Konfiguriere 1Password Device Trust und Microsoft Entra ID

Mit 1Password Gerätevertrauen (Kolide) und Microsoft Entra ID kannst du sicherstellen, dass jedes Gerät bekannt, sicher und konform ist, bevor es Unternehmensanwendungen aufrufen kann. Außerdem kannst du deinem Team ermöglichen, mit von Schritt-für-Schritt-Anleitungen die Zustandsprobleme ihrer eigenen Geräte zu beheben.

Mit dieser Integration kannst du:

• Deine Nutzer und Gruppen von Microsoft Entra importieren.
• Schütze das 1Password Gerätevertrauen (Kolide) Admin-Dashboard mit Entra-Authentifizierung.
• Ermögliche deinen Nutzern, sich mit ihren Entra-Zugangsdaten bei von Kolide geschützten Apps anzumelden.

Before you begin

Bevor du 1Password Gerätevertrauen (Kolide) und Entra ID einrichten kannst, benötigst du:

• 1Password Gerätevertrauen
• Einen Microsoft Entra-Plan mit einer P1-Lizenz oder höher.
• Zugriffsberechtigungen in Entra ID für die folgenden Rollen:
  • Anwendungsadministrator
  • Authentifizierungsadministrator
  • Authentifizierungsrichtlinien-Administrator
  • Administrator für bedingten Zugriff
  • Gruppenadministrator

Die Implementierung von Kolide und Entra unterstützt Folgendes nicht vollständig:

• Gastbenutzer-Anmeldungen
• Mandanten-übergreifende Nutzer (erfordert, dass die Ansprüche der Multi-Faktor-Authentifizierung für Mandanten-übergreifende Nutzer vertrauenswürdig sind)
• Externe Authentifizierungsmethoden für Azure Government Cloud (beschränkt auf bestimmte Azure Gov-Instanzen)

Diese Schritte wurden im Februar 2024 aufgezeichnet und könnten sich seitdem geändert haben. Sieh dir die Microsoft Entra ID-Dokumentation  für die aktuellsten Schritte an.

Schritt 1: Konfiguriere die externe Authentifizierungsmethode

Schritt 1.1: Erstelle eine Kolide-fähige Gruppe in Entra ID zum Testen

Um die Implementierung zu testen und sicherzustellen, dass sie wie gewünscht funktioniert, erstelle zunächst eine Kolide-aktivierte Gruppe mit Testnutzern.

1. Öffne zwei Browserfenster nebeneinander. Melde dich in einem Fenster bei Kolide an.
2. Melde dich im zweiten Fenster bei Entra ID an.
3. Wähle in Entra ID Gruppen in der Seitenleiste und dann Neue Gruppe aus.
4. Fülle die Felder aus, einschließlich:
   • Gruppentyp: Wähle Sicherheit aus.
   • Gruppenname: Gib den Namen „Kolide Aktiviert“ ein.
   • Gruppenbeschreibung: Gib eine Beschreibung der Gruppe ein. Zum Beispiel: „1Password Gerätevertrauen (Kolide) Aktivierte Nutzer“.
   • Mitgliedschaftstyp: Wähle Zugewiesen.
   • Eigentümer: Wähle deine Gruppeneigentümer.
   • Mitglieder: Wähle deine Testnutzer.
5. Wähle Erstellen.

Schritt 1.2: Richte eine App-Registrierung und eine externe Authentifizierungsmethode für Kolide ein

Kopiere die Tenant-ID und füge sie ein

1. Suche in Entra ID nach der Mandanten-ID deines Unternehmens. Wähle das Microsoft Entra ID-Verzeichnis oben auf der Seite aus, wähle dann Übersicht in der Seitenleiste aus.
2. Kopiere die Mandanten-ID.
3. Wähle in Kolide dein Profil in der oberen rechten Ecke der Seite aus, wähle dann Einstellungen aus und wähle Identitätsanbieter in der Seitenleiste.
4. Wähle die Schaltfläche Einrichten für Microsoft Entra und wähle dann Authenticator einrichten aus.
5. Füge die Mandanten-ID, die du in Schritt 2 kopiert hast, in das Feld ein und wähle OIDC-Metadaten entdecken aus. Die Informationen werden in Kolide eingefügt.

