Tutorial: Verwenden von Risikoerkennungen zum Auslösen von mehrstufiger Authentifizierung und KennwortänderungenTutorial: Use risk detections to trigger Multi-Factor Authentication and password changes

In diesem Tutorial aktivieren Sie Features für Azure Active Directory (Azure AD) Identity Protection, ein Azure AD Premium P2-Feature, bei dem es sich um mehr als ein einfaches Tool für die Überwachung und Berichterstellung handelt.In this tutorial, you will enable features of Azure Active Directory (Azure AD) Identity Protection, an Azure AD Premium P2 feature that is more than just a monitoring and reporting tool. Zum Schützen der Identitäten Ihrer Organisation können Sie risikobasierte Richtlinien konfigurieren, mit denen automatisch auf riskantes Verhalten reagiert wird.To protect your organization's identities, you can configure risk-based policies that automatically respond to risky behaviors. Mit diesen Richtlinien können entweder automatisch Blockaden erstellt oder Lösungen initiiert werden, z.B. das Erzwingen von Kennwortänderungen und Multi-Factor Authentication.These policies, can either automatically block or initiate remediation, including requiring password changes and enforcing Multi-Factor Authentication.

Azure AD Identity Protection-Richtlinien können neben den Richtlinien für bedingten Zugriff als zusätzliche Schutzschicht genutzt werden.Azure AD Identity Protection policies can be used in addition to existing Conditional Access policies as an extra layer of protection. Unter Umständen lösen Ihre Benutzer niemals ein riskantes Verhalten aus, für das eine dieser Richtlinien erforderlich ist, aber als Administrator wissen Sie, dass die Benutzer geschützt sind.Your users may never trigger a risky behavior requiring one of these policies, but as an administrator you know they are protected.

Beispiele für Vorkommnisse, die eine Risikoerkennung auslösen können, sind:Some items that may trigger a risk detection include:

  • Benutzer mit kompromittierten AnmeldeinformationenUsers with leaked credentials
  • Anmeldungen von anonymen IP-AdressenSign-ins from anonymous IP addresses
  • Unmöglicher Ortswechsel zu atypischen OrtenImpossible travel to atypical locations
  • Anmeldungen von infizierten GerätenSign-ins from infected devices
  • Anmeldungen von IP-Adressen mit verdächtigen AktivitätenSign-ins from IP addresses with suspicious activity
  • Anmeldungen von unbekannten StandortenSign-ins from unfamiliar locations

Weitere Informationen zu Azure AD Identity Protection finden Sie im Artikel Was ist Azure AD Identity Protection?.More information about Azure AD Identity Protection can be found in the article What is Azure AD Identity Protection

  • Aktivieren der Azure MFA-RegistrierungEnable Azure MFA registration
  • Aktivieren von risikobasierten KennwortänderungenEnable risk-based password changes
  • Aktivieren von risikobasierter Multi-Factor AuthenticationEnable risk-based Multi-Factor Authentication

VoraussetzungenPrerequisites

  • Zugriff auf einen funktionierenden Azure AD-Mandanten mit mindestens einer zugewiesenen Azure AD Premium P2-Testlizenz.Access to a working Azure AD tenant with at least a trial Azure AD Premium P2 license assigned.
  • Eine Konto mit Rechten vom Typ „Globaler Administrator“ in Ihrem Azure AD-Mandanten.An account with Global Administrator privileges in your Azure AD tenant.
  • Die vorherigen Tutorials zur Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) und Multi-Factor Authentication (MFA) wurden abgeschlossen.Have completed the previous self-service password reset (SSPR) and Multi-Factor Authentication (MFA) tutorials.

Aktivieren von risikobasierten Richtlinien für SSPR und MFAEnable risk-based policies for SSPR and MFA

Die Aktivierung der risikobasierten Richtlinien ist ein einfacher Prozess.Enabling the risk-based policies is a straightforward process. Unten wird eine Beispielkonfiguration Schritt für Schritt beschrieben.The steps below will guide you through a sample configuration.

Aktivieren der Multi-Factor Authentication-Registrierung für BenutzerEnable users to register for Multi-Factor Authentication

Azure AD Identity Protection umfasst eine Standardrichtlinie, mit der sich Ihre Benutzer für die Multi-Factor Authentication registrieren können und der aktuelle Registrierungsstatus leicht ermittelt werden kann.Azure AD Identity Protection includes a default policy that can help you to get your users registered for Multi-Factor Authentication and easily identify the current registration status. Wenn Sie diese Richtlinie aktivieren, wird für Benutzer nicht sofort die Durchführung der Multi-Factor Authentication erzwungen, sondern sie werden aufgefordert, sich vorab zu registrieren.Enabling this policy does not start requiring users to perform Multi-Factor Authentication, but will ask them to pre-register.

