Verwalten einer externen Authentifizierungsmethode in Microsoft Entra ID (Vorschau)

Mit einer externen Authentifizierungsmethode (EAM) können Benutzende einen externen Anbieter auswählen, um die Anforderungen der Multi-Faktor-Authentifizierung (MFA) zu erfüllen, wenn sie sich bei Microsoft Entra ID anmelden.

Hier ist ein Diagramm der Funktionsweise der externen Authentifizierungsmethode:

Erforderliche Metadaten zum Konfigurieren einer EAM

Um eine EAM zu erstellen, benötigen Sie die folgenden Informationen von Ihrem externen Authentifizierungsanbieter:

• Eine Anwendungs-ID ist in der Regel eine mehrinstanzenfähige Anwendung von Ihrem Anbieter, die als Teil der Integration verwendet wird. Für diese Anwendung müssen Sie in Ihrem Mandanten eine Administratoreinwilligung erteilen.

• Eine Client-ID ist ein Bezeichner Ihres Anbieters, der als Teil der Authentifizierungsintegration verwendet wird, um Microsoft Entra ID bei der Anforderung der Authentifizierung zu identifizieren.

• Eine Discovery-URL ist der OpenID Connect (OIDC)-Ermittlungsendpunkt für den externen Authentifizierungsanbieter.

  Weitere Informationen zum Einrichten der App-Registrierung finden Sie unter Konfigurieren eines neuen externen Authentifizierungsanbieters mit Microsoft Entra ID.

  Wichtig

  Stellen Sie sicher, dass die Kindereigenschaft (Key ID) base64-codiert ist, sowohl im JSON Web Token (JWT)-Header des id_token als auch im JSON Web Key Set (JWKS), der vom jwks_uri des Anbieters abgerufen wurde. Diese Codierungsausrichtung ist für die nahtlose Überprüfung von Tokensignaturen während der Authentifizierungsprozesse unerlässlich. Abweichungen können zu Problemen beim Schlüsselabgleich oder bei der Signaturüberprüfung führen.

Verwalten einer EAM im Microsoft Entra Admin Center

EAMs werden mit der Microsoft Entra ID-Authentifizierungsmethodenrichtlinie verwaltet, genau wie integrierte Methoden.

Erstellen einer EAM im Admin Center

Bevor Sie eine EAM im Admin Center erstellen, stellen Sie sicher, dass Sie über die Metadaten zum Konfigurieren einer EAM verfügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

2. Navigieren Sie zu entra>>Hinzufügen einer externen Methode (Vorschau).

   

   Fügen Sie Eigenschaften der Methode basierend auf Konfigurationsinformationen von Ihrem Anbieter hinzu. Zum Beispiel:

   • Name: Adatum
   • Client-ID: 00001111-aaaa-2222-bbbb-3333cccc44444
   • Ermittlungsendpunkt: https://adatum.com/.well-known/openid-configuration
   • App-ID: 11112222-bbbb-3333-cccc-4444dddd5555

   Wichtig

   Der Benutzer sieht den Anzeigenamen in der Methodenauswahl. Sie können den Namen nach dem Erstellen der Methode nicht mehr ändern. Der Anzeigename muss eindeutig sein.

   

   Sie benötigen mindestens die Rolle Administrator für privilegierte Rollen, um die Administratoreinwilligung für die Anwendung des Anbieters zu erteilen. Wenn Sie nicht über die erforderliche Rolle für die Einwilligung verfügen, können Sie Ihre Authentifizierungsmethode zwar speichern, aber erst aktivieren, wenn die Einwilligung erteilt wurde.

   Nachdem Sie die Werte Ihres Anbieters eingegeben haben, klicken Sie auf die Schaltfläche, um eine Administratoreinwilligung für die Anwendung anzufordern, damit diese die erforderlichen Informationen von der benutzenden Person lesen kann, um sich korrekt zu authentifizieren. Sie werden aufgefordert, sich mit einem Konto mit Administratorberechtigungen anzumelden und der Anwendung des Anbieters die erforderlichen Berechtigungen zu erteilen.

   Nachdem Sie sich angemeldet haben, wählen Sie "Annehmen" aus, um administratorzustimmen:

   

   Sie können die Berechtigungen sehen, die die Anbieteranwendung anfordert, bevor Sie die Einwilligung erteilen. Nachdem Sie die Administratoreinwilligung erteilt haben und die Änderung repliziert wurde, wird die Seite aktualisiert, um anzuzeigen, dass die Administratoreinwilligung erteilt wurde.

   

Wenn die Anwendung über Berechtigungen verfügt, können Sie die Methode auch vor dem Speichern aktivieren. Andernfalls müssen Sie die Methode in einem deaktivierten Zustand speichern und aktivieren, nachdem für die Anwendung eine Einwilligung erteilt wurde.

