Aktivieren der mehrstufigen Authentifizierung in Azure Active Directory B2C

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

Azure Active Directory B2C (Azure AD B2C) lässt sich direkt in die mehrstufige Authentifizierung von Microsoft Entra integrieren, sodass Sie der Registrierung und Anmeldung in Ihren Anwendungen eine zweite Sicherheitsebene hinzufügen können. Wenn Sie bereits Benutzerflows für die Registrierung und Anmeldung erstellt haben, können Sie die mehrstufige Authentifizierung weiterhin aktivieren.

Mit dieser Funktion können Anwendungen mehrere Szenarien verarbeiten, z. B.:

• Erfordern der Multi-Faktor-Authentifizierung für den Zugriff auf eine Anwendung, aber nicht für den Zugriff auf eine andere Anwendung. Beispielsweise kann sich ein Kunde mit einem sozialen oder lokalen Konto bei einer Autoversicherungsanwendung anmelden, muss jedoch die Telefonnummer bestätigen, bevor er auf die im selben Verzeichnis registrierte Hausratversicherungsanwendung zugreifen kann.
• Erzwingen der mehrstufigen Authentifizierung für den Zugriff auf eine Anwendung im Allgemeinen, aber nicht für den Zugriff auf die vertraulichen Teile in der Anwendung. Beispielsweise kann sich ein Kunde mit einem sozialen oder lokalen Konto bei einer Bankanwendung anmelden und den Kontostand überprüfen, muss jedoch die Telefonnummer bestätigen, bevor er eine Überweisung versucht.

Voraussetzungen

• Erstellen Sie einen Benutzerflow, damit sich Benutzer bei Ihrer Anwendung registrieren und anmelden können.
• Registrieren Sie eine Webanwendung.

• Führen Sie die Schritte in "Erste Schritte mit benutzerdefinierten Richtlinien in Active Directory B2C" aus. In diesem Lernprogramm erfahren Sie, wie Sie benutzerdefinierte Richtliniendateien für die Verwendung Ihrer Azure AD B2C-Mandantenkonfiguration aktualisieren.
• Registrieren Sie eine Webanwendung.

Überprüfungsmethoden

Mit Bedingtem Zugriff können Benutzer je nach den von Ihnen als Administrator festgelegten Konfigurationsentscheidungen möglicherweise zur MFA aufgefordert werden oder nicht. Die Methoden der Multifaktor-Authentifizierung sind:

• E-Mail - Während der Anmeldung wird eine Bestätigungs-E-Mail mit einem Einmalkennwort (OTP) an den Benutzer gesendet. Der Benutzer gibt den OTP-Code an, der in der E-Mail an die Anwendung gesendet wurde.
• SMS oder Telefonanruf – Bei der ersten Registrierung oder Anmeldung wird der Benutzer aufgefordert, eine Telefonnummer anzugeben und zu bestätigen. Bei nachfolgenden Anmeldungen wird der Benutzer aufgefordert, entweder die Option "Code senden " oder "Mich anrufen" auszuwählen. Abhängig von der Auswahl des Benutzers wird eine Textnachricht gesendet oder ein Anruf an die verifizierte Telefonnummer getätigt, um den Benutzer zu identifizieren. Der Benutzer gibt entweder den per SMS gesendeten OTP-Code an oder genehmigt den Anruf.
• Nur Telefonanruf - Funktioniert auf die gleiche Weise wie die Option SMS oder Telefonanruf, es wird jedoch nur ein Telefonanruf getätigt.
• Nur SMS - Funktioniert auf die gleiche Weise wie die Option SMS oder Telefonanruf, aber es wird nur eine Textnachricht gesendet.
• Authentifizierungs-App – TOTP – Der Benutzer muss eine Authentifizierungs-App installieren, die die zeitbasierte Überprüfung von Einmalkennwörtern (TOTP) unterstützt, z. B. die Microsoft Authenticator-App, auf einem Gerät, das er besitzt. Bei der ersten Anmeldung scannt der Nutzer einen QR-Code oder gibt einen Code manuell über die Authenticator-App ein. Bei nachfolgenden Anmeldungen gibt der Benutzer den TOTP-Code ein, der in der Authentifizierungs-App angezeigt wird. Erfahren Sie , wie Sie die Microsoft Authenticator-App einrichten.

