Entra ID
Der Microsoft (Entra ID) Identitätsdienst ermöglicht es Specops Authentication, sich mit Microsoft Authentication Libraries zu integrieren. Das bedeutet, dass Microsoft Authenticator verwendet werden kann, um sich bei Specops Authentication ohne Passwort zu authentifizieren. Weitere Informationen zur passwortlosen Anmeldung finden Sie hier. Bitte beachten Sie, dass dieser Identitätsdienst zwar Entra ID (früher bekannt als Azure AD) nutzt, in der GUI jedoch als Microsoft bezeichnet wird.
Konfiguration von Microsoft (Entra ID)
Bevor Sie Specops Authentication so konfigurieren können, dass es mit Microsoft (Entra ID) funktioniert, müssen Sie eine Clientanwendung in Microsoft Entra ID registrieren. Detaillierte und aktuelle Anweisungen zur Registrierung einer neuen Anwendung finden Sie in Microsofts Dokumentation. Unten finden Sie eine verkürzte Version des Einrichtungsverfahrens.
Beachten Sie, dass nach der Registrierung Ihrer Anwendung die folgenden Informationen zur Konfiguration von Specops Authentication erforderlich sind:
- Tenant ID (weitere Informationen, wo Sie Ihre Tenant ID finden)
- Application Client ID (weitere Informationen, wo Sie Ihre Application Client ID finden)
- Application Client Secret (weitere Informationen zur Registrierung Ihres Application Client Secret)
Erstellen einer App-Registrierung im Azure-Portal (Azure-Portal)
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Neue Registrierung.
- Geben Sie einen Namen an, zum Beispiel "Microsoft MFA für Specops uReset".
- Wählen Sie im Abschnitt Unterstützte Kontotypen eine Option aus (Standard ist "Konto in diesem Organisationsverzeichnis nur (Standardverzeichnis nur - Einzelmandant)).
- Wählen Sie im Abschnitt Umleitungs-URI Web aus der Dropdown-Liste aus und geben Sie die URL aus den Specops Authentication Microsoft Identity Services-Einstellungen ein:
https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback. - Klicken Sie auf Registrieren.
- Kopieren Sie im Abschnitt Übersicht der App-Registrierung Folgendes:
- Verzeichnis (Mandanten) ID
- Anwendungs (Client) ID
Konfigurieren der App-Registrierung
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen Tab > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls dieser gewählt wurde) > Authentifizierung.
- Aktivieren Sie im Abschnitt Implizite Gewährung und hybride Flows ID-Token (verwendet für implizite und hybride Flows).
- Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > Microsoft MFA für Specops uReset (oder ein anderer App-Registrierungsname, falls dieser gewählt wurde) > Zertifikate & Geheimnisse > Clientgeheimnisse Tab.
- Klicken Sie auf Neues Clientgeheimnis.
- Geben Sie eine Beschreibung an, zum Beispiel Microsoft MFA für Specops uReset Client Secret.
- Wählen Sie in der Dropdown-Liste Ablauf die Zeit aus, zu der das Clientgeheimnis abläuft, zum Beispiel 730 Tage (24 Monate).
- Klicken Sie auf Hinzufügen.
- Kopieren Sie den Wert des Clientgeheimnisses.
Überprüfen der Microsoft Authenticator-Einstellungen
- Gehen Sie zu Microsoft Entra Authentifizierungsmethoden.
- Gehen Sie im linken Bereich zum Abschnitt Richtlinien und wählen Sie dann Microsoft Authenticator.
- Im Tab Aktivieren und Ziel darf Ziel "Alle Benutzer" Authentifizierungsmodus nicht auf Push in der Dropdown-Liste gesetzt sein (wenn auf Push gesetzt, würde dies die passwortlose Authentifizierung deaktivieren).
Hinweis
Bei der ersten Verwendung muss ein Azure-Administrator möglicherweise die App-Registrierung genehmigen, bevor sie tatsächlich verwendet werden kann: siehe https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.
Konfigurieren von Specops Authentication Web
- Gehen Sie zu Identity Services und klicken Sie auf Microsoft.
