Vorheriges ThemaNächstes Thema

Azure AD MFA

Hinweis: Azure AD MFA ist ein Erweiterter Authentifikator verfügbar als Teil der Professional Edition von ADSelfService Plus.

Wenn Ihre Organisation Microsoft Azure Active Directory (AD) verwendet und Azure AD Multi-Faktor-Authentifizierung (MFA) zur Sicherung von Anmeldungen nutzt, können Sie die Nutzung von Azure AD MFA erweitern, indem Sie es als Authentifizierungsmethode für die MFA-Funktion von ADSelfService Plus konfigurieren. Dies vereinfacht den Konfigurationsprozess für Administratoren und bietet Endbenutzern ein vertrautes Authentifizierungserlebnis.

Azure AD MFA kann für die Identitätsverifizierung während folgender Aktionen verwendet werden:

• AD Self-Service Passwortzurücksetzung oder Kontosperrungsaufhebung.
• Anmeldungen an Endgerät-Systemen für Windows, macOS und Linux sowie Outlook Web-Anmeldungen.
• Unternehmensanwendungen-Anmeldungen durch Single Sign-On.
• ADSelfService Plus Portal-Anmeldungen.

Azure AD MFA bietet folgende Authentifikatoren zur Sicherung des Zugriffs:

• Push-Benachrichtigungen über die Microsoft Authenticator App.
• Verifizierungscodes über die Microsoft Authenticator App.
• Verifizierung per Telefonanruf.
• Verifizierung per SMS.
• OATH-Hardware-Token von Yubico, DeepNet Security und weiteren.

Wie funktioniert Azure AD MFA?

• Der Benutzer versucht sich anzumelden oder eine Self-Service Passwortzurücksetzung bzw. Kontosperrungsaufhebung durchzuführen.
• Die Multi-Faktor-Authentifizierungsseite wird geladen, und der Benutzer startet Azure AD MFA.
• Der ADSelfService Plus Server sendet eine RADIUS-Anfrage an den Network Policy Server (NPS).
• Die NPS-Erweiterung für Azure MFA kontaktiert die Azure-Cloud und löst eine MFA-Anfrage aus.
• Wenn Push-Benachrichtigungen der Microsoft Authenticator App oder Telefonanruf-Verifizierungsverfahren für Azure AD MFA aktiviert sind, wird die Verifizierungsanfrage direkt ausgelöst.
• Wenn Verifizierungscode der Microsoft Authenticator App, hardwaretokenbasierte oder SMS-basierte Verifizierungsmethoden für Azure AD MFA aktiviert sind, gibt die NPS-Erweiterung eine RADIUS-Herausforderungsantwort an den ADSelfService Plus Server zurück, und der Benutzer wird zur Eingabe des Verifizierungscodes aufgefordert.
• Nach erfolgreicher Azure AD MFA sendet die NPS-Erweiterung eine RADIUS-Akzeptanzantwort an den ADSelfService Plus Server, und dem Benutzer wird Zugriff gewährt.

Schritte zur Azure AD MFA-Konfiguration

Mit bereits vorhandener Konfiguration und Benutzereinschreibung in Azure können Sie Azure AD MFA als Identitätsverifizierungsmethode in ADSelfService Plus über folgende Schritte aktivieren:

Voraussetzungen:

• Der als NPS konfigurierte Server muss die Azure NPS-Erweiterung installiert und konfiguriert haben unter Verwendung dieser Schritte.
• Ein RADIUS-Client muss im NPS für den ADSelfService Plus Server konfiguriert sein.
• Im NPS muss die Primärauthentifizierung durch Auswahl der Nutzer ohne validierte Anmeldeinformationen akzeptieren Option unter Connection Request Policy > Authentication.
• sichergestellt werden, dass die Verbindungsrichtlinie, bei der die Authentifizierung übersprungen wird, nur für den RADIUS-Client von ADSelfService Plus gilt, um unautorisierte Zugriffe auf andere RADIUS-Clients im gleichen NPS zu vermeiden.
• Falls Azure AD MFA entfernt werden muss, deinstallieren Sie die Azure NPS-Erweiterung nicht, ohne Azure AD MFA zuerst in ADSelfService Plus zu deaktivieren.
• Endbenutzer müssen in Azure AD MFA eingeschrieben sein.

Konfigurationsschritte:

• Navigieren Sie zu Configuration > Self-Service > Multi-factor Authentication > Authenticators Setup.
• Wählen Sie aus dem Wählen Sie die Richtlinie Dropdown eine Richtlinie aus.
Hinweis: ADSelfService Plus ermöglicht das Erstellen von organisations- (OU) und gruppenbasierten Richtlinien. Um eine Richtlinie zu erstellen, gehen Sie zu Configuration > Self-Service > Policy Configuration > Add New Policy. Klicken Sie auf OU/Gruppen auswählen und treffen Sie eine Auswahl basierend auf Ihren Anforderungen. Mindestens eine Self-Service Funktion muss ausgewählt werden. Klicken Sie abschließend auf Save Policy.
• Klicken Sie auf Azure AD MFA.
• Geben Sie die nötigen Informationen in die Felder NPS Server, NPS Authentication Port, Authentication Method, Shared Secret (festgelegt bei der Konfiguration des RADIUS-Clients. Siehe Voraussetzung 2), Benutzername-Musterund Request Timeout Settings ) ein.
• Für OATH-Hardware-Token, SMS-basierte Verifizierung und Verifizierungscode-Methoden der Microsoft Authenticator App muss PAP als Authentication Method ausgewählt sein.
• Für Push-Benachrichtigungen der Microsoft Authenticator App und telefonbasierte Verifizierungsmethoden wird empfohlen, den Request Timeout Settings Timeout auf mindestens 60 Sekunden zu setzen.
• Klicken Sie auf Verbindung testen & Speichern.

Um die Konfiguration zu ändern:

• Navigieren Sie zu Configuration > Self-Service > Multi-factor Authentication > Authenticators Setup.
• Wählen Sie Azure AD MFA.
• Klicken Sie auf Ändern und passen die Angaben bei Bedarf an.
• Wenn die Konfiguration entfernt werden soll, klicken Sie auf Konfiguration entfernen.
• Klicken Sie auf Verbindung testen & Speichern.

Vorheriges ThemaNächstes Thema