Von Bedeutung

Authentifizierungs-App - TOTP bietet eine höhere Sicherheit als SMS/Telefon und E-Mail ist am wenigsten sicher. Für die SMS/Telefon-basierte mehrstufige Authentifizierung fallen separate Gebühren an, die vom normalen Preismodell der Azure AD B2C-MAU abweichen.

Festlegen der mehrstufigen Authentifizierung

1. Melden Sie sich beim Azure-Portal an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.

3. Wählen Sie im linken Menü Azure AD B2C aus. Oder wählen Sie "Alle Dienste " aus, und suchen Sie nach Azure AD B2C.

4. Wählen Sie Benutzerflüsse aus.

5. Wählen Sie den Benutzerflow aus, für den Sie MFA aktivieren möchten. Beispiel: B2C_1_signinsignup.

6. Wählen Sie Eigenschaften aus.

7. Wählen Sie im Abschnitt Multifaktor-Authentifizierung den gewünschten Methodentyp aus. Wählen Sie dann unter MFA-Erzwingung eine Option aus:

   • Aus : MFA wird während der Anmeldung nie erzwungen, und Benutzer werden während der Registrierung oder Anmeldung nicht aufgefordert, sich bei MFA zu registrieren.

   • Always On – MFA ist immer erforderlich, unabhängig von Ihrer Einrichtung für bedingten Zugriff. Während der Registrierung werden Benutzer aufgefordert, sich bei der MFA zu registrieren. Wenn Benutzer während der Anmeldung noch nicht bei der MFA registriert sind, werden sie zur Registrierung aufgefordert.

   • Bedingt – Während der Anmeldung und Registrierung werden Benutzer aufgefordert, sich für die MFA anzumelden (sowohl neue Benutzer als auch bestehende Benutzer, die nicht für die MFA angemeldet sind). Während der Anmeldung wird die Mehr-Faktor-Authentifizierung (MFA) nur erzwungen, wenn eine aktive Auswertung der Richtlinien für bedingten Zugriff dies erfordert.

     • Wenn das Ergebnis einer MFA-Abfrage ohne Risiko ist, wird MFA erzwungen. Wenn der Benutzer noch nicht bei der MFA registriert ist, wird er aufgefordert, sich zu registrieren.
     • Wenn das Ergebnis eine MFA-Abfrage aufgrund eines Risikos ist und der Benutzer nicht bei MFA registriert ist, wird die Anmeldung blockiert.

   Hinweis

   • Mit der allgemeinen Verfügbarkeit des bedingten Zugriffs in Azure AD B2C werden Benutzer jetzt aufgefordert, sich während der Registrierung bei einer MFA-Methode zu registrieren. Alle Registrierungsbenutzerflüsse, die Sie vor der allgemeinen Verfügbarkeit erstellt haben, spiegeln dieses neue Verhalten nicht automatisch wider, aber Sie können das Verhalten einschließen, indem Sie neue Benutzerflüsse erstellen.
   • Wenn Sie Bedingt auswählen, müssen Sie auch bedingten Zugriff zu Benutzerflows hinzufügen und die Apps angeben, auf die die Richtlinie angewendet werden soll.
   • Die mehrstufige Authentifizierung ist für Benutzerflows bei der Registrierung standardmäßig deaktiviert. Sie können MFA in Benutzerflüssen mit der Telefonanmeldung aktivieren, da jedoch eine Telefonnummer als primärer Bezeichner verwendet wird, ist die einmalige E-Mail-Kennung die einzige Option, die für den zweiten Authentifizierungsfaktor verfügbar ist.

