Entra ID

Der Microsoft (Entra ID) Identitätsdienst ermöglicht es Specops Authentication, sich mit Microsoft Authentication Libraries zu integrieren. Das bedeutet, dass Microsoft Authenticator verwendet werden kann, um sich bei Specops Authentication ohne Passwort zu authentifizieren. Weitere Informationen zur passwortlosen Anmeldung finden Sie hier. Bitte beachten Sie, dass dieser Identitätsdienst zwar Entra ID (früher bekannt als Azure AD) nutzt, er in der GUI jedoch als Microsoft bezeichnet wird.

Konfiguration von Microsoft (Entra ID)

Bevor Sie Specops Authentication für die Zusammenarbeit mit Microsoft (Entra ID) konfigurieren können, müssen Sie eine Clientanwendung in Microsoft Entra ID registrieren. Detaillierte und aktuelle Anweisungen zur Registrierung einer neuen Anwendung finden Sie in Microsofts Dokumentation. Unten finden Sie eine verkürzte Version des Einrichtungsverfahrens.

Beachten Sie, dass nach der Registrierung Ihrer Anwendung die folgenden Informationen für die Konfiguration von Specops Authentication erforderlich sind:

Mandanten-ID (weitere Informationen, wo Sie Ihre Mandanten-ID finden)
Anwendungs-Client-ID (weitere Informationen, wo Sie Ihre Anwendungs-Client-ID finden)
Anwendungs-Client-Secret (weitere Informationen zur Registrierung Ihres Anwendungs-Client-Secrets)

Erstellen einer App-Registrierung im Azure-Portal (Azure-Portal)

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Neue Registrierung.
Geben Sie einen Namen an, zum Beispiel "Microsoft MFA für Specops uReset".
Wählen Sie im Abschnitt Unterstützte Kontotypen eine Option aus (Standard ist "Konto in diesem Organisationsverzeichnis nur (Standardverzeichnis nur - Einzelmandant)).
Wählen Sie im Abschnitt Umleitungs-URI Web aus der Dropdown-Liste aus und geben Sie die URL aus den Specops Authentication Microsoft Identity Services-Einstellungen ein: https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback.
Klicken Sie auf Registrieren.
Kopieren Sie im Abschnitt Übersicht der App-Registrierung Folgendes:
- Verzeichnis (Mandanten) ID
- Anwendung (Client) ID

Konfigurieren der App-Registrierung

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen Tab > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls dieser gewählt wurde) > Authentifizierung.
Aktivieren Sie im Abschnitt Implizite Gewährung und hybride Flows ID-Tokens (verwendet für implizite und hybride Flows).
Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls dieser gewählt wurde) > Zertifikate & Secrets > Client-Secrets Tab.
Klicken Sie auf Neues Client-Secret.
Geben Sie eine Beschreibung an, zum Beispiel Microsoft MFA für Specops uReset Client-Secret.
Wählen Sie in der Dropdown-Liste Ablauf die Zeit aus, wann das Client-Secret abläuft, zum Beispiel 730 Tage (24 Monate).
Klicken Sie auf Hinzufügen.
Kopieren Sie den Wert des Client-Secrets.

Überprüfung der Microsoft Authenticator-Einstellungen

Gehen Sie zu Microsoft Entra Authentifizierungsmethoden.
Gehen Sie im linken Bereich zum Abschnitt Richtlinien und wählen Sie dann Microsoft Authenticator.
Im Tab Aktivieren und Ziel darf Ziel "Alle Benutzer" Authentifizierungsmodus nicht auf Push in der Dropdown-Liste gesetzt sein (wenn auf Push gesetzt, würde dies die passwortlose Authentifizierung deaktivieren).

Hinweis

Bei der ersten Verwendung muss ein Azure-Administrator möglicherweise die App-Registrierung genehmigen, bevor sie tatsächlich verwendet werden kann: siehe https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.