Sobald die Methode aktiviert ist, können alle Benutzende im Bereich die Methode für alle MFA-Eingabeaufforderungen auswählen. Wenn für die Anwendung vom Anbieter keine Einwilligung wurde, schlägt eine Anmeldung mit dieser Methode fehl.

Wenn die Anwendung gelöscht wird oder nicht mehr über die Berechtigung verfügt, wird Benutzenden ein Fehler angezeigt, und die Anmeldung schlägt fehl. Die Methode kann nicht verwendet werden.

Konfigurieren einer EAM im Admin Center

Um Ihre EAMs im Microsoft Entra Admin Center zu verwalten, öffnen Sie die Richtlinie für Authentifizierungsmethoden. Wählen Sie den Methodennamen aus, um die Konfigurationsoptionen zu öffnen. Sie können wählen, welche benutzenden Personen in diese Methode einbezogen und welche ausgeschlossen werden sollen.

Löschen einer EAM im Admin Center

Wenn Sie nicht mehr möchten, dass Ihre Benutzende die EAM verwenden können, haben Sie folgende Möglichkeiten:

• Legen Sie Aktivieren auf Aus fest, um die Methodenkonfiguration zu speichern
• Wählen Sie "Löschen" aus, um die Methode zu entfernen.

Verwalten einer EAM mit Microsoft Graph

Um die Richtlinie für Authentifizierungsmethoden mithilfe von Microsoft Graph zu verwalten, benötigen Sie die Policy.ReadWrite.AuthenticationMethod-Berechtigung. Weitere Informationen finden Sie unter authenticationMethodsPolicy aktualisieren.

Benutzerfreundlichkeit

Benutzende, die für die EAM aktiviert sind, können sie verwenden, wenn sie sich anmelden und die Multi-Faktor-Authentifizierung erforderlich ist.

Wenn der Benutzer andere Möglichkeiten zum Anmelden hat und die vom System bevorzugte MFA aktiviert ist, werden diese anderen Methoden standardmäßig angezeigt. Die Benutzende können eine andere Methode verwenden und dann das EAM auswählen. Wenn die Benutzende beispielsweise Authenticator als eine andere Methode aktiviert haben, werden sie zur Eingabe des Nummernabgleichs aufgefordert.

Wenn die Benutzende keine anderen Methoden aktiviert haben, können sie einfach EAM auswählen. Sie werden an den externen Authentifizierungsanbieter umgeleitet, um die Authentifizierung abzuschließen.

Registrierung der Authentifizierungsmethode für EAMs

In der EAM-Vorschau können Benutzer, die Mitglieder von Gruppen sind, die für EAM aktiviert sind, eine EAM verwenden, um MFA zu erfüllen. Diese Benutzer sind nicht in Berichte zur Registrierung von Authentifizierungsmethoden enthalten.

Der Rollout der EAM-Registrierung in Microsoft Entra ID wird ausgeführt. Nach Abschluss des Rollouts müssen benutzer ihre EAM mit der Microsoft Entra-ID registrieren, bevor sie es verwenden können, um MFA zu erfüllen. Im Rahmen dieses Rollouts registriert die Microsoft Entra-ID automatisch die letzten EAM-Benutzer, die sich innerhalb der letzten 28 Tage mit einem EAM angemeldet haben.

Benutzer, die sich innerhalb von 28 Tagen nach dem Rollout des Registrierungsfeatures nicht mit ihrem EAM angemeldet haben, müssen das EAM registrieren, bevor sie es erneut verwenden können. Diese Benutzer sehen möglicherweise eine Änderung, wenn sie sich das nächste Mal anmelden, je nach ihrer aktuellen Authentifizierungseinrichtung:

• Wenn sie nur für EAM aktiviert sind, müssen sie eine Just-in-Time-Registrierung von EAM abschließen, bevor Sie fortfahren.
• Wenn sie für EAM und andere Authentifizierungsmethoden aktiviert sind, verlieren sie möglicherweise den Zugriff auf das EAM für die Authentifizierung. Es gibt zwei Möglichkeiten, wie sie den Zugriff wiedererlangen können:
  • Sie können ihre EAM bei Sicherheitsinformationen registrieren.
  • Ein Administrator kann das Microsoft Entra Admin Center oder Microsoft Graph verwenden, um das EAM in ihrem Namen zu registrieren.

In den nächsten Abschnitten werden die Schritte für jede Option behandelt.

