Hinzufügen der Multi-Faktor-Authentifizierung (MFA) zu einer App

Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)

Die Multi-Faktor-Authentifizierung (MFA) fügt Ihren Anwendungen eine zusätzliche Sicherheitsebene hinzu, indem sie die Benutzenden auffordert, bei der Registrierung oder Anmeldung eine zweite Methode zur Verifizierung ihrer Identität anzugeben. Externe Tenants unterstützen zwei Authentifizierungsmethoden als zweiten Faktor:

• Einmalkennung per E-Mail: Nachdem Benutzende sich mit ihrer E-Mail und ihren Kennwörtern angemeldet haben, werden sie aufgefordert, einen Passcode einzugeben, der an ihre E-Mail geschickt wird. Um die Verwendung der Einmalkennung per E-Mail für MFA zu ermöglichen, setzen Sie die Authentifizierungsmethode für Ihr lokales Konto auf E-Mail mit Kennwort. Wenn Sie Einmalkennung per E-Mail auswählen, können Kundinnen und Kunden, die diese Methode für die primäre Anmeldung verwenden, diese nicht für die sekundäre MFA-Überprüfung verwenden.
• SMS-basierte Authentifizierung: SMS ist keine Option für die Erst-Faktor-Authentifizierung, steht aber als zweiter Faktor für MFA zur Verfügung. Benutzende, die sich mit E-Mail und Kennwort, Einmalkennung per E-Mail oder über soziale Identitäten wie Google oder Facebook anmelden, werden zu einer zweiten Verifizierung per SMS aufgefordert. Unsere SMS MFA beinhaltet automatische Betrugsüberprüfungen. Wenn wir einen Betrugsverdacht haben, bitten wir die Benutzenden, ein CAPTCHA auszufüllen, um zu bestätigen, dass sie kein Roboter isind, bevor wir den SMS-Code zur Verifizierung senden. SMS ist ein Add-On-Feature. Ihr Mandant muss mit einem aktiven, gültigen Abonnement verknüpft sein. Weitere Informationen

In diesem Artikel wird beschrieben, wie Sie die MFA für Ihre Kundinnen und Kunden erzwingen, indem Sie eine Microsoft Entra-Richtlinie für bedingten Zugriff erstellen und die MFA zu Ihrem Benutzerablauf für die Registrierung und Anmeldung hinzufügen.

Voraussetzungen

• Ein externer Microsoft Entra Tenant.
• Ein Benutzerablauf für Registrierung und Anmeldung.
• Eine App, die in Ihrem externen Tenant registriert ist und dem Benutzerablauf für die Registrierung und Anmeldung hinzugefügt wurde.
• Ein Konto mit mindestens der Rolle „Sicherheitsadministrator“, um Richtlinien für bedingten Zugriff und MFA konfigurieren zu können.
• SMS ist ein Add-On-Feature und erfordert ein verknüpftes Abonnement. Wenn Ihr Abonnement abläuft oder gekündigt wird, können sich Endbenutzer nicht mehr per SMS authentifizieren, was sie je nach Ihren MFA-Richtlinien daran hindern könnte, sich anzumelden.

Erstellen der Richtlinie für bedingten Zugriff

Erstellen Sie eine Richtlinie für bedingten Zugriff in Ihrem externen Tenant, in dem die Benutzenden zur MFA aufgefordert werden, wenn sie sich bei Ihrer App registrieren oder anmelden. (Weitere Informationen finden Sie unter Allgemeine Richtlinie für bedingten Zugriff: Anfordern der MFA für alle Benutzenden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

3. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien, und wählen Sie dann Neue Richtlinie aus.

   

4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

5. Wählen Sie unter Zuweisungen den Link unter Benutzer aus.

   a. Wählen Sie auf der Registerkarte Einschließen die Option Alle Benutzer aus.

   b. Wählen Sie auf der Registerkarte Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus. Klicken Sie anschließend auf Auswählen.

   

6. Wählen Sie den Link unter Zielressourcen aus.

   a. Wählen Sie auf der Registerkarte Einschließen eine der folgenden Optionen aus:

   • Wählen Sie "Alle Ressourcen" (früher "Alle Cloud-Apps") aus.

   • Wählen Sie "Ressourcen auswählen" und dann den Link unter "Auswählen" aus. Suchen Sie Ihre App, wählen Sie sie aus, und wählen anschließend Auswählen aus.

   b. Wählen Sie auf der Registerkarte Ausschließen alle Anwendungen aus, für die keine Multi-Faktor-Authentifizierung erforderlich ist.

   

7. Wählen Sie unter Zugriffssteuerungen den Link unter Zuweisung aus. Wählen Sie Zugriff gewähren, dann Mehrstufige Authentifizierung anfordern und schließlich Auswählen aus.

   

8. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.

9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Aktivieren des Einmal-Passcode per E-Mail als MFA-Methode

Aktivieren Sie die Authentifizierungsmethode mit dem Einmal-Passcode per E-Mail in Ihrem externen Mandanten für alle Benutzenden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Navigieren Sie zu Schutz>Authentifizierungsmethoden.

3. Wählen Sie aus der Liste MethodeE-Mail-OTP aus.

   

4. Aktivieren Sie unter Aktivieren und Ziel den Umschalter Aktivieren.

5. Wählen Sie unter Einschließen neben Ziel die Option Alle Benutzer aus.

   

6. Wählen Sie Speichern.

Aktivieren von SMS als MFA-Methode

Aktivieren Sie die SMS-Authentifizierungsmethode in Ihrem externen Tenant für alle Benutzenden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Navigieren Sie zu Schutz>Authentifizierungsmethoden.

3. Wählen Sie in der Liste Methode SMS.

   

4. Aktivieren Sie unter Aktivieren und Ziel den Umschalter Aktivieren.

5. Wählen Sie unter Einschließen neben Ziel die Option Alle Benutzer aus.

   

6. Wählen Sie Speichern.

Testen der Anmeldung

Öffnen Sie Ihre Anwendung in einem privaten Browser, und wählen Sie Anmelden aus. Sie sollten aufgefordert werden, eine andere Authentifizierungsmethode auszuwählen.