Übersicht über Microsoft Entra der Authentifizierungsstärken-API
Namespace: microsoft.graph
Mithilfe von Authentifizierungsstärken können Administratoren bestimmte Kombinationen von Microsoft Entra Authentifizierungsmethoden für den Zugriff auf eine Ressource anfordern. Jede Authentifizierungsstärke umfasst eine oder mehrere Kombinationen von Authentifizierungsmethoden, wobei jede Kombination eine oder mehrere Authentifizierungsmethoden ist. Wenn die Stärke auf ein Szenario als Gewährungssteuerung im bedingten Zugriff angewendet wird, muss ein Benutzer im Bereich der Richtlinie eine dieser zulässigen Kombinationen bei der Anmeldung erfüllen, bevor er auf die Ressource zugreifen kann. Im Rahmen des bedingten Zugriffs können Authentifizierungsstärken auch mit anderen Steuerelementen für bedingten Zugriff wie Benutzerrisiko und Standort gekoppelt werden.
Beispielsweise kann ein Administrator verlangen, dass sich Benutzer mit phishingsicheren Authentifizierungsmethoden authentifizieren müssen, bevor sie auf eine sensible Ressource zugreifen können. Der Administrator kann Benutzern auch ermöglichen, sich mit weniger sicheren MFA-Kombinationen (Multi-Factor Authentication) wie Kennwort und SMS zu authentifizieren, damit sie auf nicht vertrauliche Anwendungen zugreifen können.
In diesem Artikel werden die Microsoft Graph-APIs vorgestellt, mit denen Administratoren Authentifizierungsstärken programmgesteuert verwalten können.
Richtlinien zur Authentifizierungsstärke
Richtlinien zur Authentifizierungsstärke definieren die Authentifizierungsstärken, die für die Verwendung im Mandanten verfügbar sind. Verwenden Sie den Ressourcentyp authenticationStrengthPolicy und die zugehörigen Methoden, um diese Richtlinien zu definieren und zu verwalten. Die Richtlinien umfassen die folgenden Konfigurationen:
- Name, Bezeichner und Beschreibung der Richtlinie.
- Authentifizierungsmethodenkombinationen, die Teil der Richtlinie sind.
- Gibt an, ob die Richtlinie verwendet werden kann, wenn die Anforderungen für die Authentifizierungsmethode erfüllt sind, um einen MFA-Anspruch im Zugriffstoken zu erfüllen.
Microsoft Entra ID unterstützt sowohl integrierte als auch benutzerdefinierte Richtlinien zur Authentifizierungsstärke. Microsoft hat die folgenden drei integrierten Richtlinien bereitgestellt:
- Mehrstufige Authentifizierung
- Kennwortlose mehrstufige Authentifizierung
- Phishing-resistente mehrstufige Authentifizierung
Sie können nur integrierte Richtlinien lesen, aber Sie können bis zu 15 benutzerdefinierte Richtlinien erstellen, um Ihre Anforderungen zu erfüllen.
Kombinationen von Authentifizierungsmethoden
Kern einer Richtlinie sind die Kombinationen der Authentifizierungsmethoden. Eine Kombination besteht aus einer oder mehreren Authentifizierungsmethoden in einer durch Trennzeichen getrennten Liste. Kombinationen sind vordefiniert und werden verwendet, um eine Authentifizierungsstärke zu definieren. Diese Authentifizierungsmethoden basieren auf der gekennzeichneten Enumeration authenticationMethodModes . Beispiele für Kombinationen sind:
Zulässige Beispielkombination | Beschreibung |
---|---|
fido2 |
Der Benutzer muss sich mit einem FIDO2-Sicherheitsschlüssel anmelden, um die Authentifizierungsstärkeanforderung zu erfüllen. |
password,microsoftAuthenticatorPush |
Der Benutzer muss sich sowohl mit dem Kennwort als auch mit der Microsoft Authenticator-Pushgenehmigung anmelden, um die Anforderung der Authentifizierungsstärke zu erfüllen. |
password,softwareOath |
Der Benutzer muss sich mit kennwort- und softwareseitigem OATH-Token anmelden, um die Authentifizierungsstärkeanforderung zu erfüllen. |
Microsoft Entra ID stellt die vordefinierten schreibgeschützten Kombinationen mithilfe der folgenden Prinzipien bereit:
- Einstufige Authentifizierungsmethoden, die als erste Faktoren verwendet werden können, z. B. Kennwort und SMS.
