Tutorial: Schützen von Benutzeranmeldeereignissen mit Azure AD Multi-Factor Authentication

Bei der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) wird vom Benutzer im Rahmen eines Anmeldeereignisses eine zusätzliche Art der Identifizierung angefordert. Dabei kann es sich beispielsweise um die Eingabe eines Codes auf dem Smartphone oder um einen Fingerabdruckscan handeln. Wenn Sie ein zweites Authentifizierungsverfahren erzwingen, wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.

Mithilfe von Azure AD Multi-Factor Authentication und Richtlinien für bedingten Zugriff kann MFA für Benutzer flexibel während bestimmter Anmeldeereignisse aktiviert werden. Hier finden Sie ein Video zum Konfigurieren und Erzwingen von mehrstufiger Authentifizierung in Ihrem Mandanten (empfohlen).

Wichtig

In diesem Tutorial wird für Administratoren veranschaulicht, wie Azure AD Multi-Factor Authentication aktiviert wird.

Wenn Ihr IT-Team die Verwendung von Azure AD Multi-Factor Authentication nicht aktiviert hat oder Sie Probleme mit der Anmeldung haben, wenden Sie sich an Ihren Helpdesk.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen einer Richtlinie für bedingten Zugriff, um Azure AD Multi-Factor Authentication für eine Gruppe von Benutzern zu aktivieren
  • Konfigurieren der Richtlinienbedingungen zum Initiieren der MFA
  • Testen des MFA-Prozesses als Benutzer

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

  • Einen funktionierenden Azure AD-Mandanten mit mindestens einer aktivierten Azure AD Premium P1- oder -Testlizenz.
  • Ein Konto mit Berechtigungen vom Typ Globaler Administrator.
  • Ein Benutzer ohne Administratorrechte mit einem Ihnen bekannten Kennwort, wie z. B. testuser. Das Konto wird in diesem Tutorial verwendet, um Azure AD Multi-Factor Authentication als Endbenutzer zu testen.
  • Eine Gruppe, der der Benutzer ohne Administratorrechte angehört (beispielsweise MFA-Test-Group). In diesem Tutorial wird Azure AD Multi-Factor Authentication für diese Gruppe aktiviert.

Erstellen der Richtlinie für bedingten Zugriff

Es empfiehlt sich, Azure AD Multi-Factor Authentication mit Richtlinien für bedingten Zugriff zu aktivieren. Bedingter Zugriff ermöglicht das Erstellen und Definieren von Richtlinien, die auf Anmeldeereignisse reagieren und zusätzliche Aktionen anfordern, bevor einem Benutzer der Zugriff auf eine Anwendung oder einen Dienst gewährt wird.

Übersichtsdiagramm: Funktionsweise des bedingten Zugriffs zum Schutz des Anmeldevorgangs

Richtlinien für bedingten Zugriff können präzise und spezifisch sein, damit Benutzer jederzeit und überall produktiv arbeiten können, gleichzeitig aber auch Ihre Organisation geschützt ist. In diesem Tutorial wird eine einfache Richtlinie für bedingten Zugriff erstellt, um die MFA zu initiieren, wenn sich ein Benutzer beim Azure-Portal anmeldet. In einem späteren Tutorial dieser Reihe wird Azure AD Multi-Factor Authentication mithilfe einer risikobasierten Richtlinie für bedingten Zugriff konfiguriert.

Erstellen Sie zunächst eine Richtlinie für bedingten Zugriff, und weisen Sie Ihre Benutzertestgruppe zu:

  1. Melden Sie sich mit dem Konto mit den Berechtigungen vom Typ Globaler Administrator beim Azure-Portal an.

  2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie anschließend im Menü auf der linken Seite die Option Sicherheit aus.

  3. Wählen Sie Bedingter Zugriff und anschließend + Neue Richtlinie aus.

  4. Geben Sie einen Namen für die Richtlinie ein (beispielsweise MFA Pilot).

  5. Wählen Sie unter Zuweisungen die Option Benutzer und Gruppen und anschließend das Optionsfeld Benutzer und Gruppen auswählen aus.

  6. Aktivieren Sie das Kontrollkästchen für Benutzer und Gruppen, und wählen Sie anschließend Auswählen aus, um die verfügbaren Azure AD-Benutzer und -Gruppen zu durchsuchen.

  7. Navigieren Sie zu Ihrer Azure AD-Gruppe (etwa MFA-Test-Group), und wählen Sie die Gruppe und anschließend Auswählen aus.

    Auswählen Ihrer Azure AD-Gruppe für die Richtlinie für bedingten Zugriff

  8. Wählen Sie Fertig aus, um die Richtlinie für bedingten Zugriff auf die Gruppe anzuwenden.

Konfigurieren der Bedingungen die mehrstufige Authentifizierung

Nachdem Sie die Richtlinie für bedingten Zugriff erstellt und eine Benutzertestgruppe zugewiesen haben, müssen als Nächstes die Cloud-Apps oder Aktionen zum Auslösen der Richtlinie definiert werden. Bei diesen Cloud-Apps oder Aktionen handelt es sich um die Szenarien, die eine zusätzliche Verarbeitung erfordern (etwa in Form einer MFA-Aufforderung). So können Sie beispielsweise festlegen, dass für den Zugriff auf eine Finanzanwendung oder für die Verwendung von Verwaltungstools eine zusätzliche Überprüfung erforderlich ist.

Konfigurieren Sie die Richtlinie für bedingten Zugriff in diesem Tutorial so, dass die MFA initiiert wird, wenn sich ein Benutzer beim Azure-Portal anmeldet.

