Das Einrichten der Multi-Faktor Authentifizierung (MFA) pro Benutzer erhöht die Sicherheit eines Microsoft Tenants erheblich und ist heute das Standardvorgehen eines jeden Administrators. Mit MFA pro Benutzer wird bei jeder Anmeldung eine Multi-Faktor Authentifizierung (MFA) vom Benutzer verlangt. Dies kann jedoch zu Frustration bei legitimen Benutzern führen, deren Arbeitsabläufe durch häufige MFA-Aufforderungen gestört werden. Um eine bessere Benutzererfahrung zwischen Sicherheit und Benutzerfreundlichkeit zu erzielen, empfiehlt sich der Umstieg auf MFA mit bedingtem Microsoft Entra-Zugriff.

MFA mit bedingtem Microsoft Entra-Zugriff ermöglicht es, MFA Aufforderungen fein abzustimmen und auf bestimmte Bedingungen zu beschränken, so z.B. auf unbekannte Standorte oder gerätebasierte Bedingungen. Dies bedeutet, dass ein Benutzer genau dann eine MFA-Aufforderung durchlaufen muss, wenn es wirklich erforderlich ist. Zum Beispiel können MFA-Aufforderungen unterdrückt werden, wenn sich der Benutzer innerhalb des Unternehmensnetzwerks oder von vertrauenswürdigen Geräten aus anmeldet.

Ein weiterer Vorteil von MFA mit bedingtem Microsoft Entra-Zugriff besteht darin, dass verschiedene Arten von MFA für verschiedene Szenarien festgelegt werden können. So kann beispielsweise eine phishing-resistente MFA-Methode mit FIDO2-Schlüssel für kritische Ressourcen erzwungen werden, während für weniger sensible Ressourcen MFA-Methoden wie Microsoft Authenticator App oder SMS zugelassen sind.

Inhaltsverzeichnis verbergen
1 Voraussetzungen und Lizenzierung
2 MFA pro Benutzer deaktivieren
3 Sicherheitsstandards deaktivieren
4 Bedingter Microsoft Entra-Zugriff erstellen
5 Funktionskontrolle
6 Gut zu wissen
6.1 Erhalten Benutzer eine Aufforderung zur erneuten Registrierung der Multi-Faktor Authentifizierung?

Voraussetzungen und Lizenzierung

Für das Feature Bedingter Microsoft Entra-Zugriff ist folgende Lizenz notwendig:

  • Microsoft Entra ID P1 oder höher

Die Lizenz ist unter anderem Bestandteil von Microsoft 365 Business Premium und vielen mehr.

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

MFA pro Benutzer deaktivieren

MFA pro Benutzer muss vor der Migration zu MFA mit bedingtem Microsoft-Entra Zugriff deaktiviert sein. Der Status wird im Microsoft Entra Admin Center (https://entra.microsoft.com) für jeden Benutzer angezeigt.

Identity > Users > All users > Per-user MFA

Microsoft Entra per-user MFA

Benutzer, die auf Enabled oder Enforced eingestellt sind, müssen auf Disabled gesetzt werden.

Multi-Factor Authentication user state

Um einen Benutzer auf Disabled zu setzen, den Benutzer anklicken (1), Disable (2) wählen und Auswahl bestätigen.

per-user MFA switch status

Zum Abschluss ist die Multi-Faktor Authenifizierung (MFA) bei allen Benutzern deaktiviert.

per-user MFA show status

Sicherheitsstandards deaktivieren

Bei der Verwendung des bedingten Microsoft Entra-Zugriffs werden die Microsoft Entra Sicherheitsstandards nicht benötigt und automatisch deaktiviert. Die Einstellung im Microsoft Entra Admin Center (https://entra.microsoft.com) kontrollieren.

Identity > Overwiew > Properties > Security defaults

Security default

Bedingter Microsoft Entra-Zugriff erstellen

Die Multi-Faktor Authentifizierung wird nun mit einem bedingten Microsoft Entra-Zugriff konfiguriert. Im folgenden Beispiel müssen alle Benutzer für alle Cloud Apps eine Multi-Faktor Authentifizierung durchführen. Die Richtlinie kann den eigenen Bedürfnissen angepasst werden.

Microsoft Entra Admin Center (https://entra.microsoft.com) öffnen
Protection > Conditional Access > Policies > New policy

Conditional Access Policies

Name für Richtlinie eingeben, z.B. Enforce MFA all users

Conditional Access Name

Users auswählen und All users in die Richtlinie aufnehmen.
Gegebenenfalls Notfallzugriffskonten (Emergency Accounts) ausschliessen.

Conditional Access Users

Target resources auswählen und All cloud apps aktivieren.

Conditional Access Target resources

Grant auswählen und Require multifactor authentication aktivieren.

Conditional Access Grant

Richtlinie mit On aktivieren und Create speichern.

Conditional Access Enable policy

Die Richtlinie des bedingten Microsoft Entra-Zugriffs erzwingt nun für alle Benutzer die Multi-Faktor Authentifizierung beim Zugriff auf Cloud Apps.

Conditional Access Overview

Funktionskontrolle

Beim Zugriff auf eine Cloud App, z.B. https://outlook.com, wird der Benutzer zur Multi-Faktor Authentifizierung aufgefordert.

Microsoft Authenticator App

Die Anmeldung ist in Microsoft Entra Admin Center (https://entra.microsoft.com) unter Sign-in logs ersichtlich.

Identity > Users > All users > Sign-in logs

Microsoft Entra Sign-in logs

In den Details des Log Eintrages unter Conditional Access ist ersichtlich, das die bedingte Microsoft Entra-Zugriffsrichtlinie erfolgreich angewendet wurde.

Microsoft Entra Sign-in logs details

Gut zu wissen

Erhalten Benutzer eine Aufforderung zur erneuten Registrierung der Multi-Faktor Authentifizierung?

Nein, die Benutzer müssen sich nicht erneut für die Multi-Faktor Authentizierung registrieren. Wenn die Richtlinie für den bedingten Microsoft Entra-Zugriff konfiguriert ist und die MFA pro Benutzer deaktiviert wird, bleibt die bestehende Registrierung erhalten. Diese wird nahtlos übernommen.

Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen

War dieser Beitrag hilfreich für dich? Zeige Deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee