7.3 Authentifizierung — MFA, Entra ID und Sicherheit

7.3 Authentifizierung — MFA, Entra ID und Sicherheit

Schützen Sie Ihr UDM-System mit Zwei-Faktor-Authentifizierung (TOTP), Microsoft Entra ID und erhöhten Passwortrichtlinien — konform zu KRITIS/NIS2.

1

Überblick

UDM bietet drei Anmeldewege, die einzeln oder kombiniert genutzt werden können:

  • Lokale Anmeldung — Benutzername und Passwort, optional mit TOTP-basierter Zwei-Faktor-Authentifizierung (2FA)
  • Microsoft Entra ID — Single Sign-On über Microsoft 365 mit integrierter MFA über Conditional Access
  • Windows-Authentifizierung — Automatische Anmeldung über das Domänenkonto (Intranet)

Zusätzlich schützen konfigurierbare Passwortrichtlinien vor zu schwachen Passwörtern. Alle Sicherheitseinstellungen werden zentral in den Systemeinstellungen konfiguriert.

Unser Beispiel für diese Anleitung
MFA für alle Benutzer aktivieren

Sie möchten die Zwei-Faktor-Authentifizierung für alle lokalen Benutzer verpflichtend machen und zusätzlich Microsoft Entra ID als alternativen Anmeldeweg einrichten. Bestehende Benutzer sollen eine Übergangsfrist erhalten, um ihre Authenticator-App einzurichten.

2

Schritt 1: MFA-Modus in den Systemeinstellungen festlegen

Die Authentifizierungs-Einstellungen werden zentral in den Systemeinstellungen des Admin-Clients konfiguriert (Bereich „Authentifizierung & Sicherheit“). Änderungen sind sofort wirksam — ohne Neustart.

Einstellung Beschreibung
TwoFactorMode Disabled — 2FA ist deaktiviert (Standard)
Optional — Benutzer können 2FA freiwillig aktivieren
Required — 2FA ist für alle lokalen Benutzer Pflicht
PasswordMinLength Minimale Passwortlänge (Standard: 8 Zeichen)
PasswordRequireUppercase Großbuchstabe erforderlich (Standard: ja)
PasswordRequireLowercase Kleinbuchstabe erforderlich (Standard: ja)
PasswordRequireDigit Ziffer erforderlich (Standard: ja)
PasswordRequireSpecialChar Sonderzeichen erforderlich (Standard: nein)
KRITIS/NIS2-Empfehlung Für KRITIS-relevante Systeme empfiehlt das BSI mindestens 12 Zeichen mit Groß-/Kleinbuchstaben und Ziffern. Setzen Sie TwoFactorMode auf Required und PasswordMinLength auf mindestens 12.

In unserem Beispiel: Wir setzen TwoFactorMode auf Optional, damit Benutzer ihre Authenticator-App einrichten können. Nach einer Übergangsfrist ändern wir den Modus auf Required.

Zwei Konfigurationsorte Passwort-Policy und 2FA-Modus werden in den Systemeinstellungen (Datenbank) konfiguriert — zentral, sofort wirksam, ohne Neustart. Entra ID-Einstellungen stehen hingegen in der appsettings.json auf dem Server, da sie beim Start für die Anmeldungs-Middleware benötigt werden.
AdminClient → Systemeinstellungen → Authentifizierung & Sicherheit
Zwei-Faktor-Authentifizierung
TwoFactorMode
Optional
PasswordMinLength
12
PasswordRequireUppercase
aktiv
PasswordRequireLowercase
aktiv
PasswordRequireDigit
aktiv
PasswordRequireSpecialChar
aus
3

Schritt 2: TOTP-Authenticator einrichten (Benutzersicht)

Sobald der MFA-Modus auf Optional oder Required steht, erscheint in der Seitenleiste der UDM-Anwendung ein neuer Menüpunkt 🛡 Zwei-Faktor-Authentifizierung. Dort kann jeder Benutzer seine Authenticator-App selbstständig einrichten.

  1. 2FA-Dialog öffnen

    Klicken Sie in der Seitenleiste auf das Schild-Symbol „Zwei-Faktor-Authentifizierung“. Der Einrichtungsdialog öffnet sich.

  2. Einrichtung starten

    Klicken Sie auf „2FA einrichten“. UDM generiert einen geheimen Schlüssel und zeigt einen QR-Code sowie den manuellen Schlüssel an.

  3. QR-Code scannen

    Öffnen Sie Ihre Authenticator-App (z. B. Microsoft Authenticator, Google Authenticator, Authy) und scannen Sie den QR-Code. Alternativ geben Sie den angezeigten Schlüssel manuell ein.

  4. Bestätigungscode eingeben

    Geben Sie den 6-stelligen Code aus Ihrer Authenticator-App ein und klicken Sie auf „Bestätigen“. Damit wird sichergestellt, dass die App korrekt eingerichtet ist.