- Wählen Sie im Feld Azure-Instanz die Entra ID-Instanz aus, die Sie verwenden möchten: Global, US Government oder China, je nach Ihren Anforderungen.
- Geben Sie Ihre Entra ID Tenant ID ein
- Geben Sie Ihre Application Client ID ein
- Geben Sie Ihr Application Client Secret ein
- Geben Sie den Umleitungs-URI in Ihrer Entra ID-Anwendung ein. (In der Anwendung gehen Sie zu Authentifizierung, klicken Sie dann auf Plattform hinzufügen, wählen Sie Web und geben Sie den URI im Feld Benutzerdefinierte Umleitungs-URIs ein. Weitere Informationen finden Sie hier: Registrieren einer Anwendung in Microsoft Entra ID.
-
Wenn der Entra ID ImmutableId (auch als source anchor bezeichnet) Wert in einem benutzerdefinierten Attribut gespeichert ist, geben Sie dieses Attribut im Feld Benutzerattribut ein.
Hinweis
Das Standardattribut ist objectGUID.
-
Klicken Sie auf Verbindung testen, um zu überprüfen, ob alles korrekt konfiguriert ist.
- Klicken Sie auf Speichern
Einrichtung der passwortlosen Authentifizierung
Um die passwortlose Telefonanmeldemethode zu aktivieren, ist eine Konfiguration sowohl durch Administratoren als auch durch einzelne Benutzer erforderlich.
Konfiguration für Administratoren
Hinweis
Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.
- Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Authentifizierungsrichtlinien-Administrator an.
- Navigieren Sie zu Schutz > Authentifizierungsmethoden > Richtlinien.
- Wählen Sie unter Microsoft Authenticator die folgenden Optionen:
- Aktivieren: Ja oder Nein
- Ziel: Alle Benutzer oder Benutzer auswählen
- Jede hinzugefügte Gruppe oder Benutzer ist standardmäßig aktiviert, um Microsoft Authenticator sowohl im passwortlosen als auch im Push-Benachrichtigungsmodus ("Jeder" Modus) zu verwenden. Um den Modus zu ändern, wählen Sie für jede Zeile für Authentifizierungsmodus - wählen Sie Jeder oder Passwortlos. Die Auswahl von Push verhindert die Verwendung des passwortlosen Telefonanmeldeanmeldedatensatzes.
- Um die neue Richtlinie anzuwenden, klicken Sie auf Speichern.
Konfiguration für Benutzer
Hinweis
Für die aktuellsten Informationen zur Konfiguration der passwortlosen Authentifizierung besuchen Sie bitte die Microsoft-Supportseiten hier.
Um die Microsoft Authenticator-App zu registrieren, führen Sie die folgenden Schritte aus:
- Navigieren Sie zu https://aka.ms/mysecurityinfo.
- Melden Sie sich an und wählen Sie dann Methode hinzufügen > Authenticator-App > Hinzufügen, um Microsoft Authenticator hinzuzufügen.
- Befolgen Sie die Anweisungen, um die Microsoft Authenticator-App auf Ihrem Gerät zu installieren und zu konfigurieren.
- Wählen Sie Fertig, um die Konfiguration von Microsoft Authenticator abzuschließen.
Telefonanmeldung aktivieren
Nachdem sich Benutzer für die Microsoft Authenticator-App registriert haben, müssen sie die Telefonanmeldung aktivieren:
- Wählen Sie in Microsoft Authenticator das registrierte Konto aus.
- Wählen Sie Telefonanmeldung aktivieren.
- Befolgen Sie die Anweisungen in der App, um die Registrierung des Kontos für die passwortlose Telefonanmeldung abzuschließen.
Hinweis
Für die Secure Service Desk-Verifizierung, da Benutzer Ja oder Nein auf die Angemeldet bleiben-Aufforderung nach der Anmeldung über Microsoft 365 antworten müssen, damit der Verifizierungsprozess vollständig abgeschlossen wird, sollten Administratoren in Betracht ziehen, die Angemeldet bleiben-Aufforderung in Azure zu deaktivieren.