Entra ID
Der Microsoft (Entra ID) Identitätsdienst ermöglicht es Specops Authentication, sich in Microsoft Authentication Libraries zu integrieren. Das bedeutet, dass Microsoft Authenticator verwendet werden kann, um sich bei Specops Authentication ohne Passwort zu authentifizieren. Weitere Informationen zur passwortlosen Anmeldung finden Sie hier. Bitte beachten Sie, dass dieser Identitätsdienst zwar Entra ID (früher bekannt als Azure AD) nutzt, er in der GUI jedoch als Microsoft bezeichnet wird.
Konfiguration von Microsoft (Entra ID)
Bevor Sie Specops Authentication für die Zusammenarbeit mit Microsoft (Entra ID) konfigurieren können, müssen Sie eine Clientanwendung in Microsoft Entra ID registrieren. Detaillierte und aktuelle Anweisungen zur Registrierung einer neuen Anwendung finden Sie in Microsofts Dokumentation. Unten finden Sie eine verkürzte Version des Einrichtungsverfahrens.
Beachten Sie, dass nach der Registrierung Ihrer Anwendung die folgenden Informationen für die Konfiguration von Specops Authentication erforderlich sind:
- Tenant ID (weitere Informationen, wo Sie Ihre Tenant ID finden)
- Application Client ID (weitere Informationen, wo Sie Ihre Application Client ID finden)
- Application Client Secret (weitere Informationen zur Registrierung Ihres Application Client Secret)
Erstellen einer App-Registrierung im Azure-Portal (Azure-Portal)
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Neue Registrierung.
- Geben Sie einen Namen an, zum Beispiel "Microsoft MFA für Specops uReset".
- Wählen Sie im Abschnitt Unterstützte Kontotypen eine Option aus (Standard ist "Konto in diesem organisatorischen Verzeichnis nur (Standardverzeichnis nur - Einzelmandant)).
- Wählen Sie im Abschnitt Redirect URI aus der Dropdown-Liste Web aus und geben Sie die URL aus den Specops Authentication Microsoft Identity Services-Einstellungen ein:
https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback. - Klicken Sie auf Registrieren.
- Kopieren Sie im Abschnitt Übersicht der App-Registrierung Folgendes:
- Verzeichnis (Mandant) ID
- Anwendungs (Client) ID
Konfigurieren der App-Registrierung
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls gewählt) > Authentifizierung.
- Aktivieren Sie im Abschnitt Implizite Gewährung und hybride Flows ID-Tokens (verwendet für implizite und hybride Flows).
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls gewählt) > Zertifikate & Geheimnisse > Clientgeheimnisse-Tab.
- Klicken Sie auf Neues Clientgeheimnis.
- Geben Sie eine Beschreibung an, zum Beispiel Microsoft MFA für Specops uReset Client Secret.
- Wählen Sie in der Dropdown-Liste Ablauf die Zeit aus, wann das Clientgeheimnis abläuft, zum Beispiel 730 Tage (24 Monate).
- Klicken Sie auf Hinzufügen.
- Kopieren Sie den Wert des Clientgeheimnisses.
Überprüfen der Microsoft Authenticator-Einstellungen
- Gehen Sie zu Microsoft Entra-Authentifizierungsmethoden.
- Gehen Sie im linken Bereich zum Abschnitt Richtlinien und wählen Sie dann Microsoft Authenticator.
- Im Tab Aktivieren und Ziel darf der Authentifizierungsmodus Ziel "Alle Benutzer" nicht auf Push in der Dropdown-Liste gesetzt sein (wenn auf Push gesetzt, würde dies die passwortlose Authentifizierung deaktivieren).
Hinweis
Bei der ersten Verwendung muss ein Azure-Administrator möglicherweise die App-Registrierung genehmigen, bevor sie tatsächlich verwendet werden kann: siehe https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.
