So aktivieren Sie die Multi-Faktor-Authentifizierung für alle Benutzer in Microsoft 365 mithilfe des bedingten Zugriffs
Die Einrichtung der Multi-Faktor-Authentifizierung (MFA) in Microsoft 365 kann anfangs etwas komplex erscheinen – insbesondere, wenn Sie befürchten, sich selbst auszusperren oder Fehlkonfigurationen vorzunehmen. Die gute Nachricht: Mit Richtlinien für bedingten Zugriff ist die Einrichtung recht einfach und eine zuverlässige Methode, die Sicherheit unkompliziert zu erhöhen. Nach der Einrichtung muss sich jeder Benutzer beim Anmelden mit einem zweiten Faktor authentifizieren, was Kontoübernahmen deutlich reduziert. Ein kleiner Hinweis: Da manche Konfigurationen unerwartet reagieren können, empfiehlt es sich, vor der endgültigen Aktivierung zunächst im Modus „Nur Bericht“ zu testen. So sehen Sie, wer betroffen ist, und können gegebenenfalls Anpassungen vornehmen.
So erzwingen Sie die Multi-Faktor-Authentifizierung für alle Benutzer in Microsoft 365 mithilfe einer Richtlinie für bedingten Zugriff.
Anforderungen:
- Microsoft Entra ID-Administratorberechtigungen.(Dies ist die Administratorrolle, mit der Sie Richtlinien für bedingten Zugriff erstellen und verwalten können.)
- Ein Abonnement von Microsoft 365 Business Premium oder höher ist erforderlich – ja, das ist für die Funktionen des bedingten Zugriffs notwendig.
Im Grunde genommen geht es bei diesem Prozess darum, im Microsoft Entra Admin Center eine neue Richtlinie zu erstellen und sicherzustellen, dass alle Benutzer außer den Administratoren die Multi-Faktor-Authentifizierung (MFA) aktivieren, bevor sie Zugriff auf sensible Daten erhalten. Klingt einfach, aber der Teufel steckt im Detail, insbesondere darin, sich nicht selbst auszusperren.
So richten Sie die MFA-Durchsetzungsrichtlinie ein
Navigieren Sie zum Admin Center und erstellen Sie eine neue Richtlinie.
- Öffnen Sie Ihren Browser und rufen Sie das Microsoft Entra Admin Center auf. Hier findet die ganze Magie statt.
- Klicken Sie auf Sicherheit und gehen Sie dann zu Bedingter Zugriff. Klicken Sie dort auf Richtlinie erstellen.
Benennen Sie Ihre Richtlinie und legen Sie den Geltungsbereich fest.
- Geben Sie der Funktion einen eindeutigen Namen – etwas wie „Multi-Faktor-Authentifizierung für alle Benutzer erforderlich“ erleichtert zukünftige Prüfungen.
- Klicken Sie unter „Benutzer oder Gruppen (Vorschau)“ auf „Einschließen“ und wählen Sie „Alle Benutzer“. Diese Richtlinie soll für alle gelten, aber vergessen Sie nicht, Ihre Administratorkonten auszuschließen!
- Wählen Sie im Tab „Ausschließen“ die Option „Benutzer und Gruppen“ und anschließend Ihre Microsoft 365-Administratorkonten aus, insbesondere die für den Notfallzugriff verwendeten Konten (die sogenannten „Break Glass“-Konten).Dadurch vermeiden Sie, sich selbst auszusperren, falls die Multi-Faktor-Authentifizierung (MFA) nicht funktioniert.
Die richtigen Apps anvisieren und die MFA-Anforderung durchsetzen
- Gehen Sie zu Cloud-Apps oder -Aktionen und wählen Sie „Alle Cloud-Apps“, um sicherzustellen, dass alles abgedeckt ist, was Ihnen wichtig ist.
