Entra ID
Der Microsoft (Entra ID) Identitätsdienst ermöglicht es Specops Authentication, sich mit Microsoft Authentication Libraries zu integrieren. Das bedeutet, dass Microsoft Authenticator verwendet werden kann, um sich bei Specops Authentication ohne Passwort zu authentifizieren. Weitere Informationen zur passwortlosen Anmeldung finden Sie hier. Bitte beachten Sie, dass dieser Identitätsdienst zwar Entra ID (ehemals bekannt als Azure AD) nutzt, in der GUI jedoch als Microsoft bezeichnet wird.
Konfiguration von Microsoft (Entra ID)
Bevor Sie Specops Authentication mit Microsoft (Entra ID) konfigurieren können, müssen Sie eine Clientanwendung in Microsoft Entra ID registrieren. Detaillierte und aktuelle Anweisungen zur Registrierung einer neuen Anwendung finden Sie in Microsofts Dokumentation. Unten finden Sie eine verkürzte Version des Einrichtungsverfahrens.
Beachten Sie, dass nach der Registrierung Ihrer Anwendung die folgenden Informationen für die Konfiguration von Specops Authentication erforderlich sind:
- Mandanten-ID (weitere Informationen, wo Sie Ihre Mandanten-ID finden)
- Anwendungs-Client-ID (weitere Informationen, wo Sie Ihre Anwendungs-Client-ID finden)
- Anwendungs-Client-Secret (weitere Informationen zur Registrierung Ihres Anwendungs-Client-Secrets)
Erstellen einer App-Registrierung im Azure-Portal (Azure-Portal)
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Neue Registrierung.
- Geben Sie einen Namen an, zum Beispiel "Microsoft MFA für Specops uReset".
- Wählen Sie im Abschnitt Unterstützte Kontotypen eine Option aus (Standard ist "Konto in diesem Organisationsverzeichnis nur (Standardverzeichnis nur - Einzelmandant)).
- Wählen Sie im Abschnitt Umleitungs-URI aus der Dropdown-Liste Web aus und geben Sie die URL aus den Specops Authentication Microsoft Identity Services-Einstellungen ein:
https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback. - Klicken Sie auf Registrieren.
- Kopieren Sie im Abschnitt Übersicht der App-Registrierung Folgendes:
- Verzeichnis (Mandant) ID
- Anwendung (Client) ID
Konfigurieren der App-Registrierung
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls gewählt) > Authentifizierung.
- Aktivieren Sie im Abschnitt Implizite Gewährung und hybride Flows ID-Tokens (verwendet für implizite und hybride Flows).
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls gewählt) > Zertifikate & Secrets > Client-Secrets-Tab.
- Klicken Sie auf Neues Client-Secret.
- Geben Sie eine Beschreibung an, zum Beispiel Microsoft MFA für Specops uReset Client-Secret.
- Wählen Sie in der Dropdown-Liste Ablauf die Zeit aus, wann das Client-Secret abläuft, zum Beispiel 730 Tage (24 Monate).
- Klicken Sie auf Hinzufügen.
- Kopieren Sie den Wert des Client-Secrets.
Überprüfen der Microsoft Authenticator-Einstellungen
- Gehen Sie zu Microsoft Entra Authentifizierungsmethoden.
- Gehen Sie im linken Bereich zum Abschnitt Richtlinien und wählen Sie dann Microsoft Authenticator.
- Im Tab Aktivieren und Ziel darf Ziel "Alle Benutzer" Authentifizierungsmodus nicht auf Push in der Dropdown-Liste gesetzt sein (wenn auf Push gesetzt, würde dies die passwortlose Authentifizierung deaktivieren).
Hinweis
Bei der ersten Verwendung muss ein Azure-Administrator möglicherweise die App-Registrierung genehmigen, bevor sie tatsächlich verwendet werden kann: siehe https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.
Konfigurieren von Specops Authentication Web
- Gehen Sie zu Identity Services und klicken Sie auf Microsoft.
