Tutorial: Erzwingen der mehrstufigen Authentifizierung für B2B-GastbenutzerTutorial: Enforce multi-factor authentication for B2B guest users

Bei der Zusammenarbeit mit externen B2B-Gastbenutzern wird empfohlen, Ihre Apps mit Richtlinien für die mehrstufige Authentifizierung (Multi-Factor Authentification, MFA) zu schützen.When collaborating with external B2B guest users, it’s a good idea to protect your apps with multi-factor authentication (MFA) policies. Denn dann benötigen externe Benutzer mehr als nur einen Benutzernamen und ein Kennwort, um auf Ihre Ressourcen zuzugreifen.Then external users will need more than just a user name and password to access your resources. In Azure Active Directory (Azure AD) ist dies mit einer Richtlinie für bedingten Zugriff möglich, die MFA für den Zugriff erfordert.In Azure Active Directory (Azure AD), you can accomplish this goal with a Conditional Access policy that requires MFA for access. MFA-Richtlinien können auf Mandanten-, App- oder individueller Benutzerebene erzwungen werden, so wie sie auch für Mitglieder Ihrer eigenen Organisation aktiviert werden können.MFA policies can be enforced at the tenant, app, or individual guest user level, the same way that they are enabled for members of your own organization.

Beispiel:Example:

Diagramm: Gastbenutzer meldet sich bei Apps eines Unternehmens an

  1. Ein Administrator oder Mitarbeiter von Unternehmen A lädt einen Gastbenutzer ein, eine Cloud oder lokale Anwendung zu verwenden, die so konfiguriert ist, dass sie MFA für den Zugriff erfordert.An admin or employee at Company A invites a guest user to use a cloud or on-premises application that is configured to require MFA for access.
  2. Der Gastbenutzer meldet sich mit seinem Geschäfts-, Schul- oder Unikonto bzw. mit seiner Identität bei einem sozialen Netzwerk an.The guest user signs in with their own work, school, or social identity.
  3. Der Benutzer wird aufgefordert, eine MFA auszuführen.The user is asked to complete an MFA challenge.
  4. Der Benutzer richtet die MFA bei Unternehmen A ein und wählt deren MFA-Option aus.The user sets up MFA with Company A and chooses their MFA option. Dem Benutzer wird der Zugriff auf die Anwendung gewährt.The user is allowed access to the application.

In diesem Lernprogramm lernen Sie Folgendes:In this tutorial, you will:

  • Testen der Anmeldung vor dem MFA-Setup.Test the sign-in experience before MFA setup.
  • Erstellen einer Richtlinie für bedingten Zugriff, die MFA für den Zugriff auf eine Cloud-App in Ihrer Umgebung verlangt.Create a Conditional Access policy that requires MFA for access to a cloud app in your environment. In diesem Tutorial wird dieser Vorgang anhand der Microsoft Azure-Verwaltungs-App veranschaulicht.In this tutorial, we’ll use the Microsoft Azure Management app to illustrate the process.
  • Verwenden des What If-Tools zum Simulieren der MFA-Anmeldung.Use the What If tool to simulate MFA sign-in.
  • Testen der Richtlinie für bedingten Zugriff.Test your Conditional Access policy.
  • Löschen des Testbenutzers und der Richtlinie.Clean up the test user and policy.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don’t have an Azure subscription, create a free account before you begin.

VoraussetzungenPrerequisites

Für die Durchführung des Szenarios im Rahmen dieses Tutorials benötigen Sie Folgendes:To complete the scenario in this tutorial, you need:

  • Zugriff auf Azure AD Premium. Zum Funktionsumfang dieser Edition gehört die Richtlinie für bedingten Zugriff.Access to Azure AD Premium edition, which includes Conditional Access policy capabilities. Um MFA zu erzwingen, müssen Sie eine Azure AD-Richtlinie für bedingten Zugriff erstellen.To enforce MFA, you need to create an Azure AD Conditional Access policy. Beachten Sie, dass MFA-Richtlinien in Ihrer Organisation immer durchgesetzt werden, unabhängig davon, ob Partner über MFA-Funktionen verfügen.Note that MFA policies are always enforced at your organization, regardless of whether the partner has MFA capabilities. Wenn Sie MFA für Ihr Unternehmen einrichten, benötigen Sie ausreichend Azure AD Premium-Lizenzen für Ihre Gastbenutzer.If you set up MFA for your organization, you’ll need to make sure you have sufficient Azure AD Premium licenses for your guest users.
  • Ein gültiges externes E-Mail-Konto, das Sie Ihrem Mandantenverzeichnis als Gastbenutzer hinzufügen und zum Anmelden verwenden können.A valid external email account that you can add to your tenant directory as a guest user and use to sign in. Wie Sie ein Gastkonto erstellen, erfahren Sie unter Hinzufügen von B2B-Gastbenutzern im Azure-Portal.If you don't know how to create a guest account, see Add a B2B guest user in the Azure portal.