  5. Recovery Codes sichern

    Nach erfolgreicher Bestätigung zeigt UDM 10 einmalige Recovery Codes an. Speichern Sie diese an einem sicheren Ort (z. B. Passwortmanager). Jeder Code kann nur einmal verwendet werden, falls Sie keinen Zugriff auf Ihre Authenticator-App haben.

Achtung: Recovery Codes sichern! Die Recovery Codes werden nur einmalig angezeigt. Wenn Sie diese verlieren und keinen Zugriff auf Ihre Authenticator-App haben, müssen Sie einen Administrator bitten, Ihre 2FA zurückzusetzen.
4

Schritt 3: Anmeldung mit Zwei-Faktor-Authentifizierung

Nachdem 2FA eingerichtet ist, ändert sich der Anmeldevorgang wie folgt:

  1. Benutzername und Passwort eingeben

    Melden Sie sich wie gewohnt mit Ihren Zugangsdaten an.

  2. Zweiten Faktor eingeben

    Nach erfolgreicher Passwortprüfung erscheint ein zweites Eingabefeld. Geben Sie den aktuellen 6-stelligen Code aus Ihrer Authenticator-App ein.

  3. Alternativ: Recovery Code verwenden

    Falls Sie keinen Zugriff auf Ihre Authenticator-App haben, aktivieren Sie die Option „Recovery Code verwenden“ und geben Sie einen Ihrer gespeicherten Recovery Codes ein (Format: XXXX-XXXX). Jeder Recovery Code ist nur einmal gültig.

Tipp: Wenige Recovery Codes übrig? Im 2FA-Verwaltungsdialog sehen Sie, wie viele Recovery Codes noch verfügbar sind. Bei 2 oder weniger verbleibenden Codes erscheint eine Warnung. Generieren Sie rechtzeitig neue Codes über „Neue Recovery Codes“.
UserClient → Anmeldung mit Zwei-Faktor-Authentifizierung
Anmeldung verbunden
Benutzername
m.mustermann
Passwort
••••••••••
Zweiter Faktor
Authenticator-Code
482 913
Recovery Code verwenden
aus
5

Schritt 4: 2FA verwalten

Im 2FA-Dialog können Benutzer ihre Zwei-Faktor-Authentifizierung selbst verwalten:

Aktion Beschreibung
Neue Recovery Codes Generiert 10 neue Recovery Codes. Alle bisherigen Codes werden ungültig. Erfordert die Eingabe des aktuellen TOTP-Codes zur Bestätigung.
2FA deaktivieren Deaktiviert die Zwei-Faktor-Authentifizierung. Erfordert die Eingabe des aktuellen TOTP-Codes. Nur möglich, wenn der MFA-Modus nicht auf Required steht.
6

Microsoft Entra ID einrichten (Admin)

Microsoft Entra ID (ehemals Azure AD) ermöglicht Single Sign-On über Microsoft 365. Benutzer können sich mit ihrem Microsoft-Konto anmelden — MFA wird dabei über Conditional Access in Entra gesteuert.

Voraussetzungen

  • Microsoft 365 / Entra ID Tenant mit mindestens einem P1-Plan (für Conditional Access)
  • Eine App-Registrierung in Entra ID mit Client-ID und Client-Secret
  • Redirect-URI: https://<ihre-udm-url>/signin-oidc

Konfiguration in UDM

Die Entra ID-Einstellungen werden in der Server-Konfigurationsdatei appsettings.json hinterlegt (Abschnitt AppConfig), da sie beim Serverstart für die OIDC-Middleware benötigt werden:

Einstellung Beschreibung
EntraIdEnabled true aktiviert den Button „Mit Microsoft anmelden“ auf der Login-Seite
EntraIdTenantId Die Tenant-ID aus dem Entra ID-Portal (z. B. a1b2c3d4-...)
EntraIdClientId Die Application (Client) ID der App-Registrierung
EntraIdClientSecret Das Client-Secret (wird von UDM automatisch verschlüsselt gespeichert)
EntraIdAutoMatchByEmail Wenn true: Automatische Zuordnung von Entra-Benutzern zu UDM-Benutzern anhand der E-Mail-Adresse (Standard: true)
EntraIdAutoProvision Wenn true: Automatisch neue UDM-Benutzer für unbekannte Entra-Benutzer anlegen (Standard: false)
EntraIdAllowGuestUsers Wenn true: Entra-Gastbenutzer (B2B Guests aus anderen Organisationen) dürfen sich anmelden (Standard: false)
Benutzer-Zuordnung Beim ersten Login über Entra ID wird der Entra-Benutzer automatisch einem bestehenden UDM-Benutzer zugeordnet, wenn die E-Mail-Adresse übereinstimmt (AutoMatchByEmail). Danach ist die Verknüpfung dauerhaft gespeichert.
Gastbenutzer (B2B Guests) Wenn Sie in Ihrem Entra-Tenant Gastbenutzer aus anderen Organisationen eingeladen haben und diesen den Zugang zu UDM ermöglichen möchten, setzen Sie EntraIdAllowGuestUsers auf true. Ohne diesen Schalter erhalten Gastbenutzer die Meldung „Gastbenutzer sind für diese UDM-Instanz nicht zugelassen“. Die Zuordnung zu einem UDM-Benutzer erfolgt wie bei regulären Benutzern über E-Mail-Matching oder Auto-Provision.