- Wählen Sie unter „Zugriff gewähren“ die Option „Zugriff gewähren“ und aktivieren Sie anschließend „Multi-Faktor-Authentifizierung erforderlich“. Klicken Sie danach auf „Auswählen“. Dies ist der entscheidende Schritt zur Aktivierung der Multi-Faktor-Authentifizierung.
Richtlinie aktivieren und testen
- Aktivieren Sie die Option „Richtlinie aktivieren“ . Oder, falls Sie vorsichtig sein möchten, wählen Sie „Nur Bericht“, um zu sehen, wen die Richtlinie betrifft, ohne sofort alle Benutzer auszusperren.
- Nach dem Speichern sollten Sie nach Möglichkeit einige Tage warten und dann die Auswirkungen unter „Richtlinienauswirkungen anzeigen“ überprüfen. Dort sehen Sie, für welche Benutzer die Multi-Faktor-Authentifizierung erfolgreich aktiviert wurde und für welche sie möglicherweise fehlgeschlagen ist oder übersprungen wurde – hilfreich für die Feinabstimmung.
Letzter Tipp
Manchmal funktionieren die MFA-Abfragen auf bestimmten Rechnern oder Browsern nicht zuverlässig. Warum es mal funktioniert und mal nicht, ist unklar.Überprüfen Sie daher Ihre MFA-Methoden und Registrierungslinks unter „ Meine Anmeldungen & Sicherheitsinformationen“. Falls Benutzer ausgesperrt werden oder die MFA nicht abschließen können, ist es wichtig, dass Administratoren für den Notfallzugriff separate Konten einrichten. Vergessen Sie nicht, die MFA für diese Konten nach dem Abklingen der Probleme wieder zu deaktivieren.
Zusammenfassung
Die Einführung von MFA über bedingten Zugriff ist eine der Sicherheitsverbesserungen, die sich wirklich lohnen. Sie errichtet eine Barriere, die für Angreifer deutlich schwerer zu überwinden ist, insbesondere wenn sie sich nur auf gestohlene Passwörter verlassen. Solange Administratorkonten geschützt sind und zuvor sorgfältige Tests durchgeführt werden, ist der Aufwand gering – nur etwas beunruhigend, wenn man befürchtet, Benutzer auszusperren.
Hoffentlich hilft das jemandem, den Albtraum von Sicherheitslücken oder Administratoraussperrungen zu vermeiden. Manchmal geht es einfach darum, sich die Zeit zu nehmen, alles richtig einzurichten – danach ist die Ruhe und Sicherheit ein wahrer Genuss.
Zusammenfassung
Die Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für alle Benutzer mithilfe einer Richtlinie für bedingten Zugriff ist ein wichtiger Schritt zur Absicherung Ihrer Microsoft 365-Umgebung. Der Prozess mag zunächst etwas komplex erscheinen, doch sobald Sie die einzelnen Schritte und die Bedeutung von Ausnahmen und Testmodi verstanden haben, wird er einfacher. Wir können nicht garantieren, dass jede Einrichtung beim ersten Versuch perfekt funktioniert, aber mit etwas Geduld wird dies Ihre Sicherheitslage deutlich verbessern.
Zusammenfassung
- Verwenden Sie das Microsoft Entra Admin Center, um eine neue Richtlinie für bedingten Zugriff zu erstellen.
- Alle Benutzerkonten einbeziehen, Administratorkonten jedoch ausschließen, insbesondere solche, die zur Wiederherstellung verwendet werden.
- Alle Cloud-Anwendungen anvisieren und MFA für den Zugriff vorschreiben.
- Testen Sie das Gerät zunächst im Modus „Nur Bericht“, bevor Sie es vollständig aktivieren.
- Die Auswirkungen überwachen und gegebenenfalls Anpassungen vornehmen.
Ich hoffe, das vereinfacht die Einführung Ihrer Multi-Faktor-Authentifizierung. Es hat sich in verschiedenen Umgebungen bewährt und hilft hoffentlich, zukünftige Sicherheitslücken zu vermeiden.