Erstellen eines Testgastbenutzers in Azure ADCreate a test guest user in Azure AD

  1. Melden Sie sich beim Azure-Portal als Azure AD-Administrator an.Sign in to the Azure portal as an Azure AD administrator.

  2. Wählen Sie im linken Bereich Azure Active Directory aus.In the left pane, select Azure Active Directory.

  3. Wählen Sie unter Verwalten die Option Benutzer aus.Under Manage, select Users.

  4. Klicken Sie auf Neuer Gastbenutzer.Select New guest user.

    Screenshot: Auswahl der Option „Neuer Gastbenutzer“

  5. Geben Sie unter Benutzername die E-Mail-Adresse des externen Benutzers ein.Under User name, enter the email address of the external user. Geben Sie optional eine Begrüßungsnachricht ein.Optionally, include a welcome message.

    Screenshot: Eingabe der Einladungsnachricht für Gastbenutzer

  6. Klicken Sie auf Einladen. Die Einladung wird daraufhin automatisch an den Gastbenutzer gesendet.Select Invite to automatically send the invitation to the guest user. Daraufhin wird die Meldung Benutzer erfolgreich eingeladen. angezeigt.A Successfully invited user message appears.

  7. Nach dem Senden der Einladung wird das Benutzerkonto dem Verzeichnis automatisch als Gast hinzugefügt.After you send the invitation, the user account is automatically added to the directory as a guest.

Testen der Anmeldung vor dem MFA-SetupTest the sign-in experience before MFA setup

  1. Melden Sie sich mit Ihrem Testbenutzernamen und dem dazugehörigen Kennwort im Azure-Portal an.Use your test user name and password to sign in to your Azure portal.
  2. Beachten Sie, dass Sie auf das Azure-Portal nur mit Ihren Anmeldeinformationen zugreifen können.Note that you’re able to access the Azure portal using just your sign-in credentials. Eine zusätzliche Authentifizierung ist nicht erforderlich.No additional authentication is required.
  3. Melden Sie sich ab.Sign out.

Erstellen einer Richtlinie für bedingten Zugriff mit erforderlicher MFACreate a Conditional Access policy that requires MFA

  1. Melden Sie sich am Azure-Portal als Sicherheitsadministrator oder Administrator für bedingten Zugriff an.Sign in to your Azure portal as a security administrator or a Conditional Access administrator.

  2. Wählen Sie im Azure-Portal die Option Azure Active Directory aus.In the Azure portal, select Azure Active Directory.

  3. Wählen Sie auf der Seite Azure Active Directory im Abschnitt Sicherheit Bedingter Zugriff aus.On the Azure Active Directory page, in the Security section, select Conditional Access.

  4. Wählen Sie auf der Seite Bedingter Zugriff in der Symbolleiste oben Neue Richtlinie aus.On the Conditional Access page, in the toolbar on the top, select New policy.

  5. Geben Sie auf der Seite Neu im Textfeld Name Mehrstufige Authentifizierung für Zugriff auf B2B-Portal erforderlich ein.On the New page, in the Name textbox, type Require MFA for B2B portal access.

  6. Wählen Sie im Abschnitt Zuweisungen Benutzer und Gruppen aus.In the Assignments section, select Users and groups.

  7. Wählen Sie auf der Seite Benutzer und Gruppen Benutzer und Gruppen auswählen und dann Sämtliche Gastbenutzer (Vorschau) aus.On the Users and groups page, choose Select users and groups, and then select All guest users (preview).

    Screenshot: Auswahl aller Gastbenutzer

  8. Wählen Sie Fertigaus.Select Done.

  9. Wählen Sie auf der Seite Neu im Abschnitt Zuweisungen die Option Cloud-Apps aus.On the New page, in the Assignments section, select Cloud apps.

  10. Wählen Sie auf der Seite Cloud-Apps Apps auswählen und dann Auswählen aus.On the Cloud apps page, choose Select apps, and then choose Select.

    Screenshot: Seite „Cloud-Apps“ und Option „Auswählen“

  11. Wählen Sie auf der Seite Auswählen die Option Microsoft Azure-Verwaltung und dann Auswählen aus.On the Select page, choose Microsoft Azure Management, and then choose Select.

    Screenshot: ausgewählte Microsoft Azure-Verwaltungs-App

  12. Wählen Sie auf der Seite Cloud-Apps Fertig aus.On the Cloud apps page, select Done.

  13. Wählen Sie auf der Seite Neu im Abschnitt Zugriffskontrollen die Option Gewähren aus.On the New page, in the Access controls section, select Grant.