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Klicken Sie auf Alle Dienste, und navigieren Sie zu Azure AD Identity Protection.Click on All services, then browse to Azure AD Identity Protection.

  3. Klicken Sie auf MFA-Registrierung.Click on MFA registration.

  4. Legen Sie „Richtlinie erzwingen“ auf Ein fest.Set Enforce Policy to On.

    1. Wenn Sie diese Richtlinie festlegen, müssen alle Benutzer Methoden registrieren, um die Verwendung der Multi-Factor Authentication vorzubereiten.Setting this policy will require all of your users to register methods to prepare to use by Multi-Factor Authentication.
  5. Klicken Sie auf Speichern.Click Save.

    Festlegen, dass sich Benutzer bei der Anmeldung für MFA registrieren müssen

Aktivieren von risikobasierten KennwortänderungenEnable risk-based password changes

Microsoft arbeitet mit Ermittlern, Strafverfolgungsbehörden, verschiedenen Sicherheitsteams bei Microsoft und anderen vertrauenswürdigen Quellen zusammen, um Benutzername/Kennwort-Paare zu finden.Microsoft works with researchers, law enforcement, various security teams at Microsoft, and other trusted sources to find username and password pairs. Wenn eines dieser Paare eine Übereinstimmung mit einem Konto in Ihrer Umgebung aufweist, kann eine risikobasierte Kennwortänderung über die folgende Richtlinie ausgelöst werden.When one of these pairs matches an account in your environment, a risk-based password change can be triggered using the following policy.

  1. Klicken Sie auf die Richtlinie zum Benutzerrisiko.Click on User risk policy.
  2. Wählen Sie unter Bedingungen die Option Benutzerrisiko und dann Mittel und darüber.Under Conditions, select User risk, then choose Medium and above.
  3. Klicken Sie auf „Auswählen“ und dann auf „Fertig“.Click "Select" then "Done"
  4. Wählen Sie unter Zugriff die Option Zugriff zulassen und anschließend Kennwortänderung anfordern.Under Access, choose Allow access, and then select Require password change.
  5. Klicken Sie auf „Auswählen“.Click "Select"
  6. Legen Sie „Richtlinie erzwingen“ auf Ein fest.Set Enforce Policy to On.
  7. Klicken Sie unten auf der Seite auf Speichern.Click Save

Aktivieren von risikobasierter Multi-Factor AuthenticationEnable risk-based Multi-Factor Authentication

Die meisten Benutzer weisen ein normales Verhalten auf, das nachverfolgt werden kann. Wenn sie sich aber außerhalb dieser Norm bewegen, ist es ggf. riskant, ihnen das Anmelden ohne Weiteres zu erlauben.Most users have a normal behavior that can be tracked, when they fall outside of this norm it could be risky to allow them to just sign in. Es kann ratsam sein, den entsprechenden Benutzer zu blockieren oder ggf. einfach um die Durchführung eines Multi-Factor Authentication-Vorgangs zu bitten. So kann bewiesen werden, ob es sich auch wirklich um die Person handelt, die vorgegeben wird.You may want to block that user or maybe just ask them to perform a Multi-Factor Authentication to prove that they are really who they say they are. Aktivieren Sie die folgende Richtlinie, um MFA zu erzwingen, wenn eine riskante Anmeldung erkannt wird.To enable a policy requiring MFA when a risky sign-in is detected, enable the following policy.

  1. Klicken Sie auf „Richtlinie zum Anmelderisiko“.Click on Sign-in risk policy
  2. Wählen Sie unter Bedingungen die Option Benutzerrisiko und dann Mittel und darüber.Under Conditions, select User risk, then choose Medium and above.
  3. Klicken Sie auf „Auswählen“ und dann auf „Fertig“.Click "Select" then "Done"
  4. Wählen Sie unter Zugriff die Option Zugriff zulassen und dann Multi-Factor Authentication erforderlich.Under Access, choose Allow access, and then select Require multi-factor authentication.
  5. Klicken Sie auf „Auswählen“.Click "Select"
  6. Legen Sie „Richtlinie erzwingen“ auf Ein fest.Set Enforce Policy to On.
  7. Klicken Sie unten auf der Seite auf Speichern.Click Save

Bereinigen von RessourcenClean up resources

Wenn Sie das Testen abgeschlossen haben und die Aktivierung der risikobasierten Richtlinien beenden möchten, können Sie wie folgt vorgehen: Navigieren Sie jeweils zu der Richtlinie, die Sie deaktivieren möchten, und legen Sie Richtlinie erzwingen auf Aus fest.If you have completed testing and no longer want to have the risk-based policies enabled, return to each policy you want to disable, and set Enforce Policy to Off.