Registriere die Anwendung in Entra ID

1. Wähle in Entra ID Verwalten > App-Registrierungen in der Seitenleiste aus.
2. Wähle Neue Registrierung aus.
3. Gib den Namen „Kolide Auth“ ein und wähle Web aus dem Dropdown „Plattform auswählen“ aus.
4. Kopiere in Kolide die Kolide Auth URI und füge sie in das Feld URI weiterleiten in Entra ID ein.
5. Wähle in Entra ID Registrieren aus, um die Anwendung zu erstellen.

URIs Anwendungsweiterleitungen hinzufügen

1. Nachdem du die Anwendung erfolgreich erstellt hast, wähle in Entra ID Verwalten > Authentifizierung in der Seitenleiste aus.
2. Kopiere in Kolide den Aussteller URI und füge ihn in das zweite Feld URIs weiterleiten in Entra ID ein.
3. Wähle URI hinzufügen erneut im Web-Abschnitt der Seite in Entra ID.
4. Kopiere in Kolide die Autorisierung-URL und füge sie in das dritte Feld URIs weiterleiten in der Entra-ID ein.
5. Wähle in Entra ID Speichern, unten auf der Seite, um die Anwendung zu aktualisieren.

Eine externe Authentifizierungsmethode in Entra ID hinzufügen

1. Wähle in Entra ID Übersicht in der Seitenleiste aus.
2. Kopiere im Abschnitt „Essentials“ die Anwendung-ID (Client).
3. Wähle Microsoft Entra ID Verzeichnis oben auf der Seite aus, wähle dann Sicherheit in der Seitenleiste aus.
4. Wähle „Verwalten“ in der Seitenleiste und wähle dann „Authentifizierungsmethoden“ aus.
5. Wähle Externe Methode hinzufügen und füge dann die Anwendung-ID (Client-ID), die du in Schritt 2 kopiert hast, in das Feld App-ID ein.
6. Gib einen Namen für die externe Authentifizierungsmethode ein, wie beispielsweise „1Password Gerätevertrauen (Kolide)“. Dieser Name kann später nicht geändert werden und es ist der Name, den dein Team sehen wird, wenn es eine Multi-Faktor-Authentifizierungsmethode wählt.
7. Kopiere in Kolide die Client ID und füge sie in das Feld Client ID in Entra ID ein.
8. Kopiere in Kolide die Discovery-URL und füge sie in das Feld Discovery Endpunkt in Entra ID ein.
9. Wähle in Entra ID Genehmigungsanfrage aus. Wenn die Berechtigungsanfrage erfolgreich war, wird die Meldung „Administratoreinwilligung erteilt“ angezeigt.

   Möglicherweise wirst du gebeten, dich erneut anzumelden und die Berechtigungsanfrage zu akzeptieren.

Ziele hinzufügen

1. Nachdem die Zustimmung des Administrators erteilt wurde, schalte Aktivieren im Abschnitt „Aktivieren und Ziel“ ein.
2. Wähle im Abschnitt Ziel hinzufügen „Aktivieren und Ziel“ aus, dann wähle Ziel hinzufügen aus und wähle Ziele auswählen im Dropdown-Menü.
3. Finde das Kontrollkästchen für die Gruppe „Kolide Aktiviert“ in der Liste und wähle es aus, dann wähle Auswählen unten auf der Seite aus.
4. Wähle Speichern unten auf der Seite aus.
5. Schließe die Benachrichtigung „Externe Authentifizierungsmethode wird gespeichert“ und wähle dann X in der oberen rechten Ecke der Einblendung „Authentifizierungsmethoden | Richtlinien“ aus, um es zu schließen.
6. Wähle in Kolide Einstellungen aktualisieren aus.