  14. Wählen Sie auf der Seite Gewähren die Option Zugriff gewähren aus, aktivieren Sie das Kontrollkästchen Mehrstufige Authentifizierung erforderlich, und wählen Sie dann Auswählen aus.On the Grant page, choose Grant access, select the Require multi-factor authentication check box, and then choose Select.

    Screenshot: Option „Mehrstufige Authentifizierung erforderlich“

  15. Wählen Sie unter Richtlinie aktivieren die Option An aus.Under Enable policy, select On.

    Screenshot: Option „Richtlinie aktivieren“ auf „Ein“ festgelegt

  16. Klicken Sie auf Erstellen.Select Create.

Simuliertes Anmelden mit der What If-OptionUse the What If option to simulate sign-in

  1. Wählen Sie auf der Seite Bedingter Zugriff – Richtlinien What If aus.On the Conditional Access - Policies page, select What If.

    Screenshot: Auswahl der Option „What If“

  2. Wählen Sie Benutzer, Ihren Testgastbenutzer und dann Auswählen aus.Select User, choose your test guest user, and then choose Select.

    Screenshot: ausgewählter Gastbenutzer

  3. Wählen Sie Cloud-Apps aus.Select Cloud apps.

  4. Wählen Sie auf der Seite Cloud-Apps die Option Apps auswählen aus, und klicken Sie dann auf Auswählen.On the Cloud apps page, choose Select apps and then click Select. Wählen Sie in der Anwendungsliste Microsoft Azure-Verwaltung aus, und klicken Sie dann auf Auswählen.In the applications list, select Microsoft Azure Management, and then click Select.

    Screenshot: ausgewählte Microsoft Azure-Verwaltungs-App

  5. Wählen Sie auf der Seite Cloud-Apps Fertig aus.On the Cloud apps page, select Done.

  6. Wählen Sie What If aus, und überprüfen Sie, ob Ihre neue Richtlinie auf der Registerkarte Anzuwendende Richtlinien unter Auswertungsergebnisse angezeigt wird.Select What If, and verify that your new policy appears under Evaluation results on the Policies that will apply tab.

    Screenshot: Auswahl der Option „What If“

Testen der Richtlinie für bedingten ZugriffTest your Conditional Access policy

  1. Melden Sie sich mit Ihrem Testbenutzernamen und dem dazugehörigen Kennwort im Azure-Portal an.Use your test user name and password to sign in to your Azure portal.

  2. Sie sollten eine Anforderung für zusätzliche Authentifizierungsmethoden sehen.You should see a request for additional authentication methods. Beachten Sie, dass es einige Zeit dauern kann, bis die Richtlinie wirksam wird.Note that it could take some time for the policy to take effect.

    Screenshot: Nachricht „Weitere Informationen erforderlich“

  3. Melden Sie sich ab.Sign out.

Bereinigen von RessourcenClean up resources

Löschen Sie den Testbenutzer und die Testrichtlinie für bedingten Zugriff, wenn sie nicht mehr benötigt werden.When no longer needed, remove the test user and the test Conditional Access policy.

  1. Melden Sie sich beim Azure-Portal als Azure AD-Administrator an.Sign in to the Azure portal as an Azure AD administrator.
  2. Wählen Sie im linken Bereich Azure Active Directory aus.In the left pane, select Azure Active Directory.
  3. Wählen Sie unter Verwalten die Option Benutzer aus.Under Manage, select Users.
  4. Wählen Sie den Testbenutzer und dann Benutzer löschen aus.Select the test user, and then select Delete user.
  5. Wählen Sie im linken Bereich Azure Active Directory aus.In the left pane, select Azure Active Directory.
  6. Wählen Sie unter Sicherheit Bedingter Zugriff aus.Under Security, select Conditional Access.
  7. Wählen Sie in der Liste Richtlinienname das Kontextmenü (...) für Ihre Testrichtlinie und dann Löschen aus.In the Policy Name list, select the context menu (…) for your test policy, and then select Delete. Klicken Sie auf Ja, um zu bestätigen.Select Yes to confirm.

Nächste SchritteNext steps

In diesem Tutorial haben Sie eine Richtlinie für bedingten Zugriff erstellt, die voraussetzt, dass Gastbenutzer zum Anmelden bei einer Ihrer Cloud-Apps MFA verwenden.In this tutorial, you’ve created a Conditional Access policy that requires guest users to use MFA when signing in to one of your cloud apps. Weitere Informationen zum Hinzufügen von Gastbenutzern für die Zusammenarbeit finden Sie unter Hinzufügen von Benutzern für die Azure Active Directory B2B-Zusammenarbeit im Azure-Portal.To learn more about adding guest users for collaboration, see Add Azure Active Directory B2B collaboration users in the Azure portal.