Authentifizierungsmethoden in Microsoft Entra ID – Microsoft Authenticator-App

  • Artikel

Die Microsoft Authenticator-App bietet eine weitere Sicherheitsstufe für Ihr Microsoft Entra-Geschäfts-, Schul- oder Uni-Konto bzw. Ihr Microsoft-Konto und ist für Android und iOS verfügbar. Mit der Microsoft Authenticator-App können sich Benutzer und Benutzerinnen ohne Kennwort während der Anmeldung authentifizieren. Alternativ können Sie die App bei der Self-Service-Kennwortzurücksetzung (SSPR) oder bei Ereignissen der Multi-Faktor-Authentifizierung als andere Prüfoption verwenden.

Sie können nun Passkeys für die Benutzerauthentifizierung anwenden. Benutzer und Benutzerinnen können dann über ihre mobile App eine Benachrichtigung erhalten, um der Authenticator-App die Generierung eines OATH-Prüfcodes zu erlauben oder zu verweigern. Dieser Code kann dann in eine Anmeldeschnittstelle eingegeben werden. Wenn Sie sowohl die Benachrichtigung als auch den Prüfcode aktivieren, können Benutzer und Benutzerinnen, die die Microsoft Authenticator-App registrieren, beide Methoden verwenden, um ihre Identität mit Passkeys zu verifizieren.

Hinweis

Bei der Vorbereitung der Hauptschlüssel-Unterstützung in Microsoft Authenticator können Benutzer Authenticator als Hauptschlüsselanbieter auf iOS- und Android-Geräten sehen. Weitere Informationen finden Sie unter Passkey-Anmeldung (Vorschau).

Informationen zur Verwendung der Authenticator-App an einer Anmeldeaufforderung anstelle der Kombination aus Benutzername und Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.

Hinweis

  • Wenn Benutzer SSPR aktivieren, haben sie keine Möglichkeit, die mobile App zu registrieren. Stattdessen können sie die mobile App auf https://aka.ms/mfasetup oder im Rahmen der kombinierten Registrierung von Sicherheitsinformationen auf https://aka.ms/setupsecurityinfo registrieren.
  • Die Authenticator-App wird auf Betaversionen von iOS und Android möglicherweise nicht unterstützt. Darüber hinaus unterstützt die Authenticator-Anwendung auf Android ab dem 20. Oktober 2023 keine älteren Versionen des Android-Unternehmensportals mehr. Android-Benutzer mit Unternehmensportalversionen unter 2111 (5.0.5333.0) können sich nicht erneut registrieren oder neue Instanzen von Authenticator registrieren, bis sie ihre Unternehmensportalanwendung auf eine neuere Version aktualisieren.

Passkey-Anmeldung (Vorschau)

Authenticator ist eine kostenlose Passkey-Lösung, mit der Benutzer und Benutzerinnen kennwortlose phishing-resistente Authentifizierungen auf ihren eigenen Smartphones ausführen können. Einige wichtige Vorteile der Verwendung von Passkeys in der Authenticator-App:

  • Passkeys können einfach im großen Stil bereitgestellt werden. Passkeys stehen auf dem Telefon des Benutzers oder der Benutzerin sowohl für MDM-Szenarien (Mobile Device Management, Verwaltung mobiler Geräte) als auch für BYOD-Szenarien (Bring Your Own Device) zur Verfügung.
  • Passkeys in Authenticator sind kostenlos und begleiten die Benutzer und Benutzerinnen überall hin.
  • Passkeys in Authenticator sind gerätegebunden. Dadurch wird sichergestellt, dass der Passkey das Gerät, auf dem er erstellt wurde, nicht verlässt.
  • Die Benutzer und Benutzerinnen bleiben mit den neuesten Passkey-Innovationen, die auf offenen WebAuthn-Standards basieren, auf dem Laufenden.
  • Unternehmen können andere Funktionen wie FIPS 140 Compliance auf Authentifizierungsflows aufsetzen.

Hinweis

Wenn die Bereitstellung in der Vorschau fortschreitet, können Administratoren und Administratorinnen sowie Benutzer und Benutzerinnen Passkey als Anmeldemethode in verschiedenen Microsoft Entra-Oberflächen sehen, einschließlich Admin Center, Authenticator App, Authentication Insights usw.

