Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktivierung der Multi-Faktor-Authentifizierung für AWS Verwaltetes Microsoft AD
Sie können die Multi-Faktor-Authentifizierung (MFA) für Ihr AWS verwaltetes Microsoft AD-Verzeichnis aktivieren, um die Sicherheit zu erhöhen, wenn Ihre Benutzer ihre AD-Anmeldeinformationen für den Zugriff auf unterstützte Amazon Enterprise-Anwendungen angeben. Wenn Sie die MFA aktivieren, geben Ihre Benutzer wie gewöhnlich ihren Benutzernamen und ihr Passwort (erster Faktor) ein. Darüber hinaus müssen sie jedoch einen Authentifizierungscode eingeben (zweiter Faktor), der von Ihrer virtuellen oder Hardware-MFA-Lösung bereitgestellt wird. Diese Faktoren zusammen erhöhen die Sicherheit, indem Sie Zugriffe auf Ihre Amazon Enterprise-Anwendungen verhindern, es sei denn, Benutzer geben gültige Anmeldeinformationen und einen gültigen MFA-Code ein.
Zum Aktivieren der MFA müssen Sie entweder über eine MFA-Lösung in Form eines Remote Authentication Dial-In User Service
RADIUS ist ein client/server Industriestandardprotokoll, das Authentifizierung, Autorisierung und Kontoverwaltung ermöglicht, damit Benutzer eine Verbindung zu Netzwerkdiensten herstellen können. AWS Managed Microsoft AD umfasst einen RADIUS-Client, der eine Verbindung zu dem RADIUS-Server herstellt, auf dem Sie Ihre MFA-Lösung implementiert haben. Der RADIUS-Server überprüft den Benutzernamen und den OTP-Code. Wenn Ihr RADIUS-Server den Benutzer erfolgreich validiert, authentifiziert AWS Managed Microsoft AD den Benutzer dann gegenüber Active Directory. Nach erfolgreicher Active Directory-Authentifizierung können Benutzer dann auf die AWS Anwendung zugreifen. Für die Kommunikation zwischen dem AWS verwalteten Microsoft AD RADIUS-Client und Ihrem RADIUS-Server müssen Sie AWS Sicherheitsgruppen konfigurieren, die die Kommunikation über Port 1812 ermöglichen.
Sie können die Multi-Faktor-Authentifizierung für Ihr AWS verwaltetes Microsoft AD-Verzeichnis aktivieren, indem Sie das folgende Verfahren ausführen. Weitere Informationen zum Konfigurieren Ihres RADIUS-Servers für Directory Service und MFA finden Sie unter Multi-factor Voraussetzungen für die Authentifizierung.
Überlegungen
Im Folgenden finden Sie einige Überlegungen zur Multi-Faktor-Authentifizierung für Ihr AWS verwaltetes Microsoft AD:
-
Multi-factor Authentifizierung ist für Simple AD nicht verfügbar. MFA kann jedoch für Ihr AD-Connector-Verzeichnis aktiviert werden. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung für AD Connector aktivieren.
-
MFA ist eine regionale Funktion von AWS Managed Microsoft AD. Wenn Sie die Multi-Region Replikation verwenden, können Sie MFA nur in der primären Region Ihres AWS verwalteten Microsoft AD verwenden.
-
Wenn Sie AWS Managed Microsoft AD für die externe Kommunikation verwenden möchten, empfehlen wir Ihnen, für diese Kommunikation ein Network Address Translation (NAT) -Internet-Gateway oder ein Internet Gateway außerhalb des AWS Netzwerks zu konfigurieren.
-
Wenn Sie die externe Kommunikation zwischen Ihrem AWS Managed Microsoft AD und Ihrem im AWS Netzwerk gehosteten RADIUS-Server unterstützen möchten, wenden Sie sich bitte an Support
.
-
-
Alle Amazon Enterprise IT-Anwendungen WorkSpaces, einschließlich Amazon WorkDocs WorkMail, Amazon Quick und Zugriff auf AWS IAM Identity Center und AWS-Managementkonsole werden unterstützt, wenn AWS Managed Microsoft AD und AD Connector mit MFA verwendet werden. Diese AWS Anwendungen, die MFA verwenden, werden in mehreren Regionen nicht unterstützt.
Weitere Informationen finden Sie unter So aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Dienste mithilfe von AWS verwaltetem Microsoft AD und lokalen Anmeldeinformationen
. -
Informationen zur Konfiguration des grundlegenden Benutzerzugriffs auf Amazon Enterprise-Anwendungen, AWS Single Sign-On und die AWS-Managementkonsole Verwendung Directory Service finden Sie unter Zugang zu AWS Anwendungen und Dienste von Ihrem AWS Verwaltetes Microsoft AD undAWS-Managementkonsole Zugriff mit AWS verwalteten Microsoft AD-Anmeldeinformationen aktivieren.
-
Im folgenden AWS Sicherheits-Blogbeitrag erfahren Sie, wie Sie MFA für WorkSpaces Amazon-Benutzer in Ihrem AWS Managed Microsoft AD aktivieren, So aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Dienste mithilfe von AWS Managed Microsoft AD und lokalen Anmeldeinformationen
-
Aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Verwaltetes Microsoft AD
Das folgende Verfahren zeigt Ihnen, wie Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD aktivieren.
-
Identifizieren Sie die IP-Adresse Ihres RADIUS-MFA-Servers und Ihres AWS verwalteten Microsoft AD-Verzeichnisses.
-
Bearbeiten Sie Ihre Virtual Private Cloud (VPC) -Sicherheitsgruppen, um die Kommunikation über Port 1812 zwischen Ihren AWS verwalteten Microsoft AD-IP-Endpunkten und Ihrem RADIUS-MFA-Server zu ermöglichen.
