Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Kontowiederherstellung ist eine Microsoft Entra ID Funktion, mit der Benutzer wieder auf ihre Organisationskonten zugreifen können, wenn sie alle registrierten Authentifizierungsmethoden verlieren , z. B. wenn ein primäres Gerät verloren geht, gestohlen oder kompromittiert wird. Im Gegensatz zur Selbstbedienungskennwortzurücksetzung (SSPR), bei der Benutzer mindestens eine Authentifizierungsmethode beibehalten müssen, stellt die Kontowiederherstellung das Vertrauen in die Identität eines Benutzers durch eine Überprüfung durch Dritte wieder her, bevor der Zugriff gewährt wird.
Die Kontowiederherstellung ersetzt die manuelle, vom Helpdesk geführte Wiederherstellung durch eine automatisierte Identitätsprüfung. Die herkömmliche Helpdesk-Wiederherstellung ist anfällig für Social-Engineering-Angriffe, bei denen böswillige Akteure Supportmitarbeiter manipulieren, um unrechtmäßig Zugriff zu gewähren. Die Kontowiederherstellung beseitigt diesen Angriffsvektor mithilfe von behörden ausgestellter Identifikation und biometrischer Überprüfung durch zertifizierte Identitätsüberprüfungsanbieter.
Grundlagen der Kontowiederherstellung
Die Kontowiederherstellung ist ein Authentifizierungswiederherstellungsmechanismus für Szenarien, in denen Benutzer der vollständigen Authentifizierungssperre ausgesetzt sind – alle registrierten Methoden sind nicht verfügbar, und herkömmliche Self-Service-Optionen können nicht hilfreich sein.
Wichtige Merkmale
- Identitätsorientiert – Verschiebt die Wiederherstellung von dem, was Sie wissen (Kennwörter) und was Sie haben (Geräte, Sicherheitsschlüssel) zu dem, wer Sie sind durch eine umfassende Identitätsüberprüfung mittels von Behörden ausgestellter ID und biometrischer Daten.
- Wiederherstellung des Vertrauens – Behandelt die Wiederherstellung als Re-Onboarding-Szenario. Die Organisation verifiziert und stellt das Vertrauen in die Identität des Benutzers wieder her, bevor der Zugriff gewährt wird, um neue Authentifizierungsmethoden zu registrieren.
- Built on Verified ID – Microsoft Entra Verified ID und Face Check werden zusammen mit Identitätsüberprüfungsdiensten von Drittanbietern genutzt, die im Microsoft Security Store verfügbar sind.
- Profilbasierte Konfiguration – Administratoren erstellen Identitätsüberprüfungsprofile, die das Wiederherstellungsverhalten pro Benutzergesamtheit definieren – einschließlich des Anbieters, der Überprüfung, der Anwendung des Wiederherstellungsmodus und der Funktionsweise der Kontoüberprüfung.
Wann sollte die Kontowiederherstellung verwendet werden?
- Geräteverlust oder Diebstahl – Ein Benutzer verliert den Telefon- oder Sicherheitsschlüssel, der seine Authentifikator-App, den Passkey oder andere Authentifizierungsmethoden enthält.
- Vollständige Authentifizierungssperre – Alle registrierten Authentifizierungsmethoden sind gleichzeitig nicht verfügbar.
- Reaktion auf Kontokompromittierung – Ein Sicherheitsvorfall erfordert eine vollständige Zurücksetzung der Authentifizierungsmethode als Teil der Reaktion auf Vorfälle.
Kontowiederherstellung im Vergleich zur Self-Service-Kennwortrücksetzung
Obwohl die Kontowiederherstellung und SSPR den Benutzerzugriff wiederherstellen, behandeln sie unterschiedliche Szenarien:
| Aspekt | Self-Service-Kennwortzurücksetzung (SSPR) | Kontowiederherstellung |
|---|---|---|
| Primärer Anwendungsfall | Benutzer hat das Kennwort vergessen, behält aber Zugriff auf Authentifizierungsmethoden. | Der Benutzer hat den Zugriff auf alle Authentifizierungsmethoden verloren |
| Authentifizierungsanforderung | Mindestens eine registrierte Methode (Richtlinie kann bis zu zwei erfordern) | Identitätsüberprüfung über einen zertifizierten Anbieter |
| Vertrauensannahme | Die Identität des Benutzers wird über vorhandene Methoden überprüft. | Die Identität des Benutzers muss neu eingerichtet werden. |
| Wiederherstellungsbereich | Nur Kennwort | Vollständiges Zurücksetzen der Authentifizierungsmethode |
| Technologieabhängigkeit | Vorhandene MFA-Methoden | Identitätsüberprüfungsdienste, überprüfte ID |
| Sicherheitsstufe | Medium — basiert auf bereits registrierten Methoden | Hoch – erfordert umfassende Identitätsnachweise |
Geschäftliche Vorteile
- Reduzierte Helpdesk-Belastung – Sichere Self-Service-Wiederherstellung für totale Sperrszenarien reduziert Supporttickets mit hoher Priorität, die manuelle Eingriffe erfordern.
- Verbesserte Benutzererfahrung – Benutzer stellen Konten unabhängig wieder her, ohne auf die Helpdesk-Verfügbarkeit zu warten und ausfallzeiten in kritischen Situationen zu reduzieren.
- Stärkere Sicherheitslage – Die Identitätsüberprüfung bietet eine stärkere Sicherheit als herkömmliche Wiederherstellungsmethoden, die auf datenverwendbaren Social Engineering-Informationen basieren.
- Skalierbar für Remotearbeit – Organisationen unterstützen verteilte Mitarbeiter, ohne dass physische Anwesenheitsinformationen oder komplexe manuelle Überprüfung erforderlich sind.