8. Wählen Sie Speichern aus. MFA ist jetzt für diesen Benutzerflow aktiviert.

Sie können Benutzerablauf ausführen verwenden, um die Benutzererfahrung zu überprüfen. Bestätigen Sie das folgende Szenario:

Ein Kundenkonto wird in Ihrem Mandanten erstellt, bevor der Schritt der Mehrfaktor-Authentifizierung ausgeführt wird. Während des Schritts wird der Kunde aufgefordert, eine Telefonnummer anzugeben und diese zu verifizieren. Wenn die Verifizierung erfolgreich ist, wird die Telefonnummer für die spätere Verwendung an das Konto angehängt. Selbst wenn der Kunde abbricht oder kündigt, kann der Kunde während der nächsten Anmeldung mit aktivierter Multifaktor-Authentifizierung aufgefordert werden, eine Telefonnummer erneut zu bestätigen.

Um die mehrstufige Authentifizierung zu aktivieren, rufen Sie das Starter Pack für benutzerdefinierte Richtlinien wie folgt von GitHub ab:

• Laden Sie die .zip Datei herunter, oder klonen Sie das Repository aus https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack, und aktualisieren Sie dann die XML-Dateien im SocialAndLocalAccountsWithMFA Starter Pack mit Ihrem Azure AD B2C-Mandantennamen. SocialAndLocalAccountsWithMFA aktiviert Optionen für die Anmeldung in sozialen Netzwerken und lokal sowie Optionen für die mehrstufige Authentifizierung, mit Ausnahme der Option Authenticator-App – TOTP.
• Um die Option Authenticator-App – TOTP MFA zu unterstützen, laden Sie die benutzerdefinierten Richtliniendateien von https://github.com/azure-ad-b2c/samples/tree/master/policies/totpherunter, und aktualisieren Sie dann die XML-Dateien mit dem Namen Ihres Azure AD B2C-Mandanten. Stellen Sie sicher, dass Sie die TrustFrameworkExtensions.xml, TrustFrameworkLocalization.xml und TrustFrameworkBase.xml XML-Dateien aus dem SocialAndLocalAccounts-Starterpaket einschließen.
• Aktualisieren Sie Ihr [Seitenlayout] auf Version 2.1.14. Weitere Informationen finden Sie unter Auswählen eines Seitenlayouts.

Registrieren eines Benutzers in TOTP mit einer Authentifizierungs-App (für Endbenutzer)

Wenn eine Azure AD B2C-Anwendung die TOTP-Option für MFA verwendet, müssen Endbenutzer eine Authentifizierungs-App verwenden, um TOTP-Codes zu generieren. Benutzer können die Microsoft Authenticator-App oder eine andere Authentifizierungs-App verwenden, die die TOTP-Überprüfung unterstützt. Wenn Sie die Microsoft Authenticator-App verwenden, muss ein Azure AD B2C-Systemadministrator Endbenutzern raten, die Microsoft Authenticator-App mit den folgenden Schritten einzurichten:

1. Laden Sie die Microsoft Authenticator-App herunter und installieren Sie sie auf Ihrem Android- oder iOS-Mobilgerät.
2. Öffnen Sie die Azure AD B2C-Anwendung, für die Sie TOTP für MFA verwenden müssen, z. B. Contoso-Webapp, und melden Sie sich dann an, oder registrieren Sie sich, indem Sie die erforderlichen Informationen eingeben.
3. Wenn Sie aufgefordert werden, Ihr Konto zu registrieren, indem Sie einen QR-Code mit einer Authentifizierungs-App scannen, öffnen Sie die Microsoft Authenticator-App auf Ihrem Smartphone, und wählen Sie in der oberen rechten Ecke das Menüsymbol mit den 3 Punkten (für Android) oder + das Menüsymbol (für iOS) aus.
4. Wählen Sie + Konto hinzufügen aus.
5. Wählen Sie Anderes Konto (Google, Facebook usw.) aus, und scannen Sie dann den QR-Code, der in der Azure AD B2C-Anwendung angezeigt wird, um Ihr Konto zu registrieren. Wenn Sie den QR-Code nicht scannen können, können Sie das Konto manuell hinzufügen:
   1. Wählen Sie in der Microsoft Authenticator-App auf Ihrem Handy ODER CODE MANUELL EINGEBEN aus.
   2. Wählen Sie in der Azure AD B2C-Anwendung die Option "Weiterhin Probleme?" aus. Daraufhin werden der Kontoname und der geheime Schlüssel angezeigt.
   3. Geben Sie den Kontonamen und den geheimen Schlüssel in Ihrer Microsoft Authenticator-App ein, und wählen Sie dann FERTIG STELLEN aus.
6. Wählen Sie in der Azure AD B2C-Anwendung die Option Weiter aus.
7. Geben Sie im Bereich Geben Sie Ihren Code den Code ein, der in Ihrer Microsoft Authenticator-App angezeigt wird.
8. Wählen Sie Überprüfen aus.
9. Geben Sie bei der anschließenden Anmeldung bei der Anwendung den Code ein, der in der Microsoft Authenticator-App angezeigt wird.