Konfigurieren von Specops Authentication Web
- Gehen Sie zu Identity Services und klicken Sie auf Microsoft.
- Wählen Sie im Feld Azure-Instanz die Entra ID-Instanz aus, die Sie verwenden möchten: Global, US Government oder China, je nach Ihren Anforderungen.
- Geben Sie Ihre Entra ID Tenant ID ein
- Geben Sie Ihre Application Client ID ein
- Geben Sie Ihr Application Client Secret ein
- Geben Sie die Redirect URI in Ihrer Entra ID-Anwendung ein. (In der Anwendung gehen Sie zu Authentifizierung, klicken Sie dann auf Plattform hinzufügen, wählen Sie Web und geben Sie die URI im Feld Benutzerdefinierte Redirect-URIs ein. Weitere Informationen finden Sie hier.
-
Wenn der Entra ID ImmutableId (auch als source anchor bezeichnet) Wert in einem benutzerdefinierten Attribut gespeichert ist, geben Sie dieses Attribut im Feld Benutzerattribut ein.
Hinweis
Das Standardattribut ist objectGUID.
-
Klicken Sie auf Verbindung testen, um zu überprüfen, ob alles korrekt konfiguriert ist.
- Klicken Sie auf Speichern
Einrichtung der passwortlosen Authentifizierung
Um die passwortlose Telefonanmeldemethode zu aktivieren, ist sowohl eine Konfiguration durch Administratoren als auch durch einzelne Benutzer erforderlich.
Konfiguration für Administratoren
Hinweis
Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.
- Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Authentifizierungsrichtlinien-Administrator an.
- Gehen Sie zu Schutz > Authentifizierungsmethoden > Richtlinien.
- Wählen Sie unter Microsoft Authenticator die folgenden Optionen:
- Aktivieren: Ja oder Nein
- Ziel: Alle Benutzer oder Benutzer auswählen
- Jede hinzugefügte Gruppe oder Benutzer ist standardmäßig aktiviert, um Microsoft Authenticator sowohl im passwortlosen als auch im Push-Benachrichtigungsmodus ("Jeder" Modus) zu verwenden. Um den Modus zu ändern, wählen Sie für jede Zeile den Authentifizierungsmodus - wählen Sie Jeder oder Passwortlos. Die Auswahl von Push verhindert die Verwendung des passwortlosen Telefonanmelde-Credentials.
- Um die neue Richtlinie anzuwenden, klicken Sie auf Speichern.
Konfiguration für Benutzer
Hinweis
Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.
Um die Microsoft Authenticator-App zu registrieren, folgen Sie diesen Schritten:
- Gehen Sie zu https://aka.ms/mysecurityinfo.
- Melden Sie sich an und wählen Sie dann Methode hinzufügen > Authenticator-App > Hinzufügen, um Microsoft Authenticator hinzuzufügen.
- Folgen Sie den Anweisungen, um die Microsoft Authenticator-App auf Ihrem Gerät zu installieren und zu konfigurieren.
- Wählen Sie Fertig, um die Konfiguration von Microsoft Authenticator abzuschließen.
Aktivierung der Telefonanmeldung
Nachdem sich Benutzer für die Microsoft Authenticator-App registriert haben, müssen sie die Telefonanmeldung aktivieren:
- Wählen Sie in Microsoft Authenticator das registrierte Konto aus.
- Wählen Sie Telefonanmeldung aktivieren.
- Folgen Sie den Anweisungen in der App, um die Registrierung des Kontos für die passwortlose Telefonanmeldung abzuschließen.
Hinweis
Für die Secure Service Desk-Verifizierung, da Benutzer nach der Anmeldung über Microsoft 365 auf die Aufforderung Angemeldet bleiben mit Ja oder Nein antworten müssen, damit der Verifizierungsprozess vollständig abgeschlossen wird, sollten Administratoren in Betracht ziehen, die Aufforderung Angemeldet bleiben in Azure zu deaktivieren.