Schritt 2: SAML SSO für Kolide konfigurieren

Eine neue Unternehmensanwendung in Entra ID erstellen

1. Wähle in Entra ID Microsoft Entra ID Verzeichnis oben auf der Seite aus und wähle dann Verwalten > Unternehmensanwendungen in der Seitenleiste aus.
2. Wähle Neue Anwendung aus, wähle dann Deine eigene Anwendung erstellen aus.
3. Gib „Kolide SSO“ als Namen der App ein.
4. Wähle Alle anderen Anwendungen integrieren, die du nicht in der Galerie findest (Nicht-Galerie) und wähle dann Erstellen aus.

Zuweisen der Gruppe „Kolide Aktiviert“

1. Wähle in Entra ID Verwalten > Nutzer und Gruppen in der Seitenleiste aus.
2. Wähle Nutzer/Gruppe hinzufügen aus.
3. Wähle Keine ausgewählt.
4. Finde das Kontrollkästchen neben der Gruppe „Kolide Aktiviert“ und wähle es aus, wähle dann Auswählen, unten auf der Seite.
5. Wähle unten auf der Seite Zuweisen aus.

Single Sign-On hinzufügen

1. Wähle in Entra ID Verwalten > Single Sign-On in der Seitenleiste aus.
2. Wähle das Feld SAML aus, um Single Sign-On mit SAML einzurichten.

Füge die Entität-ID hinzu

1. Wähle in Entra ID Bearbeiten im Feld SAML-Basiskonfiguration aus.
2. Wähle im Abschnitt „Kennung“ (Entität-ID) Kennung hinzufügen aus.
3. Wähle in Kolide Single Sign-On-Anbieter einrichten.
4. Kopiere in Kolide die Kolide Entity ID und füge sie dann in das Feld Eine Kennung eingeben in Entra ID ein.
5. Wähle im Abschnitt „Kennung“ (Entität-ID) Kennung hinzufügen ein zweites Mal aus.
6. Füge die Kolide Entität-ID in das zweite Feld Eine Kennung eingeben in Entra ID ein.
7. Ändere im zweiten Feld Eine Kennung eingeben das Wort „App“ in der Kolide Entity-ID zu „Auth“. Ändere zum Beispiel https://app.kolide.com/…/metadata zu https://auth.kolide.com/…/metadata.

Füge die Antwort-URL hinzu

1. Wähle in Entra ID Antwort-URL hinzufügen im Abschnitt Antwort-URL (Assertion Consumer Service URL).
2. Kopiere in Kolide die Kolide ACS URL und füge sie in das Feld Eine Antwort-URL eingeben in Entra ID ein.
3. Wähle in Entra ID im Abschnitt Antwort-URL hinzufügen (Assertion Consumer Service URL) ein zweites Mal aus.
4. Füge die Kolide ACS URL in das zweite Feld Eine Antwort-URL eingeben in Entra ID ein.
5. Ändere im zweiten Feld Eine Antwort-URL eingeben das Wort „App“ in der Kolide ACS-URL zu „Auth“. Ändere zum Beispiel https://app.kolide.com/…/consume zu https://auth.kolide.com/…/consume.
6. Wähle in Entra ID Speichern oben auf der Seite aus, wähle dann X oben rechts aus, um die Einblendung „Grundlegende SAML-Konfiguration“ zu schließen.
7. Wähle Nein, ich teste später in der Benachrichtigung „Single Sign-On mit Kolide SSO testen“.

Konfiguriere Kolide SSO, um es mit Entra ID zu verknüpfen

1. Kopiere in Entra ID, unten auf der Seite im Feld „Kolide SSO einrichten“ die Anmeldung-URL. Füge sie in das Feld „Anbieter SSO URL“ in Kolide ein.
2. Wähle in Entra ID Herunterladen neben Zertifikat (Base64) im Feld SAML-Zertifikate .
3. Ziehe das Zertifikat und lege es ab oder kopiere den Inhalt und füge ihn in das Feld Anbieter X.509 Zertifikat in Kolide ein.
4. Wähle in Kolide Einstellungen speichern aus.

