Konfigurieren Sie die Office 365-Authentifizierung mit PowerShell

Zwecke. Wir haben bereits erläutert, was die Office 365-Multifaktorauthentifizierung ist und wie sie in Office 365-Mandanten mit dem Office 365-Verwaltungscenter konfiguriert wird, und wir haben kurz die Endbenutzererfahrung gezeigt. Nun werden wir uns ansehen, wie wir das Azure Active Directory-Modul für Windows PowerShell verwenden können, um die Office 365-Authentifizierung mit MFA zu konfigurieren.

Mit dem Azure Active Directory-Modul für Windows PowerShell (AADMPS) können Unternehmen nicht nur MFA für vorhandene Endbenutzer konfigurieren, die PowerShell verwenden, sondern auch ihren aktuellen Bereitstellungsprozess mit MFA-Optionen erweitern. Durch die Vorkonfiguration von MFA können Administratoren verhindern, dass Endbenutzer den anfänglichen MFA-Einrichtungsprozess durchlaufen und ihre aktuell konfigurierte Mobiltelefon- oder Büronummer zur Überprüfung verwenden müssen.

Sie müssen AADMPS herunterladen und installieren, bevor Sie es und seine PowerShell-Cmdlets verwenden können. Das Modul ist verfügbar für x64, aber es gibt auch eine x86-Version.

Nach der Installation wird eine zusätzliche Verknüpfung aufgerufen Windows Azure Active Directory-Modul für Windows PowerShell. Dadurch wird eine PowerShell-Sitzung mit geladenem Modul gestartet. Sie können das Modul auch in eine vorhandene PowerShell-Sitzung mit importieren Import-Module MSOnline.

Der nächste Schritt ist die Verbindung zu Ihrem Büro 365 Mieter mit Connect-MsolServiceGeben Sie gültige Administratoranmeldeinformationen an.

Konfigurieren Sie die Office 365-Multifaktorauthentifizierung

Um die Office 365-Authentifizierung für MFA zu konfigurieren, müssen Sie ein starkes Authentifizierungsobjekt definieren:

$st= New-Object Microsoft.Online.Administration.StrongAuthenticationRequirement
$st.RelyingParty= '*'

Aktivieren Sie anschließend MFA für einen Endbenutzer mit dem Name des Benutzerprinzips [email protected] ist so einfach wie:

Set-MsolUser –UserPrincipalName [email protected] –StrongAuthenticationRequirements @($st)

Verwenden Sie dieses Cmdlet, um MFA zu deaktivieren:

Set-MsolUser –UserPrincipalName [email protected]
–StrongAuthenticationRequirements @()

Dadurch wird nur die Office 365-Multifaktorauthentifizierung für diese Endbenutzer aktiviert, und sie müssen beim Anmelden den MFA-Einrichtungsprozess durchlaufen. Administratoren können MFA auch für bestimmte Kontaktmethoden vorkonfigurieren. In diesen Fällen müssen die vorherigen Cmdlets wie folgt erweitert werden:

$st= New-Object
Microsoft.Online.Administration.StrongAuthenticationRequirement
$st.RelyingParty= '*'
$st.State="Enforced"
In addition, we need to specify at least one strong authentication method object:
$m1 = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$m1.IsDefault = $true
$m1.MethodType = "OneWaySMS"

Dies sind einige der möglichen Optionen für MethodType::

  • OneWaySMS: Textcode zur Handynummer;
  • TwoWayVoiceMobile: Ruf mein Handy an;
  • TwoWayVoiceOffice: Rufen Sie mein Bürotelefon an.
  • TwoWayVoiceAlternateMobile: Rufen Sie eine alternative Mobiltelefonnummer an.
  • PhoneAppOTP: Zeigen Sie ein Einmalkennwort (OTP) in der Anwendung an. zum Beispiel eine sechsstellige Nummer;
  • PhoneAppNotification: Benachrichtigen Sie mich über eine App mithilfe der In-App-Überprüfung.

Sie werden feststellen, dass Endbenutzer konfigurieren PhoneAppNotification, sie werden auch die haben PhoneAppOTP Standardmäßig konfigurierte Methode sowie Fallback für Situationen, in denen keine Datenabdeckung vorhanden ist. Das OneWaySMS, TwoWayVoiceMobile Die Methoden TwoWayVoiceOffice verwenden die aktuell konfigurierten Attribute für Mobiltelefone oder Bürotelefonnummern.

$m2 = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$m2.IsDefault = $true
$m2.MethodType = "TwoWayVoiceMobile"

Um Endbenutzer für die Office 365-Authentifizierung mit MFA mithilfe dieser beiden Kontaktmethoden zu aktivieren, konfigurieren wir das Benutzerobjekt wie folgt:

Set-MsolUser–UserPrincipalName [email protected]
–StrongAuthenticationRequirements @($sta) –StrongAuthenticationMethods @($m1, $m2)

Im Laufe der Zeit möchten Administratoren möglicherweise MFA-fähige Endbenutzer und die von ihnen konfigurierten Kontaktmethoden anzeigen. MFA-fähige Endbenutzer haben ihre StrongAuthenticationRequirements Attribut konfiguriert. Wenn sie ihre MFA-Methode konfiguriert haben, wird die StrongAuthenticationMethods Attribut enthält die konfigurierte Methode. Mit diesem Wissen können wir ein Cmdlet erstellen, um eine Liste der MFA-fähigen Benutzer und der konfigurierten Methoden abzurufen (Abbildung 1):

Get-MsOlUser | Where {$_.StrongAuthenticationRequirements} | Select
UserPrincipalName, @{n="MFA"; e={$_.StrongAuthenticationRequirements.State}}, @{n="Methods";
e={($_.StrongAuthenticationMethods).MethodType}}
Cmdlets für Office 365 MFA
Abbildung 1

MFA-fähige Administratoren haben nur Browser-Zugriff. Eine der wichtigen Anwendungen, die MFA noch nicht unterstützen, ist das PowerShell-Modul. Die native Unterstützung ist jedoch für Ende 2014 geplant. Bis zu diesem Zeitpunkt müssen MFA-fähige Administratoren das Office 365-Verwaltungscenter nur für reguläre Verwaltungsaufgaben verwenden. Um PowerShell-Cmdlets oder -Skripts in ihrem Mandanten auszuführen, sollten Administratoren ein Spezialkonto mit einem sicheren Kennwort erstellen und verwenden, sodass MFA deaktiviert bleibt.
Über den Autor:
Michel de Rooij ist ein Berater und Exchange MVP aus den Niederlanden. Michel begann ursprünglich 1994 als Entwickler, wechselte jedoch schnell zu infrastrukturbezogenen Projekten und konzentrierte sich 2004 auf Exchange, wobei er eine Reihe von Bereichen abdeckte, darunter Migrationen, Übergänge, Konsolidierung und Entflechtung. Neben Exchange sind Michel auch PowerShell, Active Directory, Lync und Messaging im Allgemeinen von Interesse. Michel ist Mitwirkender am Podcast von The UC Architects theucarchitects.com und Blogs über Exchange und verwandte Themen unter Eightwone.com.

Similar Posts

Leave a Reply