Entra ID

Der Microsoft (Entra ID) Identitätsdienst ermöglicht es Specops Authentication, sich mit Microsoft Authentication Libraries zu integrieren. Das bedeutet, dass Microsoft Authenticator verwendet werden kann, um sich bei Specops Authentication ohne Passwort zu authentifizieren. Weitere Informationen zur passwortlosen Anmeldung finden Sie hier.

Um die Integration von Specops Authentication mit Entra ID zu aktivieren, müssen Sie die Verbindung konfigurieren. Der Abschnitt Nur Authentifizierung (passwortlose Authentifizierung) unten beschreibt die Schritte zur Konfiguration der passwortlosen Authentifizierung, bei der Entra ID ausschließlich zur Authentifizierung synchronisierter Benutzer verwendet wird. Eine andere Option, die eine detailliertere Kontrolle über die Integration bietet, wird unter Benutzerdefiniert beschrieben.

Nur Authentifizierung (passwortlose Authentifizierung)

Um die passwortlose Telefonanmeldemethode zu aktivieren, ist sowohl von Administratoren als auch von einzelnen Benutzern eine Konfiguration erforderlich.

Konfiguration für Administratoren

Hinweis

Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.

Melden Sie sich im Microsoft Entra Admin Center mindestens als Authentication Policy Administrator an.
Navigieren Sie zu Schutz > Authentifizierungsmethoden > Richtlinien.
Wählen Sie unter Microsoft Authenticator die folgenden Optionen aus:
- Aktivieren: Ja oder Nein
- Ziel: Alle Benutzer oder Benutzer auswählen
Jede hinzugefügte Gruppe oder Benutzer ist standardmäßig aktiviert, um Microsoft Authenticator sowohl im passwortlosen als auch im Push-Benachrichtigungsmodus ("Jeder" Modus) zu verwenden. Um den Modus zu ändern, wählen Sie für jede Zeile für Authentifizierungsmodus - Jeder oder Passwortlos. Die Auswahl von Push verhindert die Verwendung des passwortlosen Telefonanmelde-Credentials.
Um die neue Richtlinie anzuwenden, klicken Sie auf Speichern.

Konfiguration für Benutzer

Hinweis

Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.

Um die Microsoft Authenticator-App zu registrieren, folgen Sie diesen Schritten:

Gehen Sie zu https://aka.ms/mysecurityinfo.
Melden Sie sich an und wählen Sie dann Methode hinzufügen > Authenticator-App > Hinzufügen, um Microsoft Authenticator hinzuzufügen.
Folgen Sie den Anweisungen, um die Microsoft Authenticator-App auf Ihrem Gerät zu installieren und zu konfigurieren.
Wählen Sie Fertig aus, um die Konfiguration von Microsoft Authenticator abzuschließen.

Telefonanmeldung aktivieren

Nachdem sich Benutzer für die Microsoft Authenticator-App registriert haben, müssen sie die Telefonanmeldung aktivieren:

Wählen Sie in Microsoft Authenticator das registrierte Konto aus.
Wählen Sie Telefonanmeldung aktivieren.
Folgen Sie den Anweisungen in der App, um die Registrierung des Kontos für die passwortlose Telefonanmeldung abzuschließen.

Hinweis

Für die Verifizierung des Secure Service Desk, da Benutzer mit Ja oder Nein auf die Angemeldet bleiben-Aufforderung antworten müssen, nachdem sie sich über Microsoft 365 angemeldet haben, damit der Verifizierungsprozess vollständig abgeschlossen ist, sollten Administratoren in Betracht ziehen, die Angemeldet bleiben-Aufforderung in Azure zu deaktivieren.

Microsoft Authenticator-Einstellungen überprüfen

Gehen Sie zum Microsoft Entra Admin Center.
Gehen Sie in Microsoft Entra Authentifizierungsmethoden zum Abschnitt Richtlinien im linken Bereich und wählen Sie dann Microsoft Authenticator.
Im Aktivieren und Ziel-Tab muss Ziel "Alle Benutzer", Authentifizierungsmodus nicht auf Push in der Dropdown-Liste gesetzt sein (wenn auf Push gesetzt, würde dies die passwortlose Authentifizierung deaktivieren).

In Specops Authentication Web konfigurieren

Navigieren Sie zu Microsoft Entra ID in Specops Authentication und klicken Sie auf Verbindung.
Wählen Sie in der Dropdown-Liste Microsoft Entra ID-Verbindungsdetails Nur Authentifizierung aus.
Geben Sie Ihre Entra ID Mandanten-ID ein.
Wenn der Entra ID ImmutableId (auch als source anchor bezeichnet) Wert in einem benutzerdefinierten Attribut gespeichert ist, geben Sie dieses Attribut im Feld Benutzerattribut ein.