  1. Wählen Sie Cloud-Apps oder -aktionen aus. Sie können auswählen, ob die Richtlinie für bedingten Zugriff auf alle Cloud-Apps (Alle Cloud-Apps) oder nur auf bestimmte Apps (Apps auswählen) angewendet werden soll. Sie haben auch die Möglichkeit, bestimmte Apps aus der Richtlinie auszuschließen.

    Wählen Sie für dieses Tutorial auf der Seite Einschließen das Optionsfeld Apps auswählen aus.

  2. Wählen Sie Auswählen aus, und durchsuchen Sie die Liste der verfügbaren Anmeldeereignisse, die verwendet werden können.

    Wählen Sie für dieses Tutorial die Option Microsoft Azure Management (Microsoft Azure-Verwaltung) aus, sodass die Richtlinie für Anmeldeereignisse im Zusammenhang mit dem Azure-Portal gilt.

  3. Wählen Sie zum Anwenden der ausgewählten Apps Auswählen und anschließend Fertig aus.

    Auswählen der App „Microsoft Azure Management“ (Microsoft Azure-Verwaltung), um sie in die Richtlinie für bedingten Zugriff einzuschließen

Mithilfe von Zugriffssteuerungen können Sie die Voraussetzungen definieren, die erfüllt sein müssen, damit einem Benutzer Zugriff gewährt wird (beispielsweise die Verwendung einer genehmigten Client-App oder eines in Azure AD Hybrid eingebundenen Geräts). Konfigurieren Sie die Zugriffssteuerungen in diesem Tutorial so, dass die MFA im Rahmen eines Anmeldeereignisses für das Azure-Portal erforderlich ist.

  1. Wählen Sie unter Zugriffssteuerung die Option Gewähren aus, und vergewissern Sie sich, dass das Optionsfeld Zugriff gewähren aktiviert ist.
  2. Aktivieren Sie das Kontrollkästchen Multi-Factor Authentication erforderlich, und wählen Sie anschließend Auswählen aus.

Richtlinien für bedingten Zugriff können auf Nur Bericht festgelegt werden, wenn Sie ermitteln möchten, welche Auswirkungen die Konfiguration auf die Benutzer hätte, oder auf Aus, wenn Sie die Richtlinie nicht sofort verwenden möchten. Da in diesem Tutorial eine Benutzertestgruppe als Zielgruppe verwendet wird, aktivieren wir als Nächstes die Richtlinie und testen anschließend Azure AD Multi-Factor Authentication.

  1. Legen Sie die Umschaltfläche Richtlinie aktivieren auf Ein fest.
  2. Wählen Sie Erstellen aus, um die Richtlinie für bedingten Zugriff anzuwenden.

Testen von Azure AD Multi-Factor Authentication

In diesem Abschnitt sehen wir uns die Richtlinie für bedingten Zugriff sowie Azure AD Multi-Factor Authentication in Aktion an. Melden Sie sich zunächst bei einer Ressource an, für die keine MFA erforderlich ist:

  1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://account.activedirectory.windowsazure.com.
  2. Melden Sie sich mit Ihrem Testbenutzer ohne Administratorrechte an (beispielsweise testuser). Es wird keine MFA-Aufforderung angezeigt.
  3. Schließen Sie das Browserfenster.

Melden Sie sich nun beim Azure-Portal an. Da die Richtlinie für bedingten Zugriff so konfiguriert wurde, dass für das Azure-Portal eine zusätzliche Überprüfung erforderlich ist, wird eine Azure AD Multi-Factor Authentication-Aufforderung angezeigt.

  1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://portal.azure.com.

  2. Melden Sie sich mit Ihrem Testbenutzer ohne Administratorrechte an (beispielsweise testuser). Sie müssen sich für Azure AD Multi-Factor Authentication registrieren und die mehrstufige Authentifizierung verwenden. Befolgen Sie die Anweisungen, um den Prozess abzuschließen, und vergewissern Sie sich, dass die Anmeldung beim Azure-Portal erfolgreich ist.

    Befolgen der Anweisungen im Browser und anschließend der Anweisungen in Ihrer registrierten MFA-Aufforderung, um die Anmeldung durchzuführen

  3. Schließen Sie das Browserfenster.

Bereinigen von Ressourcen

Wenn Sie die Richtlinie für bedingten Zugriff, die im Rahmen dieses Tutorials zum Aktivieren von Azure AD Multi-Factor Authentication konfiguriert wurde, nicht mehr benötigen, löschen Sie die Richtlinie wie folgt:

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie anschließend im Menü auf der linken Seite die Option Sicherheit aus.
  3. Wählen Sie Bedingter Zugriff und anschließend die erstelle Richtlinie aus (beispielsweise MFA Pilot).
  4. Wählen Sie Löschen aus, und bestätigen Sie, dass Sie die Richtlinie löschen möchten.

Nächste Schritte

In diesem Tutorial haben Sie Azure AD Multi-Factor Authentication mithilfe von Richtlinien für bedingten Zugriff für eine ausgewählte Benutzergruppe aktiviert. Sie haben Folgendes gelernt:

  • Erstellen einer Richtlinie für bedingten Zugriff, um Azure AD Multi-Factor Authentication für eine Gruppe von Azure AD-Benutzern zu aktivieren
  • Konfigurieren der Richtlinienbedingungen zum Initiieren der MFA
  • Testen des MFA-Prozesses als Benutzer