- Kombinationen aus Kennwort und einem zweiten Faktor, die eine gültige Multi-Faktor-Authentifizierungskombination ("etwas, das Sie haben" und "etwas, das Sie wissen").
- Kennwortlose mehrstufige Authentifikatoren wie FIDO2- und x509-Zertifikatauthentifizierung.
Integrierte Authentifizierungsstärken verwenden diese Kombinationen, und Kombinationen können in benutzerdefinierten Authentifizierungsstärken verwendet werden.
Um die Details der unterstützten Authentifizierungsmethoden und der zulässigen Kombinationen anzuzeigen, rufen Sie die List authenticationMethodModes-API auf.
Die Authentifizierungskombinationen integrierter Richtlinien sind schreibgeschützt. Um alle integrierten Richtlinien und ihre Konfigurationen anzuzeigen, rufen Sie die API Auflisten der AuthentifizierungStrengthPolicies auf.
Um eine benutzerdefinierte Richtlinie für die Authentifizierungsstärke zu erstellen, müssen Sie die Kombinationen der Authentifizierungsmethoden mit den zulässigen Kombinationen konfigurieren.
Kombinationskonfigurationen
Sie können weitere Einschränkungen für bestimmte Authentifizierungsmethoden anwenden, um zu steuern, welche Instanzen der Methode ein Benutzer zur Authentifizierung verwenden kann. Diese Arten von Einschränkungen sind Kombinationskonfigurationen und können auch Teil eines authenticationStrengthPolicy-Objekts sein.
Eine Kombinationskonfiguration kann für eine oder mehrere Kombinationen gelten, die die spezifische Authentifizierungsmethode enthalten. Derzeit ist FIDO2 die einzige Methode, die Kombinationskonfigurationen unterstützt.
Eine benutzerdefinierte Richtlinie lässt beispielsweise die folgenden Kombinationen zu: password,softwareOath
, fido2
und x509CertificateMultiFactor
. Für diese Richtlinie können Sie die FIDO2-Sicherheitsschlüssel einschränken, die der Benutzer für die Authentifizierung verwenden kann, indem Sie eine Kombinationskonfiguration mit bestimmten Authenticator Attestation GUIDs (AAGUIDs) konfigurieren.
Eine Richtlinie für die Authentifizierungsstärke verfügt über null oder mehr Kombinationskonfigurationen.
Anwenden von Richtlinien zur Authentifizierungsstärke beim bedingten Zugriff
Nachdem Sie die Richtlinie für die Authentifizierungsstärke definiert haben, wenden Sie sie an und erzwingen sie für die geschützte Ressource mithilfe Microsoft Entra Richtlinien für bedingten Zugriff.
Konfigurieren Sie in den Steuerelementen für die Gewährung des bedingten Zugriffs die AuthenticationStrength-Beziehung , indem Sie das authenticationStrengthPolicy-Objekt zuweisen, das der Richtlinie für bedingten Zugriff zugeordnet werden soll. Wenn eine Richtlinie für bedingten Zugriff für eine Anmeldung gilt und diese Richtlinie über ein Steuerelement zur Gewährung der Authentifizierungsstärke verfügt, muss der Benutzer eine der zulässigen Authentifizierungsmethodenkombinationen für die Anmeldung verwenden. Richtlinien für die Authentifizierungsstärke können auch für Gastbenutzer erzwungen werden, sowohl über Richtlinien für bedingten Zugriff als auch über mandantenübergreifende Vertrauenseinstellungen für eingehenden Zugriff.
Das authenticationStrength-Objekt entspricht der Steuerung "Authentifizierungsstärke erforderlich" der Benutzeroberfläche der Richtlinie für bedingten Zugriff auf dem Microsoft Entra Admin Center.
Sie können die Authentifizierungsstärken und die Steuerung der mehrstufigen Authentifizierungszuweisung nicht für dieselbe Richtlinie für bedingten Zugriff konfigurieren.
Nächste Schritte
- Erfahren Sie mehr über Authentifizierungsstärken.
- Probieren Sie die API in Graph Explorer aus.