Erfahren Sie mehr über OATH-Software-Token

Löschen der TOTP-Authentifizierungsregistrierung eines Benutzers (für Systemadministratoren)

In Azure AD B2C können Sie die Registrierung der TOTP-Authentifizierungs-App eines Benutzers löschen. Der Benutzer ist dann gezwungen, sein Konto erneut zu registrieren, um die TOTP-Authentifizierung erneut zu verwenden. Um die TOTP-Registrierung eines Benutzers zu löschen, können Sie entweder das Azure-Portal oder die Microsoft Graph-API verwenden.

Hinweis

• Durch das Löschen der Registrierung der TOTP-Authentifizierungs-App eines Benutzers aus Azure AD B2C wird das Konto des Benutzers in der TOTP-Authentifizierungs-App auf seinem Gerät nicht entfernt. Der Systemadministrator muss den Benutzer anweisen, sein Konto manuell aus der TOTP-Authentifizierungs-App auf seinem Gerät zu löschen, bevor er versucht, sich erneut zu registrieren.
• Wenn der Benutzer versehentlich sein Konto aus der TOTP-Authentifizierungs-App löscht, muss er einen Systemadministrator oder App-Besitzer benachrichtigen, der die TOTP-Authentifizierungsregistrierung des Benutzers aus Azure AD B2C löschen kann, damit sich der Benutzer erneut registrieren kann.

Löschen der Registrierung der TOTP-Authentifizierungs-App über das Azure-Portal

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie im linken Menü Benutzer aus.
4. Suchen Sie nach dem Benutzer, für den Sie die Registrierung der TOTP-Authentifizierungs-App löschen möchten, und wählen Sie ihn aus.
5. Wählen Sie im linken Menü Authentifizierungsmethoden aus.
6. Suchen Sie unter Verwendbare Authentifizierungsmethoden nach OATH-Softwaretoken, und wählen Sie dann daneben das Menü mit den drei Punkten aus. Wenn Sie diese Benutzeroberfläche nicht sehen, wählen Sie die Option "Wechseln Sie zu den neuen Benutzerauthentifizierungsmethoden! Klicken Sie hier, um es jetzt zu verwenden", um zur neuen Authentifizierungsmethodenoberfläche zu wechseln.
7. Wählen Sie Löschen und dann Ja aus, um den Löschvorgang zu bestätigen.

Löschen der Registrierung der TOTP-Authentifizierungs-App mithilfe der Microsoft Graph-API

Erfahren Sie, wie Sie die Authentifizierungsmethode für Software-OATH-Token eines Benutzers mithilfe der Microsoft Graph-API löschen.

SMS-Tarifstufen nach Land/Region

Die folgende Tabelle enthält Einzelheiten zu den verschiedenen Tarifstufen für SMS-basierte Authentifizierungsdienste in verschiedenen Ländern oder Regionen. Weitere Informationen zu den Preisen finden Sie unter Azure AD B2C – Preise.

SMS ist eine Add-on-Funktion und erfordert ein verknüpftes Abonnement. Wenn Ihr Abonnement abläuft oder gekündigt wird, können sich Endbenutzer nicht mehr per SMS authentifizieren, was sie je nach Ihren MFA-Richtlinien daran hindern könnte, sich anzumelden.

