Das Einrichten der Multi-Faktor Authentifizierung (MFA) pro Benutzer erhöht die Sicherheit eines Microsoft Tenants erheblich und ist heute das Standardvorgehen eines jeden Administrators. Mit MFA pro Benutzer wird bei jeder Anmeldung eine Multi-Faktor Authentifizierung (MFA) vom Benutzer verlangt. Dies kann jedoch zu Frustration bei legitimen Benutzern führen, deren Arbeitsabläufe durch häufige MFA-Aufforderungen gestört werden. Um eine bessere Benutzererfahrung zwischen Sicherheit und Benutzerfreundlichkeit zu erzielen, empfiehlt sich der Umstieg auf MFA mit bedingtem Microsoft Entra-Zugriff.

MFA mit bedingtem Microsoft Entra-Zugriff ermöglicht es, MFA Aufforderungen fein abzustimmen und auf bestimmte Bedingungen zu beschränken, so z.B. auf unbekannte Standorte oder gerätebasierte Bedingungen. Dies bedeutet, dass ein Benutzer genau dann eine MFA-Aufforderung durchlaufen muss, wenn es wirklich erforderlich ist. Zum Beispiel können MFA-Aufforderungen unterdrückt werden, wenn sich der Benutzer innerhalb des Unternehmensnetzwerks oder von vertrauenswürdigen Geräten aus anmeldet.

Ein weiterer Vorteil von MFA mit bedingtem Microsoft Entra-Zugriff besteht darin, dass verschiedene Arten von MFA für verschiedene Szenarien festgelegt werden können. So kann beispielsweise eine phishing-resistente MFA-Methode mit FIDO2-Schlüssel für kritische Ressourcen erzwungen werden, während für weniger sensible Ressourcen MFA-Methoden wie Microsoft Authenticator App oder SMS zugelassen sind.

Voraussetzungen und Lizenzierung

Für das Feature Bedingter Microsoft Entra-Zugriff ist folgende Lizenz notwendig:

  • Microsoft Entra ID P1 oder höher

Die Lizenz ist unter anderem Bestandteil von Microsoft 365 Business Premium und vielen mehr.

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

MFA pro Benutzer deaktivieren

MFA pro Benutzer muss vor der Migration zu MFA mit bedingtem Microsoft-Entra Zugriff deaktiviert sein. Der Status wird im Microsoft Entra Admin Center (https://entra.microsoft.com) für jeden Benutzer angezeigt.

Identity > Users > All users > Per-user MFA

Benutzer, die auf Enabled oder Enforced eingestellt sind, müssen auf Disabled gesetzt werden.

Um einen Benutzer auf Disabled zu setzen, den Benutzer anklicken (1), Disable (2) wählen und Auswahl bestätigen.

Zum Abschluss ist die Multi-Faktor Authenifizierung (MFA) bei allen Benutzern deaktiviert.

Sicherheitsstandards deaktivieren

Bei der Verwendung des bedingten Microsoft Entra-Zugriffs werden die Microsoft Entra Sicherheitsstandards nicht benötigt und automatisch deaktiviert. Die Einstellung im Microsoft Entra Admin Center (https://entra.microsoft.com) kontrollieren.

Identity > Overwiew > Properties > Security defaults

Bedingter Microsoft Entra-Zugriff erstellen

Die Multi-Faktor Authentifizierung wird nun mit einem bedingten Microsoft Entra-Zugriff konfiguriert. Im folgenden Beispiel müssen alle Benutzer für alle Cloud Apps eine Multi-Faktor Authentifizierung durchführen. Die Richtlinie kann den eigenen Bedürfnissen angepasst werden.

Microsoft Entra Admin Center (https://entra.microsoft.com) öffnen
Protection > Conditional Access > Policies > New policy

Name für Richtlinie eingeben, z.B. Enforce MFA all users

Users auswählen und All users in die Richtlinie aufnehmen.
Gegebenenfalls Notfallzugriffskonten (Emergency Accounts) ausschliessen.

Target resources auswählen und All cloud apps aktivieren.

Grant auswählen und Require multifactor authentication aktivieren.

Richtlinie mit On aktivieren und Create speichern.

Die Richtlinie des bedingten Microsoft Entra-Zugriffs erzwingt nun für alle Benutzer die Multi-Faktor Authentifizierung beim Zugriff auf Cloud Apps.

Funktionskontrolle

Beim Zugriff auf eine Cloud App, z.B. https://outlook.com, wird der Benutzer zur Multi-Faktor Authentifizierung aufgefordert.

Die Anmeldung ist in Microsoft Entra Admin Center (https://entra.microsoft.com) unter Sign-in logs ersichtlich.

Identity > Users > All users > Sign-in logs

In den Details des Log Eintrages unter Conditional Access ist ersichtlich, das die bedingte Microsoft Entra-Zugriffsrichtlinie erfolgreich angewendet wurde.

Gut zu wissen

Erhalten Benutzer eine Aufforderung zur erneuten Registrierung der Multi-Faktor Authentifizierung?

Nein, die Benutzer müssen sich nicht erneut für die Multi-Faktor Authentizierung registrieren. Wenn die Richtlinie für den bedingten Microsoft Entra-Zugriff konfiguriert ist und die MFA pro Benutzer deaktiviert wird, bleibt die bestehende Registrierung erhalten. Diese wird nahtlos übernommen.


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen