Factor Authentication using a risk-based Conditional Access policy.

Erstellen Sie zunächst eine Richtlinie für bedingten Zugriff, und weisen Sie Ihre Benutzertestgruppe zu:First, create a Conditional Access policy and assign your test group of users as follows:

  1. Melden Sie sich mit dem Konto mit den Berechtigungen vom Typ Globaler Administrator beim Azure-Portal an.Sign in to the Azure portal using an account with global administrator permissions.

  2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie anschließend im Menü auf der linken Seite die Option Sicherheit aus.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.

  3. Wählen Sie Bedingter Zugriff und anschließend + Neue Richtlinie aus.Select Conditional Access, then choose + New policy.

  4. Geben Sie einen Namen für die Richtlinie ein (beispielsweise MFA Pilot).Enter a name for the policy, such as MFA Pilot.

  5. Wählen Sie unter Zuweisungen die Option Benutzer und Gruppen und anschließend das Optionsfeld Benutzer und Gruppen auswählen aus.Under Assignments, choose Users and groups, then the Select users and groups radio button.

  6. Aktivieren Sie das Kontrollkästchen für Benutzer und Gruppen, und wählen Sie anschließend Auswählen aus, um die verfügbaren Azure AD-Benutzer und -Gruppen zu durchsuchen.Check the box for Users and groups, then Select to browse the available Azure AD users and groups.

  7. Navigieren Sie zu Ihrer Azure AD-Gruppe (etwa MFA-Test-Group), und wählen Sie die Gruppe und anschließend Auswählen aus.Browse for and select your Azure AD group, such as MFA-Test-Group, then choose Select.

    Auswählen Ihrer Azure AD-Gruppe für die Richtlinie für bedingten Zugriff Select your Azure AD group to use with the Conditional Access policy

  8. Wählen Sie Fertig aus, um die Richtlinie für bedingten Zugriff auf die Gruppe anzuwenden.To apply the Conditional Access policy for the group, select Done.

Konfigurieren der Bedingungen die mehrstufige AuthentifizierungConfigure the conditions for multi-factor authentication

Nachdem Sie die Richtlinie für bedingten Zugriff erstellt und eine Benutzertestgruppe zugewiesen haben, müssen als Nächstes die Cloud-Apps oder Aktionen zum Auslösen der Richtlinie definiert werden.With the Conditional Access policy created and a test group of users assigned, now define the cloud apps or actions that trigger the policy. Bei diesen Cloud-Apps oder Aktionen handelt es sich um die Szenarien, die eine zusätzliche Verarbeitung erfordern (etwa in Form einer MFA-Aufforderung).These cloud apps or actions are the scenarios you decide require additional processing, such as to prompt for MFA. So können Sie beispielsweise festlegen, dass für den Zugriff auf eine Finanzanwendung oder für die Verwendung von Verwaltungstools eine zusätzliche Überprüfung erforderlich ist.For example, you could decide that access to a financial application or use of management tools requires as an additional verification prompt.

Konfigurieren Sie die Richtlinie für bedingten Zugriff in diesem Tutorial so, dass die MFA initiiert wird, wenn sich ein Benutzer beim Azure-Portal anmeldet.For this tutorial, configure the Conditional Access policy to require MFA when a user signs in to the Azure portal.

  1. Wählen Sie Cloud-Apps oder -aktionen aus.Select Cloud apps or actions. Sie können auswählen, ob die Richtlinie für bedingten Zugriff auf alle Cloud-Apps (Alle Cloud-Apps) oder nur auf bestimmte Apps (Apps auswählen) angewendet werden soll.You can choose to apply the Conditional Access policy to All cloud apps or Select apps. Sie haben auch die Möglichkeit, bestimmte Apps aus der Richtlinie auszuschließen.To provide flexibility, you can also exclude certain apps from the policy.

    Wählen Sie für dieses Tutorial auf der Seite Einschließen das Optionsfeld Apps auswählen aus.For this tutorial, on the Include page, choose the Select apps radio button.

  2. Wählen Sie Auswählen aus, und durchsuchen Sie die Liste der verfügbaren Anmeldeereignisse, die verwendet werden können.Choose Select, then browse the list of available sign-in events that can be used.

    Wählen Sie für dieses Tutorial die Option Microsoft Azure Management (Microsoft Azure-Verwaltung) aus, sodass die Richtlinie für Anmeldeereignisse im Zusammenhang mit dem Azure-Portal gilt.For this tutorial, choose Microsoft Azure Management so the policy applies to sign-in events to the Azure portal.

  3. Wählen Sie zum Anwenden der ausgewählten Apps Auswählen und anschließend Fertig aus.To apply the select apps, choose Select, then Done.

    Auswählen der App „Microsoft Azure Management“ (Microsoft Azure-Verwaltung), um sie in die Richtlinie für bedingten Zugriff einzuschließen

Mithilfe von Zugriffssteuerungen können Sie die Voraussetzungen definieren, die erfüllt sein müssen, damit einem Benutzer Zugriff gewährt wird (beispielsweise die Verwendung einer genehmigten Client-App oder eines in Azure AD Hybrid eingebundenen Geräts).Access controls let you define the requirements for a user to be granted access, such as needing an approved client app or using a device that's Hybrid Azure AD joined. Konfigurieren Sie die Zugriffssteuerungen in diesem Tutorial so, dass die MFA im Rahmen eines Anmeldeereignisses für das Azure-Portal erforderlich ist.In this tutorial, configure the access controls to require MFA during a sign-in event to the Azure portal.