- Wählen Sie im Feld Azure-Instanz die Entra ID-Instanz aus, die Sie verwenden möchten: Global, US Government oder China, je nach Ihren Anforderungen.
- Geben Sie Ihre Entra ID Mandanten-ID ein.
- Geben Sie Ihre Anwendungs-Client-ID ein.
- Geben Sie Ihr Anwendungs-Client-Secret ein.
- Geben Sie den Umleitungs-URI in Ihrer Entra ID-Anwendung ein. (In der Anwendung gehen Sie zu Authentifizierung, klicken dann auf Plattform hinzufügen, wählen Web und geben den URI im Feld Benutzerdefinierte Umleitungs-URIs ein. Siehe auch Registrieren einer Anwendung in Microsoft Entra ID.
-
Wenn der Entra ID ImmutableId (auch als source anchor bezeichnet) Wert in einem benutzerdefinierten Attribut gespeichert ist, geben Sie dieses Attribut im Feld Benutzerattribut ein.
Hinweis
Das Standardattribut ist objectGUID.
-
Klicken Sie auf Verbindung testen, um zu überprüfen, ob alles korrekt konfiguriert ist.
- Klicken Sie auf Speichern.
Einrichtung der passwortlosen Authentifizierung
Um die passwortlose Telefonanmeldemethode zu aktivieren, ist sowohl eine Konfiguration durch Administratoren als auch durch einzelne Benutzer erforderlich.
Konfiguration für Administratoren
Hinweis
Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.
- Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Authentifizierungsrichtlinien-Administrator an.
- Gehen Sie zu Schutz > Authentifizierungsmethoden > Richtlinien.
- Wählen Sie unter Microsoft Authenticator die folgenden Optionen:
- Aktivieren: Ja oder Nein
- Ziel: Alle Benutzer oder Benutzer auswählen
- Jede hinzugefügte Gruppe oder Benutzer ist standardmäßig aktiviert, um Microsoft Authenticator sowohl im passwortlosen als auch im Push-Benachrichtigungsmodus ("Jeder" Modus) zu verwenden. Um den Modus zu ändern, wählen Sie für jede Zeile für Authentifizierungsmodus - wählen Sie Jeder oder Passwortlos. Die Auswahl von Push verhindert die Verwendung des passwortlosen Telefonanmeldeanmeldedatensatzes.
- Um die neue Richtlinie anzuwenden, klicken Sie auf Speichern.
Konfiguration für Benutzer
Hinweis
Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.
Um die Microsoft Authenticator-App zu registrieren, folgen Sie diesen Schritten:
- Gehen Sie zu https://aka.ms/mysecurityinfo.
- Melden Sie sich an und wählen Sie dann Methode hinzufügen > Authenticator-App > Hinzufügen, um Microsoft Authenticator hinzuzufügen.
- Folgen Sie den Anweisungen, um die Microsoft Authenticator-App auf Ihrem Gerät zu installieren und zu konfigurieren.
- Wählen Sie Fertig, um die Konfiguration von Microsoft Authenticator abzuschließen.
Telefonanmeldung aktivieren
Nachdem sich Benutzer für die Microsoft Authenticator-App registriert haben, müssen sie die Telefonanmeldung aktivieren:
- Wählen Sie in Microsoft Authenticator das registrierte Konto aus.
- Wählen Sie Telefonanmeldung aktivieren.
- Folgen Sie den Anweisungen in der App, um die Registrierung des Kontos für die passwortlose Telefonanmeldung abzuschließen.
Hinweis
Für die Überprüfung des Secure Service Desk, da Benutzer Ja oder Nein auf die Angemeldet bleiben-Aufforderung nach der Anmeldung über Microsoft 365 antworten müssen, damit der Überprüfungsprozess vollständig abgeschlossen wird, sollten Administratoren in Betracht ziehen, die Angemeldet bleiben-Aufforderung in Azure zu deaktivieren.