Überprüfen, ob Benutzer für obligatorische MFA eingerichtet sind

In diesem Thema werden Die Schritte behandelt, um zu überprüfen, ob Benutzer in Ihrer Organisation so eingerichtet sind, dass sie die obligatorischen MFA-Anforderungen von Azure erfüllen. Weitere Informationen dazu, welche Anwendungen und Konten betroffen sind und wie das Rollout funktioniert, finden Sie unter Planung der obligatorischen Multi-Faktor-Authentifizierung für Azure und andere Verwaltungsportale.

Überprüfen der MFA für ein persönliches Konto

Ein Benutzer kann sein persönliches Konto verwenden, um einen Microsoft Entra-Mandanten für nur wenige Benutzer zu erstellen. Wenn Sie Ihr persönliches Konto zum Abonnieren von Azure verwendet haben, führen Sie die folgenden Schritte aus, um zu überprüfen, ob Ihr Konto für MFA eingerichtet ist.

1. Melden Sie sich bei Erweiterte Sicherheitsoptionen für Ihr Microsoft-Konto an.
2. Wählen Sie unter Zusätzliche Sicherheitsoptionen und Zweistufige Überprüfung die Option Aktivieren aus.
3. Folgen Sie den Anweisungen auf dem Bildschirm.

Weitere Informationen finden Sie unter Verwenden der zweistufigen Überprüfung für Ihr Microsoft-Konto.

Ermitteln von Benutzern, die sich mit und ohne MFA anmelden

Verwenden Sie die folgenden Ressourcen, um Benutzer zu ermitteln, die sich mit und ohne MFA anmelden:

• Zum Exportieren einer Liste von Benutzenden und deren Authentifizierungsmethoden verwenden Sie PowerShell.
• Wenn Sie Abfragen zum Analysieren von Benutzeranmeldungen ausführen, verwenden Sie die Anwendungs-IDs der Anwendungen, die MFA erfordern.

Überprüfen der MFA-Aktivierung

Alle Benutzer, die auf Anwendungen zugreifen, die MFA erfordern, müssen für die Verwendung von MFA eingerichtet sein. Obligatorische MFA ist nicht auf privilegierte Rollen beschränkt.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob MFA für diese Benutzer eingerichtet ist, oder um sie bei Bedarf zu aktivieren.

1. Melden Sie sich als globaler Leser beim Azure-Portal an.

2. Navigieren Sie zu Entra ID>Overview.

3. Überprüfen Sie den Lizenztyp für das Mandantenabonnement.

4. Führen Sie die Schritte für Ihren Lizenztyp aus, um zu überprüfen, ob MFA aktiviert ist, oder aktivieren Sie sie bei Bedarf. Um diese Schritte auszuführen, müssen Sie sich als globaler Leser abmelden und sich mit einer Rolle mit höheren Berechtigungen wieder anmelden.

   • Microsoft Entra ID P1 oder Microsoft Entra ID P2
   • Microsoft 365 oder Microsoft Entra ID Free

Überprüfen, ob MFA für die Microsoft Entra ID P1- oder Microsoft Entra ID P2-Lizenz aktiviert ist

Wenn Sie über eine Microsoft Entra ID P1- oder Microsoft Entra ID P2-Lizenz verfügen, können Sie eine Richtlinie für bedingten Zugriff erstellen, um MFA für Benutzer zu erstellen, die auf Anwendungen zugreifen, die MFA erfordern:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

3. Wählen Sie Neue Richtlinie.

4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.

6. Wählen Sie unter Einschließen die Option Alle Benutzer oder eine Gruppe von Benutzern aus, die sich bei den Anwendungen anmelden, die MFA erfordern.

7. Unter Zielressourcen>Cloud-Apps>einschließen, Apps auswählen, wählen Sie Microsoft Admin Portals und Windows Azure-Dienstverwaltungs-API aus.

8. Wählen Sie unter Zugriffssteuerungen>Gewähren die OptionZugriff gewähren > Zugriffsstärke erforderlich aus, und wählen Sie Multi-Faktor-Authentifizierung und anschließend Auswählen aus.

9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.

10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

    Von Bedeutung

    Erstellen Sie die Zertifizierungsstellenrichtlinie im Report-Only Modus, um die Auswirkungen für Ihren Mandanten zu verstehen, damit Sie nicht gesperrt werden.