Anmeldevorgang mit Entra ID

  1. Auf „Mit Microsoft anmelden“ klicken

    Auf der Login-Seite ist dieser Button der prominenteste Eintrag (blauer Gradient). Bei jedem Klick können Sie das Microsoft-Konto neu auswählen.

  2. Microsoft-Anmeldung durchführen

    Sie werden zu login.microsoftonline.com weitergeleitet. Melden Sie sich mit Ihrem Microsoft-Konto an und bestätigen Sie ggf. die MFA-Abfrage (Authenticator-Push, SMS etc.).

  3. Automatische Anmeldung in UDM

    Nach erfolgreicher Microsoft-Anmeldung werden Sie automatisch zurück zu UDM geleitet und sind angemeldet.

7

Die Login-Seite im Überblick

Die Login-Seite zeigt je nach Konfiguration bis zu drei Anmeldewege, die visuell klar getrennt sind. Wenn externe Provider (Entra ID, Windows) aktiv sind, erscheinen deren Buttons prominent oben. Die lokale Anmeldung mit Benutzername und Passwort ist dann unter „Mit Benutzername anmelden“ einklappbar.

Anmeldeweg Sichtbar wenn MFA
Benutzername + Passwort Immer TOTP (wenn aktiviert)
Mit Microsoft anmelden EntraIdEnabled = true Über Entra Conditional Access
Windows-Anmeldung Windows-Auth konfiguriert Domänen-Authentifizierung
8

Ergebnis unseres Beispiels

Nach Abschluss aller Schritte haben wir:

  • Den MFA-Modus auf Optional gesetzt — Benutzer können 2FA freiwillig aktivieren
  • Allen Benutzern die Möglichkeit gegeben, eine Authenticator-App mit QR-Code einzurichten
  • Recovery Codes als Backup-Methode bereitgestellt
  • Microsoft Entra ID als alternativen Anmeldeweg konfiguriert
  • Die Passwortrichtlinien gemäß KRITIS-Empfehlung verschärft

Nach der Übergangsfrist ändern wir TwoFactorMode auf Required — ab dann können sich lokale Benutzer nur noch mit 2FA anmelden.

9

Häufige Fragen

Frage Antwort
Welche Authenticator-Apps werden unterstützt? Alle Apps, die das TOTP-Verfahren (RFC 6238) unterstützen: Microsoft Authenticator, Google Authenticator, Authy, 1Password, KeePassXC u. a.
Was passiert, wenn ein Benutzer sein Handy verliert? Der Benutzer kann sich mit einem Recovery Code anmelden. Wenn keine Recovery Codes mehr vorhanden sind, muss ein Administrator die 2FA des Benutzers zurücksetzen.
Brauchen Entra ID-Benutzer zusätzlich TOTP? Nein. Entra ID bringt eigene MFA über Conditional Access mit. TOTP gilt nur für die lokale Anmeldung mit Benutzername und Passwort.
Kann ich 2FA für einzelne Benutzer zurücksetzen? Ja. In einer künftigen Version wird ein Admin-Button in der Benutzerverwaltung bereitgestellt. Aktuell kann der Benutzer 2FA selbst deaktivieren (sofern der Modus nicht Required ist).
Ist Windows-Authentifizierung mit 2FA kompatibel? Windows-Auth umgeht die lokale Passwortprüfung und damit auch TOTP. Die Sicherheit wird in diesem Fall über die Domäne (z. B. AD-Gruppenrichtlinien, Smartcard) gewährleistet.
Was bedeutet AutoMatchByEmail? Beim ersten Entra ID-Login wird automatisch ein UDM-Benutzer gesucht, dessen E-Mail-Adresse mit der Entra-E-Mail übereinstimmt. Die Verknüpfung wird dauerhaft gespeichert.
Können sich Entra-Gastbenutzer anmelden? Nur wenn EntraIdAllowGuestUsers auf true gesetzt ist. Gastbenutzer sind Personen, die aus einer anderen Organisation in Ihren Entra-Tenant eingeladen wurden. Ohne den Schalter erhalten sie eine Fehlermeldung.