Hinweis

Das Standardattribut ist objectGUID.
Klicken Sie auf Testverbindung, um zu überprüfen, ob alles korrekt konfiguriert ist.
Klicken Sie auf Zustimmung erteilen. Dies leitet Sie zur Microsoft-Anmeldeaufforderung weiter.
Ein Microsoft-Zustimmungsdialog wird angezeigt. Melden Sie sich mit Ihrem Entra ID Mandanten-Admin-Konto an, um der Anwendung Zugriff auf die Anmeldung und das Lesen des Benutzerprofils zu gewähren.

Hinweis

Durch das Akzeptieren der Berechtigungen gewähren Sie der App Zugriff auf die angegebenen Ressourcen für alle Benutzer in Ihrer Organisation.

Um die Berechtigungen zu akzeptieren, klicken Sie auf Akzeptieren. Wenn Sie auf Abbrechen klicken, werden Sie zum Specops Authentication Admin Portal weitergeleitet.
Klicken Sie auf Speichern.

Benutzerdefiniert

Verwenden Sie diese Option für eine detailliertere Kontrolle über die Integration. Um eine benutzerdefinierte Integration einzurichten, müssen Sie eine Clientanwendung im Mandanten der Organisation registrieren.

Detaillierte und aktuelle Anweisungen zur Registrierung einer neuen Anwendung finden Sie in Microsofts Dokumentation. Unten finden Sie eine verkürzte Version des Einrichtungsverfahrens.

Sobald Sie Ihre Anwendung registriert haben, sind die folgenden Informationen für die Konfiguration von Specops Authentication erforderlich:

Mandanten-ID (weitere Informationen, wo Sie Ihre Mandanten-ID finden)
Anwendungs-Client-ID (weitere Informationen, wo Sie Ihre Anwendungs-Client-ID finden)
Anwendungs-Client Secret (weitere Informationen zur Registrierung Ihres Anwendungs-Client-Secrets)

Eine App-Registrierung im Azure-Portal erstellen (Azure-Portal)

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Neue Registrierung.
Geben Sie einen Namen an, zum Beispiel "Microsoft MFA für Specops uReset".
Wählen Sie im Abschnitt Unterstützte Kontotypen eine Option aus (Standard ist "Konto in diesem organisatorischen Verzeichnis nur (Standardverzeichnis nur - Einzelmandant)).
Wählen Sie im Abschnitt Umleitungs-URI Web aus der Dropdown-Liste aus und geben Sie die URL aus den Specops Authentication Microsoft Identity Services-Einstellungen ein: https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback.
Klicken Sie auf Registrieren.
Kopieren Sie im Abschnitt App-Registrierungsübersicht Folgendes:
- Verzeichnis (Mandant) ID
- Anwendung (Client) ID

Die App-Registrierung konfigurieren

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen Tab > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls dieser gewählt wurde) > Authentifizierung.
Aktivieren Sie im Abschnitt Implizite Gewährung und hybride Flows ID-Token (verwendet für implizite und hybride Flows).
Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls dieser gewählt wurde) > Zertifikate & Secrets > Client-Secrets Tab.
Klicken Sie auf Neues Client-Secret.
Geben Sie eine Beschreibung an, zum Beispiel Microsoft MFA für Specops uReset Client-Secret.
Wählen Sie in der Dropdown-Liste Läuft ab die Zeit aus, zu der das Client-Secret abläuft, zum Beispiel 730 Tage (24 Monate).
Klicken Sie auf Hinzufügen.
Kopieren Sie den Wert des Client-Secrets.

Hinweis

Bei der ersten Verwendung muss ein Azure-Administrator möglicherweise die App-Registrierung genehmigen, bevor sie tatsächlich verwendet werden kann: siehe https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.

In Specops Authentication Web konfigurieren

Navigieren Sie zu Microsoft Entra ID in Specops Authentication und klicken Sie auf Verbindung.
Wählen Sie in der Dropdown-Liste Microsoft Entra ID-Verbindungsdetails Benutzerdefiniert aus.
Geben Sie die erforderlichen Werte ein für:
- Mandanten-ID
- Anwendungs-Client-ID
- Anwendungs-Client-Secret
Wählen Sie im Feld Azure-Instanz die Entra ID-Instanz aus, die Sie verwenden möchten: Global, US-Regierung oder China, je nach Ihren Anforderungen.
Kopieren Sie den Wert des Umleitungs-Uri. Gehen Sie in der Entra ID Mandantenanwendung zu Authentifizierung, klicken Sie dann auf Eine Plattform hinzufügen, wählen Sie Web und geben Sie die URI im Feld Benutzerdefinierte Umleitungs-URIs ein. Weitere Informationen finden Sie hier: Registrieren einer Anwendung in Microsoft Entra ID.
Klicken Sie auf Testverbindung, um zu überprüfen, ob alles korrekt konfiguriert ist.
Klicken Sie auf Speichern.