-
Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole
Verzeichnisse. -
Wählen Sie den Verzeichnis-ID-Link für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.
-
Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:
-
Wenn unter Multi-RegionReplikation mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie MFA aktivieren möchten, und klicken Sie dann auf die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.
-
Wenn unter Multi-RegionReplizierung keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.
-
-
Wählen Sie im Abschnitt Multi-factor Authentifizierung die Option Aktionen und dann Aktivieren aus.
-
Geben Sie auf der Seite Multi-Faktor-Authentifizierung (MFA) aktivieren die folgenden Werte ein:
- Label anzeigen
-
Geben Sie einen Labelnamen an.
- DNS-Name oder IP-Adressen des RADIUS-Servers
-
Die IP-Adressen Ihrer RADIUS-Server-Endpunkte oder die IP-Adresse Ihres RADIUS-Server-Load Balancer. Sie können mehrere IP-Adressen eingeben, indem Sie sie durch ein Komma trennen (z. B.
192.0.0.0,192.0.0.12oder2001:db8::1,2001:db8::2).Wichtig
Verzeichnisse, die nach dem 7. Oktober 2025 erstellt wurden, erfordern, dass RADIUS-Server, die für die Multi-Faktor-Authentifizierung verwendet werden, über die Netzwerkkonfiguration Ihrer VPC routingfähig sind. Wenn Ihr RADIUS-Server nicht über die Routing-Tabellen, Sicherheitsgruppen und Netzwerk-ACLs Ihrer VPC zugänglich ist, schlägt die Multi-Faktor-Authentifizierung bei Multi-Faktor-Authentifizierungsprüfungen fehl. Um dieses Problem zu beheben, stellen Sie sicher, dass:
-
Netzwerk-Routing: Ihre VPC-Routing-Tabellen ermöglichen es, dass Datenverkehr Ihren RADIUS-Server aus den Subnetzen erreicht, in denen Ihre AWS verwalteten Microsoft AD-Verzeichnisinstanzen bereitgestellt werden.
-
Netzwerk-ACLs: Ihre Subnetz-Netzwerk-ACLs ermöglichen bidirektionalen Verkehr auf Ihrem RADIUS-Server. to/from
-
Internet Gateway/NAT: Wenn Ihr RADIUS-Server mit dem Internet verbunden ist, stellen Sie sicher, dass Ihre VPC über eine geeignete Internet-Gateway- oder NAT-Gateway-Konfiguration für die Verzeichnissubnetze verfügt. Wenn Ihr Netzwerktyp IPv4 ist, müssen NAT und Internet-Gateway mit Ihrer VPC konfiguriert sein.
Anmerkung
RADIUS MFA gilt nur für die Authentifizierung des Zugriffs auf die AWS-Managementkonsole oder auf Amazon Enterprise-Anwendungen und -Services wie WorkSpaces Amazon Quick oder Amazon Chime. Amazon Enterprise-Anwendungen und -Services werden in der Primärregion nur unterstützt, wenn die Multi-Region Replikation für Ihr AWS Managed Microsoft AD konfiguriert ist. Es bietet keine MFA für Windows-Workloads, die auf EC2-Instances ausgeführt werden, oder für die Anmeldung bei einer EC2-Instance. Directory Service unterstützt keine RADIUS-Authentifizierung. Challenge/Response
Benutzer müssen ihren MFA-Code bei der Eingabe ihres Benutzernamens und Passworts zur Hand haben. Alternativ müssen Sie eine Lösung verwenden, die MFA Out-of-Band durchführt, z. B. Push-Benachrichtigungen oder Authentifikator-Einmalkennwörter (OTP) für den Benutzer. Bei Out-of-Band-MFA-Lösungen müssen Sie sicherstellen, dass Sie den RADIUS-Timeout-Wert für Ihre Lösung angemessen einstellen. Wenn Sie eine Out-of-Band-MFA-Lösung verwenden, wird der Benutzer auf der Anmeldeseite zur Eingabe eines MFA-Codes aufgefordert. In diesem Fall müssen Benutzer ihr Passwort sowohl in das Passwortfeld als auch in das MFA-Feld eingeben.
-
- Port
-
Der Port, den Ihr RADIUS-Server für die Kommunikation verwendet. Ihr lokales Netzwerk muss eingehenden Datenverkehr über den standardmäßigen RADIUS-Serverport () von den Servern zulassen. UDP:1812 Directory Service
- Shared secret code (Gemeinsamer geheimer Code)
-
Der gemeinsame geheime Code, der bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.
- Confirm shared secret code (Gemeinsamen geheimen Code bestätigen)
-
Bestätigen Sie den gemeinsamen geheimen Code für Ihre RADIUS-Endpunkte.
- Protocol (Protokoll)
-
Wählen Sie das Protokoll aus, das bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.
- Server-Timeout (in Sekunden)
-
Die Zeit in Sekunden, die gewartet werden muss, bis der RADIUS-Server antwortet. Dies muss ein Wert zwischen 1 und 50 sein.
Anmerkung
Wir empfehlen, Ihr RADIUS-Server-Timeout auf 20 Sekunden oder weniger zu konfigurieren. Wenn das Timeout 20 Sekunden überschreitet, kann das System es nicht erneut mit einem anderen RADIUS-Server versuchen, was zu einem Timeout-Fehler führen kann.
- Maximale Wiederholungen von RADIUS-Anfragen
-
Die Anzahl der Kommunikationsversuche mit dem RADIUS-Server. Dies muss ein Wert zwischen 0 und 10 sein.
Multi-factor Die Authentifizierung ist verfügbar, wenn sich der RADIUS-Status auf Aktiviert ändert.
-
Wählen Sie Enable (Aktivieren) aus.