Multi-Faktor-Authentifizierung für alle Benutzer erfordern

Wie Alex Weinert (Directory of Identity Security bei Microsoft) in seinem Blogbeitrag Your Pa$$word doesn't matter erwähnt:

Ihr Kennwort ist nicht entscheidend, aber die Mehrfaktor-Authentifizierung schon! Basierend auf unseren Studien ist Ihr Konto bei Verwendung der Multi-Faktor-Authentifizierung um mehr als 99,9 % weniger wahrscheinlich kompromittiert.

Authentifizierungsstärke

Der Leitfaden in diesem Artikel hilft Ihrer Organisation, eine MFA-Richtlinie für Ihre Umgebung mithilfe von Authentifizierungsstärken zu erstellen. Microsoft Entra ID bietet drei integrierte Authentifizierungsstärken:

• Stärke der Multi-Faktor-Authentifizierung (weniger restriktiv) empfohlen in diesem Artikel
• Stärke für kennwortlose MFA
• Phishing-resistente MFA-Stärke (am restriktivsten)

Sie können eine der integrierten Stärken verwenden oder eine benutzerdefinierte Authentifizierungsstärke basierend auf den jeweils erforderlichen Authentifizierungsmethoden erstellen.

Für Szenarien mit externen Benutzern variieren die MFA-Authentifizierungsmethoden, die ein Ressourcenmandant akzeptieren kann, abhängig davon, ob der Benutzer die MFA in seinem Basismandanten oder im Ressourcenmandanten durchführt. Weitere Informationen finden Sie unter Authentifizierungsstärke für externe Benutzer.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:

• Notfallzugriffskonten oder Notfallkonten zum Verhindern einer Sperrung aufgrund von falsch konfigurierten Richtlinien. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
• Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.

Vorlagenbereitstellung

Organisationen können diese Richtlinie bereitstellen, indem Sie die unten beschriebenen Schritte ausführen oder die Vorlagen für bedingten Zugriff verwenden.

Erstellen Sie eine Richtlinie für bedingten Zugriff

Die folgenden Schritte helfen beim Erstellen einer Richtlinie für bedingten Zugriff, damit alle Benutzer die mehrstufige Authentifizierung ausführen, indem Sie die Authentifizierungsstärkerichtlinie verwenden, ohne App-Ausschlüsse.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

3. Wählen Sie Neue Richtlinie.

4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.

   1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
   2. Führen Sie unter Ausschließen die folgenden Schritte aus:
      1. Benutzer und Gruppen auswählen
         1. Wählen Sie die Konten für den Notfallzugriff bzw. Notfallkonten Ihrer Organisation aus.
         2. Wenn Sie Hybrididentitätslösungen wie Microsoft Entra Connect oder Microsoft Entra Connect Cloud Sync verwenden, wählen Sie Verzeichnisrollen und dann Verzeichnissynchronisierungskonten aus.
      2. Sie könnten Ihre Gastbenutzer ausschließen, wenn Sie diese mit einer Gastbenutzer-spezifischen Richtlinie ansprechen.

6. Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Option Alle Ressourcen (früher „Alle Cloud-Apps") aus.

   Tipp

   Microsoft empfiehlt allen Organisationen, eine grundlegende Richtlinie für den bedingten Zugriff zu erstellen, die darauf abzielt: Alle Benutzer, alle Ressourcen ohne App-Ausschlüsse und erfordern eine mehrstufige Authentifizierung.

7. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.

   1. Wählen Sie Authentifizierungsstärke erfordern und dann in der Liste die integrierte Stärke der Multi-Faktor-Authentifizierung aus.
   2. Wählen Sie Auswählen aus.

8. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.

9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".

Benannte Orte

Organisationen könnten bekannte Netzwerkadressen, sogenannte benannte Standorte, in ihre Richtlinien für bedingten Zugriff aufnehmen. Zu diesen benannten Standorten zählen u. a. vertrauenswürdige IP-Netzwerke – beispielsweise für den Hauptsitz einer Organisation. Weitere Informationen zum Konfigurieren benannter Standorte finden Sie im Artikel Was sind Standortbedingungen beim bedingten Zugriff in Microsoft Entra?

In der vorherigen Beispielrichtlinie kann eine Organisation festlegen, dass beim Zugriff auf eine Cloud-App über das Unternehmensnetzwerk keine Multi-Faktor-Authentifizierung erforderlich ist. In diesem Fall kann der Richtlinie die folgende Konfiguration hinzugefügt werden:

1. Wählen Sie unter Zuweisungen die Option Netzwerk aus.
   1. Konfigurieren Sie Ja.
   2. Schließen Sie Alle Netzwerke oder Standorte ein.
   3. Schließen Sie Alle vertrauenswürdigen Netzwerke und Standorte aus.
2. Speichern Sie die Richtlinienänderungen.

Zugehöriger Inhalt

• Vorlagen für bedingten Zugriff
• Verwenden des Modus „Nur Bericht“ für bedingten Zugriff zum Ermitteln der Ergebnisse neuer Richtlinienentscheidungen
• Windows-Abonnementaktivierung
• Konfigurieren von mandantenübergreifenden Zugriffseinstellungen