Schritt 3: SCIM-Bereitstellung für Kolide konfigurieren

Provisionierung einrichten

1. Wähle in Entra ID Bereitstellung in der Seitenleiste, wähle dann Deine Anwendung verbinden aus.
2. Gib deine Mandanten-URL ein (die URL deiner SCIM-Verbindung mit Kolide): https://app.kolide.com/scim/v2
3. Wähle in Kolide Nutzerbereitstellung einrichten.
4. Wähle in Kolide Bearer Token zur Authentifizierung generieren aus und kopiere das generierte Token.
5. Füge das Bearer Token in das Feld Geheimes Token in Entra ID ein.
   • Wir empfehlen dir, das Bearer Token in deinem 1Password-Konto zu speichern. Falls du dein Token jemals verlierst, kannst du es auf deiner Seite „SCIM-Bereitstellung“ im Abschnitt Identitätsanbieter in Kolide regenerieren.
6. Wähle Testverbindung aus, dann wähle Erstellen aus und warte einen Moment, bis die Verbindung hergestellt ist.
7. Wähle in Kolide Ich habe das Token gespeichert, Einrichtung abschließen aus.

Attribute zuordnen

1. Wähle in Entra ID Attributzuordnung in der Seitenleiste aus.
2. Wähle Microsoft Entra ID-Nutzer bereitstellen aus.
3. Finde das emails[type eq "work"].Wert. Attribut in der Spalte customappsso und wähle Bearbeiten.
4. Ändere das Quellattribut von mail zu userPrincipalName.

   Wenn du ein anderes Quellattribut für Entra ID wählst, stelle sicher, dass du das Attribut customappsso Nutzername aktualisierst, um das gleiche Quellattribut zu verwenden.

5. Finde das Attribut externalID in der Spalte customappsso und wähle Bearbeiten.
6. Ändere das Quellattribut von mailNickname zu objectID.
7. Wähle Ok aus.
8. Wähle Speichern aus, wähle dann X oben rechts aus.
9. Wähle X in der oberen rechten Ecke der Attributzuordnung „Einblendung“ aus, um sie zu schließen, wähle dann X in der oberen rechten Ecke der Bereitstellung „Einblendung“ aus, um diese ebenfalls zu schließen.

Starte die Bereitstellung

1. Wähle in Entra ID Übersicht aus, wähle dann Bereitstellung starten.
2. Wähle in Kolide das Symbol „vertikale Auslassungspunkte aus, dann wähle Als Primär festlegen.

Optional kannst du die Bereitstellung nach Bedarf durchführen. Entra ID führt alle 40 Minuten vollständige Bereitstellungszyklen durch. So umgehst du den vollständigen Zyklus:

1. Wähle Bereitstellung auf Abruf aus.
2. Finde die Gruppe „Kolide Aktiviert“ und wähle sie aus.
3. Wähle Alle Nutzer anzeigen aus.
4. Wähle die Nutzer, die du auf Abruf bereitstellen möchtest.