Gerätegebundener Passkey

Um sicherzustellen, dass sie das Gerät, auf dem sie erstellt wurden, nie verlassen, sind Passkeys in der Authenticator-App sind gerätegebunden. Auf einem iOS-Gerät verwendet Authenticator die Secure Enclave, um den Passkey zu erstellen. Unter Android erstellen wir den Passkey im Secure Element auf Geräten, die es unterstützen, oder greifen auf die Trusted Execution Environment (TEE) zurück.

Funktionsweise des Passkey-Nachweises mit Authenticator

Derzeit werden für Authenticator-Passkeys keine Nachweise verwendet. Die Unterstützung von Nachweisen für Passkeys in Authenticator ist für eine zukünftige Version geplant.

Sichern und Wiederherstellen von Passkeys in Authenticator

Passkeys in Authenticator werden nicht gesichert und können nicht auf einem neuen Gerät wiederhergestellt werden. Um Passkeys auf einem neuen Gerät zu erstellen, verwenden Sie den Passkey auf einem älteren Gerät, oder verwenden Sie eine andere Authentifizierungsmethode, um den Passkey neu zu erstellen.

Anmeldung ohne Kennwort

Wenn Benutzer oder Benutzerinnen, die Anmeldung per Smartphone über die Authenticator-App aktiviert haben, wird nach der Eingabe des Benutzernamens keine Aufforderung zur Eingabe eines Kennworts angezeigt, sondern eine Meldung, in der sie dazu aufgefordert werden, in der App eine Zahl einzugeben. Nach der Auswahl der richtigen Nummer ist der Anmeldevorgang abgeschlossen.

Beispiel für eine Browseranmeldung, bei der der Benutzer bzw. die Benutzerin zum Genehmigen der Anmeldung aufgefordert wird

Diese Authentifizierungsmethode bietet ein hohes Maß an Sicherheit. Zudem muss der Benutzer bei der Anmeldung kein Kennwort mehr eingeben.

Informationen zu den ersten Schritten mit der Anmeldung ohne Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.

Benachrichtigung über mobile App

Die Microsoft Authenticator-App kann dazu beitragen, nicht autorisierten Zugriff auf Konten zu verhindern und betrügerische Transaktionen zu stoppen, indem sie eine Benachrichtigung an Ihr Smartphone oder Tablet sendet. Benutzer sehen die Benachrichtigung und wählen Bestätigen aus, wenn der Vorgang rechtmäßig ist. Andernfalls können sie Verweigern auswählen.

Hinweis

Ab August 2023 werden bei anomalen Anmeldungen ähnlich wie Anmeldungen von unbekannten Standorten aus keine Benachrichtigungen mehr generiert. Um eine anomale Anmeldung zu genehmigen, können Benutzer*innen Microsoft Authenticator oder Authenticator Lite in einer relevanten Begleit-App wie Outlook öffnen. Anschließend können sie zur Aktualisierung entweder nach unten ziehen oder auf Aktualisieren tippen und dann die Anforderung genehmigen.

Screenshot: Beispiel für eine Eingabeaufforderung im Webbrowser für eine Benachrichtigung in der Authenticator-App zum Abschließen des Anmeldevorgangs

In China funktioniert die Methode Benachrichtigung durch mobile App auf Android-Geräten nicht, weil die Google Play-Dienste (einschließlich der Pushbenachrichtigungen) in dieser Region gesperrt sind. iOS-Benachrichtigungen funktionieren jedoch. Daher sollten Benutzer*innen von Android-Geräten alternative Authentifizierungsmethoden zur Verfügung gestellt werden.

Prüfcode über die mobile App

Die Microsoft Authenticator-App kann als Softwaretoken zum Generieren eines OATH-Prüfcodes verwendet werden. Nachdem Sie Benutzernamen und Kennwort eingegeben haben, geben Sie im Anmeldebildschirm den in der Authenticator-App generierten Code ein. Der Überprüfungscode kann als zweite Authentifizierungsmethode eingegeben werden.

Hinweis

Von Authenticator generierte OATH-Prüfcodes werden für die zertifikatbasierte Authentifizierung nicht unterstützt.

Benutzer und Benutzerinnen können eine Kombination von bis zu fünf OATH-Hardware-Token oder Authenticator-Anwendungen, wie z. B. die Authenticator-App, für die jederzeitige Verwendung konfigurieren.

