Was ist die Microsoft Entra-Authentifizierung?

  • Artikel

Eine der Hauptfunktionen einer Identitätsplattform ist die Verifizierung bzw. Authentifizierung von Anmeldeinformationen, wenn ein Benutzer sich an einem Gerät, einer Anwendung oder einem Dienst anmeldet. In Microsoft Entra ID geht es bei der Authentifizierung um mehr als nur die Verifizierung eines Benutzernamens und des zugehörigen Kennworts. Die Microsoft Entra-Authentifizierung umfasst die folgenden Komponenten, um die Sicherheit zu verbessern und den Supportaufwand für den Helpdesk zu reduzieren:

  • Self-Service-Kennwortzurücksetzung
  • Multi-Faktor-Authentifizierung in Microsoft Entra
  • Hybridintegration zum Zurückschreiben von Kennwortänderungen in die lokale Umgebung
  • Hybridintegration zum Erzwingen von Kennwortschutzrichtlinien für eine lokale Umgebung
  • Kennwortlose Authentifizierung

Sehen Sie sich unser kurzes Video an, um mehr über diese Authentifizierungskomponenten zu erfahren.

Verbessern der Endbenutzererfahrung

Microsoft Entra ID trägt zum Schutz der Identität von Benutzer*innen und zur Vereinfachung der Umgebung für die Anmeldung bei. Mit Features wie der Self-Service-Kennwortzurücksetzung können Benutzer ihre Kennwörter aktualisieren oder ändern, indem Sie auf einem beliebigen Gerät den Webbrowser verwenden. Dieses Feature ist besonders nützlich, wenn der Benutzer sein Kennwort vergessen hat oder sein Konto gesperrt ist. Der Benutzer kann die Sperrung so selbst beseitigen und weiterarbeiten, ohne auf Support durch den Helpdesk oder den Administrator warten zu müssen.

Bei Microsoft Entra ID-Multi-Factor Authentication können Benutzer*innen während der Anmeldung ein zusätzliches Authentifizierungsverfahren wählen, z. B. einen Telefonanruf oder eine Benachrichtigung per mobiler App. Hierdurch wird die Beschränkung auf ein einzelnes festes Verfahren für die sekundäre Authentifizierung, z. B.per Hardwaretoken, aufgehoben. Wenn für den Benutzer ein bestimmtes Authentifizierungsverfahren gerade nicht verfügbar ist, kann er ein anderes Verfahren auswählen und sofort weiterarbeiten.

Authentication methods in use at the sign-in screen

Bei der kennwortlosen Authentifizierung muss der Benutzer kein sicheres Kennwort mehr erstellen und im Kopf behalten. Funktionen wie Windows Hello for Business oder FIDO2-Sicherheitsschlüssel ermöglichen Benutzern die Anmeldung an einem Gerät oder einer Anwendung ohne Kennwort. Auf diese Weise wird die Komplexität verringert, die mit der Verwaltung von Kennwörtern für mehrere Umgebungen verbunden ist.

Self-Service-Kennwortzurücksetzung

Mit der Self-Service-Kennwortzurücksetzung können Benutzer ihr Kennwort ohne Beteiligung eines Administrators oder des Helpdesks ändern oder zurücksetzen. Wenn das Konto eines Benutzers gesperrt ist oder dieser sein Kennwort vergessen hat, kann er die Schritte zum Entsperren ausführen und anschließend weiterarbeiten. Dies führt zu weniger Anrufen beim Helpdesk und Produktivitätsverlusten, wenn sich ein Benutzer nicht an seinem Gerät oder einer Anwendung anmelden kann.

Die Self-Service-Kennwortzurücksetzung funktioniert in den folgenden Szenarien:

  • Kennwortänderung: Hierbei kennt ein Benutzer sein Kennwort und möchte es ändern.
  • Kennwortzurücksetzung: Hierbei kann sich ein Benutzer nicht anmelden, weil er beispielsweise das Kennwort vergessen hat, sodass es zurückgesetzt werden muss.
  • Kontoentsperrung: Hierbei kann sich ein Benutzer nicht anmelden, weil sein Konto gesperrt ist, und das Konto soll entsperrt werden.

Wenn ein Benutzer sein Kennwort per Self-Service-Kennwortzurücksetzung aktualisiert oder zurücksetzt, kann das Kennwort auch zurück in eine lokale Active Directory-Umgebung geschrieben werden. Mit dem Kennwortrückschreiben wird sichergestellt, dass ein Benutzer seine aktualisierten Anmeldeinformationen sofort für lokale Geräte und Anwendungen verwenden kann.

Microsoft Entra-Multi-Faktor-Authentifizierung

Multi-Factor Authentication (mehrstufige Authentifizierung) ist ein Prozess, bei dem Benutzer*innen während des Anmeldevorgangs zur Durchführung eines weiteren Identifizierungsverfahrens aufgefordert werden, z. B. per Eingabe eines Codes auf dem Smartphone oder per Fingerabdruckscan.

