Entra ID

Der Microsoft (Entra ID) Identitätsdienst ermöglicht es Specops Authentication, sich in Microsoft Authentication Libraries zu integrieren. Das bedeutet, dass Microsoft Authenticator verwendet werden kann, um sich bei Specops Authentication ohne Passwort zu authentifizieren. Weitere Informationen zur passwortlosen Anmeldung finden Sie hier.

Um die Integration von Specops Authentication mit Entra ID zu ermöglichen, müssen Sie die Verbindung konfigurieren. Der Abschnitt Nur Authentifizierung (passwortlose Authentifizierung) unten beschreibt die Schritte zur Konfiguration der passwortlosen Authentifizierung, bei der Entra ID ausschließlich zur Authentifizierung synchronisierter Benutzer verwendet wird. Eine andere Option, die eine detailliertere Kontrolle über die Integration bietet, wird unter Benutzerdefiniert beschrieben.

Nur Authentifizierung (passwortlose Authentifizierung)

Um die passwortlose Telefonanmeldemethode zu aktivieren, ist eine Konfiguration sowohl durch Administratoren als auch durch einzelne Benutzer erforderlich.

Konfiguration für Administratoren

Hinweis

Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.

Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Authentication Policy Administrator an.
Navigieren Sie zu Schutz > Authentifizierungsmethoden > Richtlinien.
Wählen Sie unter Microsoft Authenticator die folgenden Optionen aus:
- Aktivieren: Ja oder Nein
- Ziel: Alle Benutzer oder Benutzer auswählen
Jede hinzugefügte Gruppe oder jeder hinzugefügte Benutzer ist standardmäßig aktiviert, um Microsoft Authenticator sowohl im passwortlosen als auch im Push-Benachrichtigungsmodus ("Beliebiger" Modus) zu verwenden. Um den Modus zu ändern, wählen Sie für jede Zeile für Authentifizierungsmodus - Beliebig oder Passwortlos. Die Auswahl von Push verhindert die Verwendung des passwortlosen Telefonanmelde-Credentials.
Um die neue Richtlinie anzuwenden, klicken Sie auf Speichern.

Konfiguration für Benutzer

Hinweis

Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.

Um die Microsoft Authenticator-App zu registrieren, folgen Sie diesen Schritten:

Gehen Sie zu https://aka.ms/mysecurityinfo.
Melden Sie sich an und wählen Sie dann Methode hinzufügen > Authenticator-App > Hinzufügen, um Microsoft Authenticator hinzuzufügen.
Folgen Sie den Anweisungen, um die Microsoft Authenticator-App auf Ihrem Gerät zu installieren und zu konfigurieren.
Wählen Sie Fertig, um die Konfiguration von Microsoft Authenticator abzuschließen.

Telefonanmeldung aktivieren

Nachdem sich Benutzer für die Microsoft Authenticator-App registriert haben, müssen sie die Telefonanmeldung aktivieren:

Wählen Sie in Microsoft Authenticator das registrierte Konto aus.
Wählen Sie Telefonanmeldung aktivieren.
Folgen Sie den Anweisungen in der App, um die Registrierung des Kontos für die passwortlose Telefonanmeldung abzuschließen.

Hinweis

Für die Verifizierung des Secure Service Desk, da Benutzer nach der Anmeldung über Microsoft 365 auf die Aufforderung Angemeldet bleiben mit Ja oder Nein antworten müssen, damit der Verifizierungsprozess vollständig abgeschlossen ist, sollten Administratoren in Betracht ziehen, die Aufforderung Angemeldet bleiben in Azure zu deaktivieren.

Microsoft Authenticator-Einstellungen überprüfen

Gehen Sie zum Microsoft Entra Admin Center.
Gehen Sie in Microsoft Entra Authentifizierungsmethoden zum Abschnitt Richtlinien im linken Bereich und wählen Sie dann Microsoft Authenticator.
Im Tab Aktivieren und Ziel darf Ziel "Alle Benutzer", Authentifizierungsmodus nicht auf Push in der Dropdown-Liste gesetzt sein (wenn auf Push gesetzt, würde dies die passwortlose Authentifizierung deaktivieren).

In Specops Authentication Web konfigurieren

Navigieren Sie zu Microsoft Entra ID in Specops Authentication und klicken Sie auf Verbindung.
Wählen Sie in der Dropdown-Liste Microsoft Entra ID-Verbindungsdetails die Option Nur Authentifizierung.
Geben Sie Ihre Entra ID Mandanten-ID ein.
Wenn der Entra ID ImmutableId (auch als source anchor bezeichnet) Wert in einem benutzerdefinierten Attribut gespeichert ist, geben Sie dieses Attribut im Feld Benutzerattribut ein.