Schritt 4: Erstelle eine Richtlinie für bedingten Zugriff

1. Wähle in Entra ID oben auf der Seite Microsoft Entra ID Verzeichnis aus, wähle dann Sicherheit > Bedingter Zugriff in der Seitenleiste aus.
2. Wähle Neue Richtlinie erstellen aus und gib dann „Kolide erfordern“ als Namen ein oder einen Namen, der deinen internen Benennungskonventionen entspricht.
3. Wähle im Abschnitt „Nutzer“ 0 Nutzer und Gruppen ausgewählt, wähle dann Nutzer und Gruppen auswählen und wähle das Kontrollkästchen neben Nutzer und Gruppen aus.
4. Finde deine Gruppe „Kolide Aktiviert“, wähle sie aus und wähle Auswählen.
5. Wähle im Abschnitt Zielressourcen Keine Zielressourcen ausgewählt aus, öffne dann die Dropdown-Liste Wähle aus, worauf diese Richtlinie angewendet wird und wähle Ressourcen (früher ‚Cloud-Apps‘) aus.
6. Wähle Apps auswählen, wähle dann unter Keine „Auswählen“ aus.
7. Finde und deine Kolide SSO-App, wähle sie aus und wähle Auswählen.
8. Wähle im Abschnitt „Erteilen“ 0 Steuerelemente ausgewählt aus, wähle dann das Kontrollkästchen neben Multi-Faktor-Authentifizierung erforderlich aus und wähle Auswählen.
9. Wähle im Abschnitt „Sitzung“ 0 Steuerelemente ausgewählt, wähle dann das Kontrollkästchen neben Anmeldung-Häufigkeit aus. Wähle Regelmäßige Neuauthentifizierung und gib „8“ ein und wähle das Dropdown-Menü aus und wähle Stunden. Dann wähle Auswählen.
10. Wähle im Abschnitt „Richtlinie aktivieren“ Ein aus.

    Dadurch wird sichergestellt, dass die Teammitglieder mit dem Schritt zur Verifizierung von Kolide-Gerätevertrauen aufgefordert werden.

11. Wähle Erstellen.

Das nächste Mal, wenn sich ein Nutzer deiner Gruppe „Kolide Aktiviert“ bei der SSO-kontrollierten Ressource anmeldet, prüft Kolide den Zustand seines Geräts, sofern er Kolide in seiner Multi-Faktor-Authentifizierungsaufforderung auswählt. Wenn der Nutzer die Gerätezustandsprüfungen besteht, die du in Kolide eingerichtet hast, kann er sich anmelden, ohne zusätzliche Schritte zu unternehmen. Wenn Nutzer eine Prüfung nicht bestehen, zeigt Kolide ihnen, wie sie das Problem lösen können. Nachdem der Nutzer die Probleme mit seinem Gerät behoben hat, wird Kolide eine sofortige erneute Prüfung durchführen, damit er sich anmelden kann.

Schritt 5: Teste die Kolide-Anmeldung

Um den Kolide-Anmeldevorgang aus der Sicht deines Teams zu testen:

1. Melde dich als Nutzer an, der zu deiner Gruppe „Kolide Aktiviert“ gehört.
2. Als optionalen Schritt kannst du den Kolide-Agent vorinstallieren, um das Hochladen des Agenten auf deine Geräte zu simulieren. Das ist optional, weil der Nutzer aufgefordert wird, den Agenten zu installieren, wenn er nicht vorhanden ist.
3. Wähle in Kolide Downloads in der Seitenleiste aus.
4. Lade das Installationsprogramm für dein Betriebssystem herunter und folge den Anweisungen auf dem Bildschirm bis zur Erfolgsmeldung.
5. In der Taskleiste siehst du ein Kolide-Symbol, das ungefähr 60 Sekunden lang angezeigt wird.
6. Öffne ein neues privates Browserfenster und wechsele zu https://app.kolide.com, oder wechsele zu einer anderen Anwendung, die in deiner neuen Richtlinie für bedingten Zugriff enthalten ist, um dich anzumelden.

   Ein privates Browserfenster stellt sicher, dass die vorhandene Sitzung nicht zwischengespeichert wird.

7. Melde dich mit deinen Microsoft-Zugangsdaten an und verwende deinen Nutzernamen und dein Passwort, ohne einen Microsoft Authenticator oder einen anderen Authentifizierungscode einzugeben. Wähle dann Ich kann meine Microsoft Authenticator App im Moment nicht verwenden.
8. Wähle Mit Kolide genehmigen, um zu Kolide weitergeleitet zu werden und zu validieren, dass der Kolide-Agent installiert ist.

Wenn der Agent auf dem Endnutzergerät vorinstalliert war, registriert er das Gerät. Wenn der Agent nicht installiert ist, wird der Nutzer aufgefordert, den Agenten herunterzuladen und zu installieren, bevor das neue Gerät registriert werden kann.