Weitere Informationen finden Sie unter Allgemeine Richtlinie für bedingten Zugriff: Verlangen einer Multi-Faktor-Authentifizierung für Administratoren, die auf Microsoft Admin-Portale zugreifen.

Sie können die Insights für bedingten Zugriff und die Berichtsarbeitsmappe verwenden, die Anmeldeprotokolle enthält, um die Auswirkungen für Ihren Mandanten zu verstehen. Als Voraussetzung müssen Sie:

• Erstellen Sie einen Arbeitsbereich.
• Integrieren sie Aktivitätsprotokolle in Azure Monitor.

Wählen Sie die folgenden Parameter aus, um zu sehen, wie sich die obligatorische MFA auf Ihren Mandanten auswirkt:

• Wählen Sie die zuvor erstellte MFA-Richtlinie für bedingten Zugriff aus.
• Auswählen eines Zeitraums zum Auswerten der Daten
• Wählen Sie "Datenansicht" aus, um Die Ergebnisse in Bezug auf die Anzahl der Benutzer oder die Anzahl der Anmeldungen anzuzeigen.

Sie können die Anmeldedetails abfragen oder die Anmeldeprotokolle herunterladen, um tiefer in die Daten einzutauchen. Weitere Informationen finden Sie unter Erkenntnisse und Berichterstellung zum bedingten Zugriff.

Überprüfen, ob MFA für Microsoft 365 oder Microsoft Entra ID Free aktiviert ist

Wenn Sie über eine Microsoft 365- oder Microsoft Entra ID Free-Lizenz verfügen, können Sie MFA mithilfe von Sicherheitsstandards aktivieren. Benutzer werden ggf. zur Durchführung von MFA aufgefordert. Sie können jedoch keine eigenen Regeln definieren, um das Verhalten zu steuern.

So aktivieren Sie Sicherheitsstandards:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
2. Navigieren Sie zu Entra ID>Übersicht>Eigenschaften.
3. Wählen Sie Sicherheitsstandards verwalten aus.
4. Setzen Sie Sicherheitsstandards auf Aktiviert.
5. Wählen Sie Speichern.

Weitere Informationen zu Sicherheitsstandards finden Sie unter Sicherheitsstandards in Microsoft Entra ID

Wenn Sie keine Sicherheitsstandards verwenden möchten, können Sie die benutzerbasierte MFA aktivieren. Wenn Sie Benutzerinnen und Benutzer einzeln aktivieren, führen sie bei jeder Anmeldung MFA durch. Ein Authentifizierungsadministrator kann einige Ausnahmen aktivieren. So aktivieren Sie MFA pro Benutzer:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.
2. Navigieren Sie zu Entra-ID-Benutzern>.
3. Wählen Sie ein Benutzerkonto aus, und klicken Sie auf MFA aktivieren.
4. Bestätigen Sie Ihre Auswahl im Popupfenster, das geöffnet wird.

Nachdem Sie die Benutzerinnen und Benutzer aktiviert haben, benachrichtigen Sie sie per E-Mail. Teilen Sie den Benutzern mit, dass eine Aufforderung angezeigt wird, sich bei der nächsten Anmeldung zu registrieren. Weitere Informationen finden Sie unter Aktivieren von benutzerspezifischer Microsoft Entra Multi-Faktor-Authentifizierung zum Schutz von Anmeldeereignissen.

Zugehöriger Inhalt

Weitere Informationen zu MFA finden Sie in den folgenden Themen:

• So verschieben Sie die Erzwingung für einen Mandanten, bei dem sich Benutzer nach dem Rollout der obligatorischen mehrstufigen Authentifizierung (MFA)-Anforderung für das Azure-Portal, das Microsoft Entra Admin Center oder das Microsoft Intune Admin Center nicht anmelden können
• Planung der obligatorischen Multi-Faktor-Authentifizierung für Azure und andere Verwaltungsportale
• Tutorial: Schützen von Anmeldeereignissen mit der Multi-Faktor-Authentifizierung in Microsoft Entra
• Sichere Anmeldeereignisse mit der Microsoft Entra Multi-Faktor-Authentifizierung
• Planen der Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung
• Phishing-resistente Methoden
• Multi-Faktor-Authentifizierung in Microsoft Entra
• Authentifizierungsmethoden