  1. Wählen Sie unter Zugriffssteuerung die Option Gewähren aus, und vergewissern Sie sich, dass das Optionsfeld Zugriff gewähren aktiviert ist.Under Access controls, choose Grant, then make sure the Grant access radio button is selected.
  2. Aktivieren Sie das Kontrollkästchen Multi-Factor Authentication erforderlich, und wählen Sie anschließend Auswählen aus.Check the box for Require multi-factor authentication, then choose Select.

Richtlinien für bedingten Zugriff können auf Nur Bericht festgelegt werden, wenn Sie ermitteln möchten, welche Auswirkungen die Konfiguration auf die Benutzer hätte, oder auf Aus, wenn Sie die Richtlinie nicht sofort verwenden möchten.Conditional Access policies can be set to Report-only if you want to see how the configuration would impact users, or Off if you don't want to the use policy right now. Da in diesem Tutorial eine Benutzertestgruppe als Zielgruppe verwendet wird, aktivieren wir als Nächstes die Richtlinie und testen anschließend Azure Multi-Factor Authentication.As a test group of users was targeted for this tutorial, lets enable the policy and then test Azure Multi-Factor Authentication.

  1. Legen Sie die Umschaltfläche Richtlinie aktivieren auf Ein fest.Set the Enable policy toggle to On.
  2. Wählen Sie Erstellen aus, um die Richtlinie für bedingten Zugriff anzuwenden.To apply the Conditional Access policy, select Create.

Testen der Azure Multi-Factor AuthenticationTest Azure Multi-Factor Authentication

In diesem Abschnitt sehen wir uns die Richtlinie für bedingten Zugriff sowie Azure Multi-Factor Authentication in Aktion an.Let's see your Conditional Access policy and Azure Multi-Factor Authentication in action. Melden Sie sich zunächst bei einer Ressource an, für die keine MFA erforderlich ist:First, sign in to a resource that doesn't require MFA as follows:

  1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://account.activedirectory.windowsazure.com.Open a new browser window in InPrivate or incognito mode and browse to https://account.activedirectory.windowsazure.com
  2. Melden Sie sich mit Ihrem Testbenutzer ohne Administratorrechte an (beispielsweise testuser).Sign in with your non-administrator test user, such as testuser. Es wird keine MFA-Aufforderung angezeigt.There's no prompt for you to complete MFA.
  3. Schließen Sie das Browserfenster.Close the browser window.

Melden Sie sich nun beim Azure-Portal an.Now sign in to the Azure portal. Da die Richtlinie für bedingten Zugriff so konfiguriert wurde, dass für das Azure-Portal eine zusätzliche Überprüfung erforderlich ist, wird eine Azure Multi-Factor Authentication-Aufforderung angezeigt.As the Azure portal was configured in the Conditional Access policy to require additional verification, you get an Azure Multi-Factor Authentication prompt.

  1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://portal.azure.com.Open a new browser window in InPrivate or incognito mode and browse to https://portal.azure.com.

  2. Melden Sie sich mit Ihrem Testbenutzer ohne Administratorrechte an (beispielsweise testuser).Sign in with your non-administrator test user, such as testuser. Sie müssen sich für Azure Multi-Factor Authentication registrieren und die mehrstufige Authentifizierung verwenden.You're required to register for and use Azure Multi-Factor Authentication. Befolgen Sie die Anweisungen, um den Prozess abzuschließen, und vergewissern Sie sich, dass die Anmeldung beim Azure-Portal erfolgreich ist.Follow the prompts to complete the process and verify you successfully sign in to the Azure portal.

    Befolgen der Anweisungen im Browser und anschließend der Anweisungen in Ihrer registrierten MFA-Aufforderung, um die Anmeldung durchzuführen

  3. Schließen Sie das Browserfenster.Close the browser window.

Bereinigen von RessourcenClean up resources

Wenn Sie die Richtlinie für bedingten Zugriff, die im Rahmen dieses Tutorials zum Aktivieren von Azure Multi-Factor Authentication konfiguriert wurde, nicht mehr benötigen, löschen Sie die Richtlinie wie folgt:If you no longer want to use the Conditional Access policy to enable Azure Multi-Factor Authentication configured as part of this tutorial, delete the policy using the following steps:

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie anschließend im Menü auf der linken Seite die Option Sicherheit aus.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.
  3. Wählen Sie Bedingter Zugriff und anschließend die erstelle Richtlinie aus (beispielsweise MFA Pilot).Select Conditional access, then choose the policy you created, such as MFA Pilot
  4. Wählen Sie Löschen aus, und bestätigen Sie, dass Sie die Richtlinie löschen möchten.Choose Delete, then confirm you wish to delete the policy.

Nächste SchritteNext steps

In diesem Tutorial haben Sie Azure Multi-Factor Authentication mithilfe von Richtlinien für bedingten Zugriff für eine ausgewählte Benutzergruppe aktiviert.In this tutorial, you enabled Azure Multi-Factor Authentication using Conditional Access policies for a selected group of users. Sie haben Folgendes gelernt:You learned how to:

  • Erstellen einer Richtlinie für bedingten Zugriff, um Azure Multi-Factor Authentication für eine Gruppe von Azure AD-Benutzern zu aktivierenCreate a Conditional Access policy to enable Azure Multi-Factor Authentication for a group of Azure AD users
  • Konfigurieren der Richtlinienbedingungen zum Initiieren der MFAConfigure the policy conditions that prompt for MFA
  • Testen des MFA-Prozesses als BenutzerTest the MFA process as a user