Hinweis

Das Standardattribut ist objectGUID.
Klicken Sie auf Verbindung testen, um zu überprüfen, ob alles korrekt konfiguriert ist.
Klicken Sie auf Zustimmung erteilen. Dies leitet Sie zur Microsoft-Anmeldeaufforderung weiter.
Ein Microsoft-Zustimmungsdialog wird angezeigt. Melden Sie sich mit Ihrem Entra ID Mandanten-Admin-Konto an, um der Anwendung Zugriff auf die Anmeldung und das Lesen des Benutzerprofils zu gewähren.

Hinweis

Durch das Akzeptieren der Berechtigungen gewähren Sie der App Zugriff auf die angegebenen Ressourcen für alle Benutzer in Ihrer Organisation.

Um die Berechtigungen zu akzeptieren, klicken Sie auf Akzeptieren. Wenn Sie auf Abbrechen klicken, werden Sie zum Specops Authentication Admin Portal weitergeleitet.
Klicken Sie auf Speichern.

Benutzerdefiniert

Verwenden Sie diese Option für eine detailliertere Kontrolle über die Integration. Um eine benutzerdefinierte Integration einzurichten, müssen Sie eine Clientanwendung im Mandanten der Organisation registrieren.

Detaillierte und aktuelle Anweisungen zur Registrierung einer neuen Anwendung finden Sie in Microsofts Dokumentation. Unten finden Sie eine verkürzte Version des Einrichtungsverfahrens.

Sobald Sie Ihre Anwendung registriert haben, sind die folgenden Informationen für die Konfiguration von Specops Authentication erforderlich:

Mandanten-ID (weitere Informationen, wo Sie Ihre Mandanten-ID finden)
Anwendungs-Client-ID (weitere Informationen, wo Sie Ihre Anwendungs-Client-ID finden)
Anwendungs-Client-Secret (weitere Informationen zur Registrierung Ihres Anwendungs-Client-Secrets)

Erstellen einer App-Registrierung im Azure-Portal (Azure-Portal)

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Neue Registrierung.
Geben Sie einen Namen an, zum Beispiel "Microsoft MFA für Specops uReset".
Wählen Sie im Abschnitt Unterstützte Kontotypen eine Option aus (Standard ist "Konto in diesem Organisationsverzeichnis nur (Standardverzeichnis nur - Einzelmandant)).
Wählen Sie im Abschnitt Umleitungs-URI Web aus der Dropdown-Liste aus und geben Sie die URL aus den Specops Authentication Microsoft Identity Services-Einstellungen ein: https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback.
Klicken Sie auf Registrieren.
Kopieren Sie im Abschnitt App-Registrierungsübersicht Folgendes:
- Verzeichnis (Mandanten) ID
- Anwendungs (Client) ID

Konfigurieren der App-Registrierung

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen-Tab > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls dieser gewählt wurde) > Authentifizierung.
Aktivieren Sie im Abschnitt Implizite Gewährung und hybride Flows ID-Tokens (verwendet für implizite und hybride Flows).
Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls dieser gewählt wurde) > Zertifikate & Geheimnisse > Client-Geheimnisse-Tab.
Klicken Sie auf Neues Client-Secret.
Geben Sie eine Beschreibung an, zum Beispiel Microsoft MFA für Specops uReset Client-Secret.
Wählen Sie in der Dropdown-Liste Ablauf die Zeit aus, nach der das Client-Secret abläuft, zum Beispiel 730 Tage (24 Monate).
Klicken Sie auf Hinzufügen.
Kopieren Sie den Wert des Client-Secrets.

Hinweis

Bei der ersten Verwendung muss ein Azure-Administrator möglicherweise die App-Registrierung genehmigen, bevor sie tatsächlich verwendet werden kann: siehe https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.

In Specops Authentication Web konfigurieren

Navigieren Sie zu Microsoft Entra ID in Specops Authentication und klicken Sie auf Verbindung.
Wählen Sie in der Dropdown-Liste Microsoft Entra ID-Verbindungsdetails die Option Benutzerdefiniert.
Geben Sie die erforderlichen Werte ein für:
- Mandanten-ID
- Anwendungs-Client-ID
- Anwendungs-Client-Secret
Wählen Sie im Feld Azure-Instanz die Entra ID-Instanz aus, die Sie verwenden möchten: Global, US Government oder China, je nach Ihren Anforderungen.
Kopieren Sie den Wert des Umleitungs-Uri. Gehen Sie in der Entra ID-Mandantenanwendung zu Authentifizierung, dann klicken Sie auf Eine Plattform hinzufügen, wählen Sie Web und geben Sie die URI in die Benutzerdefinierte Umleitungs-URIs Feld ein. Weitere Informationen finden Sie hier: Registrieren einer Anwendung in Microsoft Entra ID.
Klicken Sie auf Verbindung testen, um zu überprüfen, ob alles korrekt konfiguriert ist.
Klicken Sie auf Speichern.