Konfiguration von Specops Authentication Web

Gehen Sie zu Identity Services und klicken Sie auf Microsoft.
Wählen Sie im Feld Azure-Instanz die Entra ID-Instanz aus, die Sie verwenden möchten: Global, US Government oder China, je nach Ihren Anforderungen.
Geben Sie Ihre Entra ID Mandanten-ID ein
Geben Sie Ihre Anwendungs-Client-ID ein
Geben Sie Ihr Anwendungs-Client-Secret ein
Geben Sie den Umleitungs-URI in Ihrer Entra ID-Anwendung ein. (In der Anwendung gehen Sie zu Authentifizierung, klicken dann auf Plattform hinzufügen, wählen Web und geben den URI im Feld Benutzerdefinierte Umleitungs-URIs ein. Weitere Informationen finden Sie hier: Registrieren einer Anwendung in Microsoft Entra ID.
Wenn der Entra ID ImmutableId (auch als source anchor bezeichnet) Wert in einem benutzerdefinierten Attribut gespeichert ist, geben Sie dieses Attribut im Feld Benutzerattribut ein.

Hinweis

Das Standardattribut ist objectGUID.
Klicken Sie auf Verbindung testen, um zu überprüfen, ob alles korrekt konfiguriert ist.
Klicken Sie auf Speichern

Einrichtung der passwortlosen Authentifizierung

Um die passwortlose Telefonanmeldemethode zu aktivieren, ist eine Konfiguration sowohl durch Administratoren als auch durch einzelne Benutzer erforderlich.

Konfiguration für Administratoren

Hinweis

Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.

Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Authentifizierungsrichtlinien-Administrator an.
Gehen Sie zu Schutz > Authentifizierungsmethoden > Richtlinien.
Wählen Sie unter Microsoft Authenticator die folgenden Optionen:
- Aktivieren: Ja oder Nein
- Ziel: Alle Benutzer oder Benutzer auswählen
Jede hinzugefügte Gruppe oder Benutzer ist standardmäßig aktiviert, um Microsoft Authenticator sowohl im passwortlosen als auch im Push-Benachrichtigungsmodus ("Jeder" Modus) zu verwenden. Um den Modus zu ändern, wählen Sie für jede Zeile für Authentifizierungsmodus - wählen Sie Jeder oder Passwortlos. Die Auswahl von Push verhindert die Verwendung des passwortlosen Telefonanmelde-Credentials.
Um die neue Richtlinie anzuwenden, klicken Sie auf Speichern.

Konfiguration für Benutzer

Hinweis

Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.

Um die Microsoft Authenticator-App zu registrieren, folgen Sie diesen Schritten:

Gehen Sie zu https://aka.ms/mysecurityinfo.
Melden Sie sich an und wählen Sie dann Methode hinzufügen > Authenticator-App > Hinzufügen, um Microsoft Authenticator hinzuzufügen.
Folgen Sie den Anweisungen, um die Microsoft Authenticator-App auf Ihrem Gerät zu installieren und zu konfigurieren.
Wählen Sie Fertig, um die Konfiguration von Microsoft Authenticator abzuschließen.

Aktivierung der Telefonanmeldung

Nachdem sich Benutzer für die Microsoft Authenticator-App registriert haben, müssen sie die Telefonanmeldung aktivieren:

Wählen Sie in Microsoft Authenticator das registrierte Konto aus.
Wählen Sie Telefonanmeldung aktivieren.
Folgen Sie den Anweisungen in der App, um die Registrierung des Kontos für die passwortlose Telefonanmeldung abzuschließen.

Hinweis

Für die Verifizierung des Secure Service Desk, da Benutzer mit Ja oder Nein auf die Angemeldet bleiben-Aufforderung antworten müssen, nachdem sie sich über Microsoft 365 angemeldet haben, damit der Verifizierungsprozess vollständig abgeschlossen ist, sollten Administratoren in Betracht ziehen, die Angemeldet bleiben-Aufforderung in Azure zu deaktivieren.