Aktivieren der kombinierten Registrierung von Sicherheitsinformationen in Microsoft Entra ID
Vor der kombinierten Registrierung registrierten Benutzer Authentifizierungsmethoden für die Multi-Faktor-Authentifizierung von Microsoft Entra und die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) getrennt voneinander. Benutzer waren verwirrt, dass ähnliche Methoden für Multi-Faktor-Authentifizierung und für SSPR von Microsoft Entra verwendet wurden, sie sich jedoch für beide Funktionen registrieren mussten. Mit der kombinierten Registrierung können sich Benutzer jetzt einmalig registrieren und die Vorteile von Multi-Faktor-Authentifizierung und SSPR von Microsoft Entra nutzen.
Machen Sie sich anhand der Konzepte der kombinierten Registrierung von Sicherheitsinformationen mit der Funktion und den Auswirkungen der neuen Umgebung vertraut.
Richtlinien für bedingten Zugriff für die kombinierte Registrierung
Mit Benutzeraktionen in der Richtlinie für bedingten Zugriff kann sichergestellt werden, wann und wie sich Benutzer für die Multi-Faktor-Authentifizierung von Microsoft Entra registrieren, und auch die Self-Service-Kennwortzurücksetzung ist möglich. Diese Funktionalität kann in Organisationen aktiviert werden, in denen sich Benutzer an einem zentralen Ort, z. B. einem vertrauenswürdigen Netzwerkspeicherort während des Onboardings von Personal, für Multi-Faktor-Authentifizierung und SSPR von Microsoft Entra registrieren sollen.
Hinweis
Diese Richtlinie gilt nur, wenn ein Benutzer auf eine kombinierte Registrierungsseite zugreift. Diese Richtlinie erzwingt keine MFA-Registrierung, wenn ein Benutzer auf andere Anwendungen zugreift.
Sie können eine MFA-Registrierungsrichtlinie mithilfe von Microsoft Entra ID-Schutz – MFA-Richtlinie konfigurieren erstellen.
Weitere Informationen zum Erstellen vertrauenswürdiger Speicherorte bei bedingtem Zugriff finden Sie unter Was ist die Standortbedingung beim bedingten Zugriff in Microsoft Entra?.
Erstellen einer Richtlinie zum Erzwingen der Registrierung von einem vertrauenswürdigen Standort
Führen Sie die folgenden Schritte aus, um eine Richtlinie zu erstellen, die für alle ausgewählten Benutzenden gilt, die versuchen, sich mit der kombinierten Registrierung zu registrieren, und erfordert, dass Benutzende, die mit einem nicht vertrauenswürdigen Netzwerk verbunden sind, MFA verwenden oder sich mit einem temporären Zugriffspass (TAP) anmelden, um sich für MFA zu registrieren oder ihr Kennwort mithilfe von SSPR zurückzusetzen:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für bedingten Zugriff an.
Browsen Sie zu Schutz>Bedingter Zugriff.
Wählen Sie + Neue Richtlinie aus.
Geben Sie einen Namen für diese Richtlinie ein, beispielsweise Kombinierte Registrierung von Sicherheitsinformationen in vertrauenswürdigen Netzwerken.
Wählen Sie unter Zuweisungen die Option Benutzer aus. Wählen Sie die Benutzer und Gruppen, für die diese Richtlinie gelten soll.
Warnung
Benutzer müssen für die kombinierte Registrierung aktiviert sein.
Wählen Sie unter Cloud-Apps oder -Aktionen die Option Alle Cloud-Apps aus. Aktivieren Sie Sicherheitsinformationen registrieren, und klicken Sie dann auf Fertig.
Konfigurieren Sie unter Bedingungen>Standorte die folgenden Optionen:
- Konfigurieren Sie Ja.
- Schließen Sie Alle Standorte ein.
- Schließen Sie Alle vertrauenswürdigen Standorte aus.
Wählen Sie unter Zugriffssteuerungen>Gewähren die Option Multi-Faktor-Authentifizierung erfordern und dann Auswählen aus.
Legen Sie Richtlinie aktivieren auf Ein fest.
Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.
Nächste Schritte
Wenn Sie Hilfe benötigen, finden Sie unter Problembehandlung für die kombinierte Registrierung von Sicherheitsinformationen sowie unter Was sind Standortbedingungen beim bedingten Zugriff in Microsoft Entra? weitere Informationen
Sehen Sie sich an, wie Sie in Ihrem Mandanten die Self-Service-Kennwortzurücksetzung aktivieren und Die Multi-Faktor-Authentifizierung in Microsoft Entra aktivieren können.
Informieren Sie sich bei Bedarf, wie Sie die erneute Registrierung von Authentifizierungsmethoden durch Benutzer erzwingen.