Active-Directory-Tipp: So konfigurieren Sie Microsoft Authenticator für AD-basierte Aktionen
Microsoft Authenticator ist eine von Microsoft entwickelte Authentifizierungsmethode, die die Identität der Benutzer mit Hilfe eines zeitbasierten Einmalpassworts (TOTP, kurz für: time-based one-time-password) verifiziert. Für die Authentifizierung mit dieser Methode benötigen Anwender die „Microsoft Authenticator“-App, die einen 6-stelligen Code generiert, sobald Benutzer ihre Anmeldedaten in eine mit Microsoft Authenticator gesicherte Anwendung eingeben. Um ihre Identität zu bestätigen, öffnen Anwender die App und übertragen den Code in die Anmeldemaske der Anwendung.
Die Authentifizierung mit Microsoft Authenticator ist für Administratoren eine sichere Methode, die in Kombination mit weiteren Authentifizierungsfaktoren verwendet werden kann, um beispielsweise den Anmeldeprozess für Self-Service-Funktionen wie das Entsperren des eigenen AD-Kontos abzusichern.
In diesem Tipp zeigen wir Ihnen, wie Sie Microsoft Authenticator in ADSelfService Plus als Authentifizierungsmethode konfigurieren und anschließend für Active-Directory-basierte Aktionen verwenden können:
Multi-Faktor-Authentifizierung (MFA) in ADSelfService Plus
Die Self-Service-Passwort-Management-Lösung ADSelfService Plus bietet neben der Authentifizierung per Microsoft Authenticator viele weitere Methoden für die Multi-Faktor-Authentifizierung, darunter unter anderem Google Authenticator, YubiKey Authenticator, RSA SecurID oder QR-Code. ADSelfService Plus verwendet MFA zur Absicherung von:
- Windows-, macOS- und Linux-Anmeldungen
- Self-Service-Funktionen wie das Zurücksetzen von Passwörtern oder das Entsperren von Konten über das ADSelfService-Plus-Portal, über iOS- und Android-Mobilgeräte und den Anmeldebildschirm von Windows-/macOS-/Linux-Rechnern.
- Anmeldungen bei Cloud- und Unternehmensanwendungen über Single-Sign-On (SSO).
- AD-Self-Service-Funktionen wie die Aktualisierung der eigenen AD-Profilinformationen, Abonnementverwaltung von E-Mail-Gruppen und der Suche im Mitarbeiterverzeichnis über ADSelfService Plus.
Microsoft Authenticator als Teil der Multi-Faktor-Authentifizierung aktivieren
Sie können den Microsoft Authenticator mit wenigen Schritten als Authentifizierungsmethode in ADSelfService Plus konfigurieren:
- Melden Sie sich in ADSelfService Plus an und klicken Sie auf den Reiter Konfiguration.
- Gehen Sie zu Self-Service > Multifaktor-Authentisierung > Authenticators Setup.
- Wählen Sie in der Dropdown-Liste Richtlinie auswählen eine Richtlinie aus.
- Klicken Sie in der Liste auf Microsoft Authenticator und bestätigen Sie durch Klick auf Microsoft Authenticator aktivieren.
Hinweis:
Mit ADSelfService Plus können Sie OU- und gruppenbasierte Richtlinien erstellen. Um eine Richtlinie zu erstellen, gehen Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration > Neue Richtlinie hinzufügen. Klicken Sie auf Organisationseinheiten / Gruppen auswählen, und treffen Sie Ihre Wahl. Sie müssen mindestens eine Self-Service-Funktion auswählen. Klicken Sie abschließend auf Richtlinie speichern. Nur Benutzer, die zu den in der Richtlinie enthaltenen OUs / Gruppen gehören, können die ausgewählte(n) Self-Service-Funktion(en) ausführen.
Microsoft Authenticator für Password Resets aktivieren
So aktivieren Sie Microsoft Authenticator für des Zurücksetzen von Active-Directory-Passwörtern:
- Gehen Sie zu Konfiguration > Self-Service > Multifaktor-Authentisierung. Wählen Sie die Richtlinie aus, deren Einstellungen Sie ändern wollen und klicken Sie auf den Reiter MFA für Reset/Unlock.
- Geben Sie die Anzahl der zu erfüllenden Authentifizierungsfaktoren ein und wählen Sie Microsoft Authenticator (und ggf. weitere Authentifizierungsmethoden) aus.
- Klicken Sie auf Einstellungen speichern.
Aktivieren von Microsoft Authenticator für Active-Directory-Domänenanmeldungen
Um Microsoft Authenticator als Authentifizierungsmethode für Anmeldungen bei AD-Domänen zu aktivieren, gehen Sie folgendermaßen vor:
- Gehen Sie zu Konfiguration > Self-Service > Multifaktor-Authentisierung und wählen Sie den Reiter MFA für Endpoints aus.
- Wählen Sie eine Richtlinie aus dem Dropdown-Menü Richtlinie auswählen. Dadurch wird festgelegt, welche Authentifizierungsmethoden für welche Benutzergruppen aktiviert werden.
- Aktivieren Sie im Abschnitt Endpunkt-MFA das Kontrollkästchen vor Aktivieren und wählen Sie Microsoft Authenticator aus der Dropdown-Liste aus.
- Klicken Sie auf Einstellungen speichern.
Anmerkung:
Voraussetzungen für das Aktivieren einer MFA für Active-Directory-Domänenanmeldungen:
- Der ADSelfService Plus-Login-Agent muss auf den Client-Rechnern installiert sein. Auf der englischen Website des Herstellers finden Sie hier eine Anleitung zur Installation des Login-Agenten.
- SSL muss aktiviert sein: Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an. Gehen Sie zum Reiter Admin > Produkteinstellungen > Verbindung. Aktivieren Sie die Option ADSelfService Plus Port [https]. Klicken Sie auf Speichern.