Tarif	Länder/Regionen
Telefonische Authentifizierung mit geringen Kosten	Australien, Brasilien, Brunei, Kanada, Chile, China, Kolumbien, Zypern, Nordmazedonien, Polen, Portugal, Südkorea, Thailand, Türkiya, Vereinigte Staaten
Telefonische Authentifizierung mit mittleren geringen Kosten	Grönland, Albanien, Amerikanisch-Samoa, Österreich, Bahamas, Bahrain, Bosnien & Herzegowina, Botsuana, Costa Rica, Tschechische Republik, Dänemark, Estland, Färöerinseln, Finnland, Frankreich, Griechenland, Hongkong SAR, Ungarn, Island, Irland, Italien, Japan, Lettland, Litauen, Luxemburg, Macao SAR, Malta, Mexiko, Mikronesien, Moldawien, Namibia, Neuseeland, Nicaragua, Norwegen, Rumänien, São Tomé und Príncipe, Republik Seychellen, Singapur, Slowakei, Salomonen, Spanien, Schweden, Schweiz, Taiwan, Vereinigtes Königreich, Vereinigte Staaten Jungferninseln, Uruguay
Telefonische Authentifizierung mit mittleren hohen Kosten	Andorra, Angola, Anguilla, Antarktis, Antigua und Barbuda, Argentinien, Armenien, Aruba, Barbados, Belgien, Benin, Bolivien, Bonaire, Curaçao, Saba, Sint Eustatius and Sint Maarten, Britische Jungferninseln, Bulgarien, Burkina Faso, Kamerun, Kaimaninseln, Zentralafrikanische Republik, Cookinseln, Elfenbeinküste, Kroatien, Diego Garcia, Dschibuti, Dominikanische Republik, Dominikanische Republik, Dominikanische Republik, Ecuador, El Salvador, Eritrea, Falklandinseln, Fidschi, Französisch-Guayana, Französisch-Polynesien, Gambia, Georgien, Deutschland, Gibraltar, Grenada, Guadeloupe, Guam, Guinea, Guyana, Honduras, Indien, Kenia, Kiribati, Laos, Liberia, Malaysia, Marshallinseln, Martinique, Mauritius, Monaco, Montenegro, Montserrat, Niederlande, , Neukaledonien, Niue, Oman, Palau, Panama, Paraguay, Peru, Puerto Rico, Puerto Rico, Réunion, Ruanda, St. Helena, Ascension und Tristan de Cunha, St. Kitts und Nevis, St. Lucia, St. Pierre und Miquelon, St. Vincent und die Grenadinen, Saipan, Samoa, San Marino, Saudi-Arabien, Sint Maarten, Slowenien, Südafrika, Südsudan, Suriname, Swasiland (Neuer Name: Königreich Eswatini), Osttimor, Tokelau, Tonga, Turks und Caicos, Tuvalu, Vereinigte Arabische Emirate, Vanuatu, Venezuela, Vietnam, Wallis und Futuna
Telefonische Authentifizierung mit hohen Kosten	Liechtenstein, Bermuda, Cabo Verde, Kambodscha, Demokratische Republik Kongo, Dominica, Ägypten, Äquatorialguinea, Ghana, Guatemala, Guinea-Bissau, Israel, Jamaika, Kosovo, Lesotho, Malediven, Mali, Mauritanien, Marokko, Mosambik, Papua-Neuguinea, Philippinen, Katar, Sierra Leone, Trinidad & Tobago, Ukraine, Simbabwe, Afghanistan, Algerien, Aserbaidschan, Bangladesch, Belarus, Belize, Burundi, Chad, Komoren, Kongo, Äthiopien, Gabonische Republik, Haiti, Indonesien, Irak, Jordanien, Kuwait, Kirgisistan, Libanon, Libyen, Madagaskar, Malawi, Mongolei, Myanmar, Nauru, Nepal, Nigeria, Pakistan, palästinensische Nationale Behörde, Russland, Senegal, Serbien, Somalia, Sri Lanka, Sudan, Tadschikistan, Tansania, Togolese Republik, Tunesien, Turkmenistan, Uganda, Usbekistan, Jemen, Sambia

Nächste Schritte

• Erfahren Sie mehr über das TOTP-Anzeigesteuerelement und das technische Microsoft Entra ID-Profil für die mehrstufige Authentifizierung