Wenn Sie zum Authentifizieren von Benutzern nur ein Kennwort nutzen, kann dies einen Angriffsvektor darstellen und mit Unsicherheit verbunden sein. Falls das Kennwort nicht sicher ist oder offengelegt wurde, können Sie nicht sicher sein, ob es wirklich der Benutzer ist, der sich mit dem Benutzernamen und dem Kennwort anmeldet, oder ein Angreifer. Wenn Sie ein zweites Authentifizierungsverfahren erzwingen, wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.

Conceptual image of the different forms of multifactor authentication

Für Microsoft Entra-Multi-Factor Authentication sind mindestens zwei der folgenden Authentifizierungsverfahren obligatorisch:

  • Eine dem Benutzer bekannte Information (meist ein Kennwort).
  • Ein im Besitz des Benutzers befindliches Objekt, z. B. ein vertrauenswürdiges Gerät, das nicht ohne Weiteres dupliziert werden kann (Telefon oder Hardwareschlüssel).
  • Ein biometrisches Merkmal des Benutzers (Fingerabdruck- oder Gesichtsscan).

Um das Onboarding zu vereinfachen, können sich Benutzer mit nur einem Schritt sowohl für die Self-Service-Kennwortzurücksetzung als auch für Microsoft Entra-Multi-Factor Authentication registrieren. Administratoren können definieren, welche Verfahren für die sekundäre Authentifizierung genutzt werden können. Microsoft Entra-Multi-Factor Authentication kann auch erzwungen werden, wenn Benutzer*innen eine Self-Service-Kennwortzurücksetzung durchführen, um diesen Prozess noch sicherer zu machen.

Kennwortschutz

Standardmäßig werden unsichere Kennwörter, z. B. Kennwort1, von Microsoft Entra ID blockiert. Eine globale Ausschlussliste mit bekannten unsicheren Kennwörtern wird automatisch aktualisiert und angewendet. Wenn ein*e Microsoft Entra ID-Benutzer*in versucht, eines dieser unsicheren Kennwörter zu verwenden, erhält sie/er eine Benachrichtigung, dass ein sichereres Kennwort gewählt werden muss.

Zur Erhöhung der Sicherheit können Sie benutzerdefinierte Richtlinien für den Kennwortschutz definieren. Für diese Richtlinien können Filter verwendet werden, um alle Varianten eines Kennworts zu blockieren, die beispielsweise einen Namen wie Contoso oder einen Ort wie London enthalten.

Zum Erzielen von Hybridsicherheit können Sie den Microsoft Entra-Kennwortschutz in eine lokale Active Directory-Umgebung integrieren. Eine in der lokalen Umgebung installierte Komponente erhält die globale Ausschlussliste für Kennwörter und die benutzerdefinierten Richtlinien zum Kennwortschutz von Microsoft Entra ID, und die Domänencontroller nutzen diese Informationen zum Schützen der Vorgänge für die Kennwortänderung. Mit diesem Hybridansatz wird sichergestellt, dass die Verwendung sicherer Kennwörter immer erzwungen wird – unabhängig davon, wie oder wo ein Benutzer seine Anmeldeinformationen ändert.

Kennwortlose Authentifizierung

Das letztendliche Ziel für viele Umgebungen besteht darin, die Nutzung von Kennwörtern für Anmeldungen zu beenden. Features wie der Azure-Kennwortschutz oder Microsoft Entra-Multi-Factor Authentication tragen zwar zur Erhöhung der Sicherheit bei. Die Anmeldung per Benutzername und Kennwort bleibt aber eine unsichere Form der Authentifizierung, die missbraucht werden oder Ziel von Brute-Force-Angriffen werden kann.

Security versus convenience with the authentication process that leads to passwordless

Wenn Sie sich mit einem kennwortlosen Verfahren anmelden, werden die Anmeldeinformationen per Biometrielösung mit Windows Hello for Business oder FIDO2-Sicherheitsschlüssel bereitgestellt. Diese Authentifizierungsmethoden können von Angreifern nicht ohne Weiteres dupliziert werden.

Microsoft Entra ID bietet Verfahren für die native Authentifizierung mit kennwortlosen Methoden, um die Anmeldung für Benutzer zu vereinfachen und das Angriffsrisiko zu verringern.

Nächste Schritte

Informationen zum Einstieg finden Sie im Tutorial zur Self-Service-Kennwortzurücksetzung (SSPR) und im Tutorial zur Multi-Faktor-Authentifizierung von Microsoft Entra .

Weitere Informationen zur Self-Service-Kennwortzurücksetzung finden Sie unter Funktionsweise der Microsoft Entra-Self-Service-Kennwortzurücksetzung.

Weitere Informationen zu den Konzepten der Multi-Faktor-Authentifizierung finden Sie unter Funktionsweise der Microsoft Entra-Multi-Faktor-Authentifizierung.