Um zu sehen, wie Kolide fehlgeschlagene Prüfungen verarbeitet, richte zunächst Gerätezustandsprüfungen für dein Team ein. Dann:

1. Wähle in Kolide die Registerkarte Geräte und wähle dein Gerät aus, um zu sehen, ob es fehlgeschlagene Prüfungen gibt.
2. Wähle Details zu einer Prüfung aus, die einfach zu beheben ist, wie Dateierweiterungen sind im Finder nicht sichtbar.
3. Wähle Aktionen > Prüfeinstellungen bearbeiten aus.
4. Wähle im Abschnitt Problemhebungsstrategie Konfigurieren aus.
5. Wähle Sofort blockieren und Speichern aus.
6. Öffne ein neues privates Browserfenster und wechsele zu https://app.kolide.com, oder jeder anderen Anwendung, die in deiner neuen Richtlinie für bedingten Zugriff enthalten ist.
7. Melde dich mit deinen Microsoft-Zugangsdaten an und verwende deinen Nutzernamen und dein Passwort. Verwende jedoch keinen Microsoft Authenticator- oder Software Authenticator-Code. Wähle dann Ich kann meine Microsoft Authenticator App im Moment nicht verwenden.
8. Wähle Mit Kolide genehmigen aus, um zu Kolide weitergeleitet zu werden. Du solltest von Kolide aufgrund der Prüfung, die du zuvor geändert hast, blockiert werden.
9. Wähle Dieses Problem beheben aus, daraufhin öffnet sich eine neue Tabelle, die dir zeigt, wie du das Problem beheben kannst.
10. Behebe das Problem, kehre dann zum Kolide-Fenster zurück und wähle aus Ich habe es behoben. Jetzt erneut prüfen.

    Kolide führt eine Echtzeitprüfung aus, um zu validieren, dass das Problem vor dem Abschluss des Anmeldevorgangs behoben wurde.

Wenn du den Anmeldevorgang mit zusätzlichen Nutzern testen möchtest, füge sie der Gruppe „Kolide Aktiviert“ hinzu. Wenn du bereit bist, Kolide in größerem Umfang einzuführen, füge der Gruppe alle Personen hinzu, die Kolide verwenden möchten. Alle, die zur Gruppe gehören, können den neuen Anmeldevorgang nutzen.

Erweiterte Einstellung: Stelle sicher, dass Nutzer Kolide nicht umgehen können

Um sicherzustellen, dass Nutzer Kolide nicht umgehen können, schließe die Gruppe „Kolide Aktiviert“ von Registrierungskampagnen und anderen Authentifizierungsmethoden aus.

Schließe deine Gruppe „Kolide Aktiviert“ von Registrierungskampagnen aus

1. Wähle in Entra ID Sicherheit in der Seitenleiste aus.
2. Wähle „Verwalten“ in der Seitenleiste und wähle dann „Authentifizierungsmethoden“ aus.
3. Wähle Verwalten > Registrierungskampagne in der Seitenleiste.
4. Wähle Bearbeiten neben den Einstellungen aus.
5. Wähle Nutzer und Gruppen hinzufügen aus.
6. Finde deine Gruppe „Kolide Aktiviert“ und wähle sie aus und wähle Auswählen unten auf der Seite.
7. Wähle Speichern neben den Einstellungen aus.

Schließe deine Kolide Enabled-Gruppe von anderen Authentifizierungsmethoden aus

Aktualisiere deine Richtlinien für Authentifizierungsmethoden, um die Gruppe „Kolide Aktiviert“ von anderen Authentifizierungsmethoden auszuschließen. Um zum Beispiel sicherzustellen, dass die Gruppe „Kolide Aktiviert“ Microsoft Authenticator nicht verwenden kann:

1. Wähle in Entra ID Richtlinien in der Seitenleiste aus.
2. Wähle Microsoft Authenticator im Abschnitt Authentifizierungsmethoden-Richtlinien aus.
3. Wähle Ausschließen aus, wähle dann Gruppen hinzufügen aus.
4. Finde deine Gruppe „Kolide Aktiviert“ und wähle sie aus und wähle Auswählen unten auf der Seite.
5. Wähle Ich bestätige aus, wähle dann Speichern aus.
6. Wiederhole diesen Vorgang mit allen anderen Authentifizierungsmethoden, von denen du nicht möchtest, dass die Gruppe sie verwendet.