So registrieren Benutzer ihre EAM in Sicherheitsinformationen

Benutzer können die folgenden Schritte ausführen, um ein EAM in Sicherheitsinformationen zu registrieren:

1. Melden Sie sich bei Sicherheitsinformationen an.
2. Select + Add sign-in method.
3. Wenn Sie aufgefordert werden, eine Anmeldemethode aus einer Liste der verfügbaren Optionen auszuwählen, wählen Sie "Externe Authentifizierungsmethoden" aus.
4. Wählen Sie auf dem Bestätigungsbildschirm "Weiter" aus.
5. Schließen Sie die zweite Herausforderung mit dem externen Anbieter ab. Bei erfolgreicher Ausführung können Benutzer das in ihren Anmeldemethoden aufgelistete EAM sehen.

So registrieren Benutzer ihre EAM mithilfe des Registrierungs-Assistenten

Wenn sich ein Benutzer anmeldet, hilft ihnen ein Registrierungsassistent, die EAMs zu registrieren, die er verwenden kann. Wenn sie für andere Authentifizierungsmethoden aktiviert sind, müssen sie möglicherweise auswählen, dass ich eine andere Methode> fürexterne Authentifizierungsmethoden einrichten möchte, um fortzufahren. Sie müssen sich bei ihrem EAM-Anbieter authentifizieren, um das EAM in der Microsoft Entra-ID zu registrieren.

Wenn die Authentifizierung erfolgreich ist, bestätigt eine Meldung, dass die Registrierung abgeschlossen ist und das EAM registriert ist. Der Benutzer wird an die Ressource umgeleitet, auf die er zugreifen möchte. 

Wenn die Authentifizierung fehlschlägt, wird der Benutzer zurück zum Registrierungs-Assistenten umgeleitet, und auf der Registrierungsseite wird eine Fehlermeldung angezeigt. Der Benutzer kann es erneut versuchen oder eine andere Möglichkeit auswählen, sich anzumelden, wenn er für andere Methoden aktiviert ist. 

So registrieren Administratoren ein EAM für einen Benutzer

Administratoren können einen Benutzer für ein EAM registrieren. Wenn sie einen Benutzer für ein EAM registrieren, muss der Benutzer seine EAM nicht in Sicherheitsinformationen oder mithilfe des Registrierungs-Assistenten registrieren.

Administratoren können die Registrierung auch im Namen eines Benutzers löschen. Sie können eine Registrierung löschen, um Benutzern in Wiederherstellungsszenarien zu helfen, da ihr nächstes Zeichen eine neue Registrierung auslöst. Sie können die EAM-Registrierung im Microsoft Entra Admin Center oder mit Microsoft Graph löschen. Administratoren können ein PowerShell-Skript erstellen, um den Registrierungsstatus mehrerer Benutzer gleichzeitig zu aktualisieren.

Im Microsoft Entra Admin Center:

1. Wählen Sie Benutzer>Alle Benutzer aus.
2. Wählen Sie den Benutzer aus, der für EAM registriert werden muss.
3. Wählen Sie im Menü "Benutzer" die Option "Authentifizierungsmethoden" und dann "+Authentifizierungsmethode hinzufügen" aus.
4. Wählen Sie die Externe Authentifizierungsmethode aus.
5. Wählen Sie einen oder mehrere EAMs aus, und wählen Sie " Speichern" aus.
6. Es wird eine Erfolgsmeldung angezeigt, und die zuvor ausgewählten Methoden werden in "Verwendbare Authentifizierungsmethoden" aufgeführt.

Paralleles Verwenden von benutzerdefinierten Steuerelementen für EAM und bedingten Zugriff

EAMs und benutzerdefinierte Steuerelemente können parallel ausgeführt werden. Microsoft empfiehlt Administrierenden, zwei Richtlinien für bedingten Zugriff zu konfigurieren:

• Eine Richtlinie zum Erzwingen des benutzerdefinierten Steuerelements
• Eine andere Richtlinie mit der erforderlichen MFA-Gewährung

Schließen Sie eine Testgruppe von Benutzenden für jede Richtlinie ein, aber nicht für beide. Wenn ein benutzende Person in beiden Richtlinien oder einer Richtlinie mit beiden Bedingungen enthalten ist, muss die benutzende Person während der Anmeldung MFA verwenden. Außerdem muss das benutzerdefinierte Steuerelement erfüllt werden, was dazu führt, dass sie ein zweites Mal an den externen Anbieter weitergeleitet wird.

Nächste Schritte

Weitere Informationen zum Verwalten von Authentifizierungsmethoden finden Sie unter Verwalten von Authentifizierungsmethoden für Microsoft Entra ID.

Informationen zu EAM-Anbieterreferenzen finden Sie unter Referenz für externe Methodenanbieter für die Microsoft Entra-Multi-Faktor-Authentifizierung (Vorschau).