FIPS 140-konform für Microsoft Entra-Authentifizierung

In Übereinstimmung mit den in NIST SP 800-63B beschriebenen Richtlinien sind die von den US-Regierungsbehörden verwendeten Authentifikatoren zum Verwenden validierter FIPS 140-Kryptografie erforderlich. Diese Richtlinie hilft US-Regierungsbehörden, die Anforderungen von Executive Order (EO) 14028 zu erfüllen. Überdies hilft diese Richtlinie anderen regulierten Branchen wie Organisationen im Gesundheitswesen, die mit elektronischen Rezepten für kontrollierte Substanzen (Electronic Prescriptions for Controlled Substances, EPCS) arbeiten, die für sie geltenden gesetzlichen Anforderungen zu erfüllen.

Der FIPS 140 ist ein Standard für US-Bundesbehörden, der Mindestsicherheitsanforderungen für kryptografische Module in IT-Produkten und -Systemen definiert. Das Cryptographic Module Validation Program (CMVP) verwaltet Tests gemäß FIPS 140-Standard.

Microsoft Authenticator für iOS

Ab Version 6.6.8 verwendet Microsoft Authenticator for iOS das native Apple CoreCrypto-Modul für FIPS-validierte Kryptografie auf Apple iOS FIPS 140-kompatiblen Geräten. Alle Microsoft Entra-Authentifizierungen unter Verwendung von phishingresistenten gerätegebundenen Hauptschlüsseln, Push-Multi-Faktor-Authentifizierungen (MFA), kennwortloser Telefonanmeldung (PSI) und zeitbasierten Einmal-Passcodes (TOTP) nutzen die FIPS-Kryptografie.

Weitere Informationen zu den verwendeten FIPS 140-validierten kryptografischen Modulen und kompatiblen iOS-Geräten finden Sie unter Apple iOS-Sicherheitszertifizierungen.

Hinweis

In neuen Updates aus der vorherigen Version dieses Artikels: Microsoft Authenticator ist unter Android noch nicht FIPS 140-konform. Microsoft Authenticator für Android ist derzeit zur FIPS-Zertifizierung angemeldet, um unsere Kunden zu unterstützen, die eine FIPS-validierte Kryptografie benötigen.

Bestimmen des Microsoft Authenticator-Registrierungstyps in meinen Sicherheitsinformationen

Benutzer und Benutzerinnen können auf MySecurityInfo zugreifen (siehe die URLs im nächsten Abschnitt) oder durch Auswahl von „Sicherheitsinformationen“ unter „MyAccount“ weitere Microsoft Authenticator-Registrierungen verwalten und hinzufügen. Bestimmte Symbole werden verwendet, um zu unterscheiden, ob es sich bei der Microsoft Authenticator-Registrierung um eine kennwortlose Telefonanmeldung oder um MFA handelt.

Authentificator-Registrierungstyp Symbol
Microsoft Authenticator: kennwortlose Anmeldung per Telefon Microsoft Authenticator-Anmeldung ohne Kennwort möglich
Microsoft Authenticator (Benachrichtigung/Code) Microsoft Authenticator: MFA-fähig
Cloud MySecurityInfo-URL
Azure Commercial (einschließlich GCC) https://aka.ms/MySecurityInfo
Azure für US Government (umfasst GCC High und DoD) https://aka.ms/MySecurityInfo-us

Updates der Microsoft Authenticator-App

Microsoft aktualisiert die Microsoft Authenticator-App kontinuierlich, um ein hohes Sicherheitsniveau zu gewährleisten. Um die bestmögliche Benutzererfahrung für Ihre Benutzer und Benutzerinnen sicherzustellen, empfehlen wir, dass sie ihre Authenticator-App kontinuierlich aktualisieren. Bei kritischen Sicherheitsupdates kann es vorkommen, dass nicht aktuelle App-Versionen nicht mehr funktionieren und Benutzer und Benutzerinnen ihre Authentifizierung nicht mehr abschließen können. Wenn ein Benutzer oder eine Benutzerin eine nicht unterstützte Version der App verwendet, wird er bzw. sie aufgefordert, ein Upgrade auf die neueste Version durchzuführen, bevor er bzw. sie mit Authentifizierungen fortfahren kann.

Microsoft wird auch in regelmäßigen Abständen ältere Versionen der Authenticator-App ausmustern, um ein hohes Maß an Sicherheit für Ihr Unternehmen zu gewährleisten. Wenn das Gerät eines Benutzers oder einer Benutzerin keine modernen Versionen der Microsoft Authenticator-App unterstützt, kann die Authentifizierung mit der App nicht abgeschossen werden. Wir empfehlen, dass diese Benutzer und Benutzerinnen einen OATH-Prüfcode in der Microsoft Authenticator-App verwenden, um die Zwei-Faktor-Authentifizierung abzuschließen.

Nächste Schritte