Wenn du nach dem Ausschließen deiner Gruppe „Kolide aktiviert“ von Microsoft Authenticator einen Fehler siehst, folge diesen Schritten, um die anderen Authentifizierungsmethoden oder die Methoden für SSPR zu entfernen.

Entferne andere vorhandene Authentifizierungsmethoden

Du kannst andere vorhandene Authentifizierungsmethoden in Entra ID mit PowerShell entfernen oder indem du deinen Nutzern Anweisungen gibst, wie sie die Authentifizierungsmethoden selbst entfernen können.

So entfernst du die bestehenden zusätzlichen Authentifizierungsmethoden eines Benutzers in Entra ID:

1. Wähle in Entra ID Überwachen > Nutzerregistrierungsdetails in der Seitenleiste aus, während du dich noch im Abschnitt „Authentifizierungsmethoden“ befindest.
2. Finde und Namen des Nutzers und wähle ihn aus, dessen Authentifizierungsmethoden du entfernen möchtest.
3. Wähle Authentifizierungsmethoden in der Seitenleiste aus.
4. Wähle für die Standardanmeldemethode die Schaltfläche „Bearbeiten“ neben der Microsoft Authenticator-Benachrichtigung aus.
5. Wähle im Dropdown-Menü „Standard-Anmeldemethode auswählen SMS (primäres Mobiltelefon), wähle dann Speichern unten auf der Seite aus.
6. Wähle die vertikalen Auslassungspunkte für Microsoft Authenticator aus und wähle dann Löschen aus.
7. Wähle Ja für die Benachrichtigung „Möchtest du diesen Microsoft Authenticator wirklich löschen?“ aus.
8. Lösche die Authentifizierungsmethode „Telefonnummer“ und alle zusätzlichen Authentifizierungsmethoden, wie beispielsweise das „Software OATH-Token“.

Nachdem du die anderen Authentifizierungsmethoden gelöscht hast, ist die Standardanmeldemethode „Kein Standard“, wodurch Kolide zur Standardmethode wird.

Um die bestehenden zusätzlichen Authentifizierungsmethoden der Benutzer mit PowerShell zu entfernen:

1. Erhalte eine Liste der Nutzer in deiner Gruppe „Kolide Aktiviert“.
2. Parse die Liste der Nutzer mit PowerShell und entferne die zusätzlichen Authentifizierungsmethoden.

Um Nutzern zu ermöglichen, vorhandene zusätzliche Authentifizierungsmethoden selbst zu entfernen, gib ihnen die folgenden Anweisungen:

1. Wechsele zur Seite „Mein Konto“ für Microsoft: https://myaccount.microsoft.com/
   • Wenn du bereits bei einer Microsoft-Website angemeldet bist, wähle dein Avatar in der oberen rechten Ecke aus und wähle Konto anzeigen.
2. Wähle Sicherheitsinformationen in der Seitenleiste aus.
3. Wähle Löschen neben den Authentifizierungsmethoden außer der Passwortmethode aus.

Wenn du Self-Service-Passwortzurücksetzungen verwendest

Wenn dein Mandant Self-Service-Passwortzurücksetzungen (SSPR) verwendet, musst du die Anzahl der Faktoren für SSPR ändern oder zumindest die Methoden der verifizierten Telefonnummer und der Authentifizierungs-App für SSPR entfernen. Dadurch bleiben nur E-Mail-Adressen und Sicherheitsfragen als vertrauenswürdige Methoden zum Zurücksetzen des Passworts übrig.

Um die verifizierte Telefonnummer und die Authentifizierungs-App-Methoden zu entfernen:

1. Wähle in Entra ID Microsoft Entra ID Verzeichnis oben auf der Seite aus, wähle dann Verwalten > Passwort zurücksetzen in der Seitenleiste aus.
2. Wähle Verwalten > Authentifizierungsmethoden in der Seitenleiste aus.
3. Deaktiviere Mobile App-Benachrichtigung, Mobiler App-Code, Mobiltelefon und Bürotelefon.
4. Select Save.

Entfernen der administrativen Self-Service-Passwortzurücksetzung

1. Melde dich bei deinem Konto auf dem Microsoft Azure-Portal an.

2. Wähle das Cloud Shell-Symbol in der oberen rechten Ecke aus und stelle sicher, dass du PowerShell verwendest.

   • Wenn du keinen Zugriff auf die Azure Cloud Shell hast, musst du das Microsoft AD PowerShell-Modul auf deinem lokalen System installieren. Verbinde dich dann mit Entra mit dem Befehl Connect-AzAccount.

3. Führe den folgenden Befehl aus, um Autorisierungsrichtlinien zu lesen und zu ändern:

    Connect-MGGraph -Scopes " Policy.ReadWrite.Authorization "
   

4. Folge der Anweisungen-Ausgabe des Befehls, um deine PowerShell für Microsoft Graph zu autorisieren und Zustimmung zu erteilen.

5. Führe den folgenden Befehl aus, um die Autorisierungsrichtlinie in Microsoft Graph zu aktualisieren und die Möglichkeit für Nutzer zu entfernen, das SSPR zu verwenden:

    Update-MgPolicyAuthorizationPolicy -AllowedToUseSspr:$false
   

Das Ändern dauert etwa 60 Minuten, bis es wirksam wird. Du kannst im Entra-Portal auf der Passwort zurücksetzen | Administrator Richtlinie-Seite verifizieren, wann es wirksam geworden ist.

Get help

Falls du ein neues Bearer-Token generieren musst

Du kannst jederzeit ein neues Bearer Token für die SCIM-Bereitstellung generieren, indem du den Anweisungen in Schritt 3 folgst.

Falls du dich nicht mit SAML authentifizieren kannst

Nachdem du die Integration konfiguriert hast, erhältst du möglicherweise die Fehlermeldung Konnte dich nicht über SAML authentifizieren, wenn du versuchst, dich bei Kolide zu authentifizieren. Du musst du das SAML-Zertifikat, das du in Schritt 2 heruntergeladen hast, erneut in Entra ID herunterladen:

1. Wähle in Kolide dein Profil aus, wähle dann Einstellungen aus und wähle Identitätsanbieter in der Seitenleiste.
2. Wähle Microsoft Entra aus, wähle dann „Single Sign-On-Anbieter einrichten“.
3. Wähle in Entra ID Verwalten > Unternehmensanwendungen in der Seitenleiste aus.
4. Wähle deine Kolide-Anwendung in der Liste aus.
5. Wähle Verwalten > Single-Sign-On aus.
6. Wähle SAML, wähle dann im Feld SAML-Zertifikate neben „Zertifikat (Base64)“ Herunterladen aus.
7. Ziehe das Zertifikat und lege es ab oder kopiere den Inhalt und füge ihn in das Feld Anbieter X.509 Zertifikat in Kolide ein.
8. Wähle in Kolide Einstellungen speichern aus.

Wenn du das Kolide-Logo in deine Unternehmensanwendung hochladen möchtest

Wenn du das Kolide-Logo zu deiner App hinzufügen möchtest:

1. Wähle in Entra ID Verwalten > Unternehmensanwendungen in der Seitenleiste aus.
2. Wähle deine Kolide-Anwendung in der Liste aus.
3. Wähle Verwalten > Eigenschaften aus.
4. Lade das Kolide-Logo herunter.
5. Wähle Eine Datei auswählen und lade das Kolide-Logo hoch.
6. Select Save.

Glad to hear it! If you have anything you'd like to add, feel free to contact us.

Sorry to hear that. Please contact us if you'd like to provide more details.