Tip
Die Übersichtsseite "Kontowiederherstellung" im Microsoft Entra Admin Center enthält einen Kostenschätzer, der Organisationen dabei hilft, potenzielle Einsparungen abzuschätzen, indem traditionelle Helpdesk-Wiederherstellungskosten mit der Self-Service-Kontowiederherstellung verglichen werden.
Funktionsweise der Kontowiederherstellung
Die Kontowiederherstellung erfolgt über einen strukturierten Identitätsüberprüfungs- und Vertrauenswiederherstellungsprozess, der bei der Anmeldung beginnt.
Kernkomponenten
Identitätsüberprüfungsanbieter (IDV) – Vertrauenswürdige Drittanbieterdienste, die die Benutzeridentität mithilfe von behörden ausgestellten Dokumenten, biometrischer Überprüfung und anderen Methoden mit hoher Zuverlässigkeit überprüfen. Diese Anbieter stellen überprüfbare Nachweise aus, die die verifizierte Identität des Benutzers belegen. Anbieter sind über den Microsoft Security Store verfügbar.
Microsoft Entra Verified ID – Der dezentrale Identitätsdienst, mit dem Benutzer während der Wiederherstellung kryptografisch sichere Identitätsanmeldeinformationen darstellen können. Diese Zugangsdaten stellen einen manipulationssicheren Nachweis der Identitätsüberprüfung bereit, ohne vertrauliche persönliche Informationen preiszugeben. Weitere Informationen finden Sie unter Introduction to Microsoft Entra Verified ID.
Identity-Überprüfungsprofile – Konfigurationsobjekte in der Microsoft Entra Admin Center, die definieren, wie die Kontowiederherstellung für eine bestimmte Benutzergruppe funktioniert. Jedes Profil gibt den Wiederherstellungsmodus, Zielbenutzergruppen, Identitätsüberprüfungsanbieter und Kontoüberprüfungsregeln an. Organisationen können mehrere Profile erstellen, um unterschiedliche Benutzerpopulationen mit unterschiedlichen Anforderungen zu unterstützen.
Custom Authentication Extensions – Optionale Azure Functions, Logic Apps oder REST-API-Endpunkte, die während der Wiederherstellung organisationsspezifische Logik für die Kontoüberprüfung hinzufügen. Überprüfte Ansprüche des Identitätsüberprüfungsanbieters werden an die Erweiterung übergeben, die sie anhand von Organisationsdaten wie HRIS-Systemen oder Mitarbeiterverzeichnissen überprüft. Erweiterungen sollten verwaltete Identitäten oder andere geheimnislose Authentifizierung für die Dienst-zu-Dienst-Kommunikation verwenden. Alle von der Erweiterung verarbeiteten Daten bleiben innerhalb der Vertrauensgrenze der Organisation – keine Organisationsdaten werden mit Microsoft geteilt.
Wiederherstellungsfluss
Der Kontowiederherstellungsprozess kombiniert mehrere Überprüfungsebenen, um sicherzustellen, dass nur legitime Kontobesitzer wieder Zugriff erhalten.
Kontoermittlung
Der Benutzer stellt seinen Kontobezeichner bei der Anmeldung bereit und gibt an, dass er nicht auf sein Konto zugreifen kann. Das System überprüft, ob das Konto basierend auf den vom Mandantenadministrator konfigurierten Identitätsüberprüfungsprofilen für die Wiederherstellung berechtigt ist, und leitet den Benutzer dann an den entsprechenden Identitätsüberprüfungsanbieter weiter.
Identitätsüberprüfung
Der Benutzer wird an den Identitätsüberprüfungsanbieter umgeleitet, der in ihrem entsprechenden Profil angegeben ist. Der Anbieter überprüft vom Staat ausgestellte Identifikationsdokumente mit erweiterter Betrugserkennung. Liveness-Prüfungen und Gesichtserkennung bestätigen, dass die Person physisch anwesend ist. Nach erfolgreicher Überprüfung erhält der Benutzer eine nachweisbare Anmeldeinformation (verifizierte ID), die in Microsoft Authenticator gespeichert ist.
Überprüfung der Anmeldeinformationen
Der Benutzer präsentiert seine neu erworbene überprüfte ID in Microsoft Entra ID. Das System überprüft die Authentizität der Anmeldeinformationen und gleicht identitätsattribute aus den Anmeldeinformationen anhand der gespeicherten Benutzerprofilinformationen ab – Vorname und Nachname standardmäßig. Wenn eine benutzerdefinierte Authentifizierungserweiterung im Profil konfiguriert ist, wird die zusätzliche Anspruchsüberprüfung an den Organisationsdaten durchgeführt.
Zugriffswiederherstellung
Der Benutzer erhält einen temporären Zugriffspass mit eingeschränkter Gültigkeit und wird durch die Registrierung neuer Authentifizierungsmethoden wie Passkeys geführt.
Identitätsüberprüfungsprofile
Identitätsüberprüfungsprofile sind das zentrale Konfigurationsobjekt für die Kontowiederherstellung. Jedes Profil definiert Folgendes:
- Profilname und -beschreibung — Ein freundlicher Name, um den Zweck des Profils leicht zu erkennen.
- Wiederherstellungsmodus – Gibt an, ob das Profil im Auswertungsmodus ausgeführt wird (nur Tests – Konten werden nicht wiederhergestellt) oder produktionsmodus (vollständige Wiederherstellung aktiviert).
- Benutzergruppenbereich – Für welche Benutzer das Profil gilt, definiert durch eingeschlossene und ausgeschlossene Gruppen.
- Identitätsüberprüfungsanbieter – Der Drittanbieter, der die Identitätsprüfung für Benutzer in diesem Profil durchführt.
- Kontovalidierungsregeln – Wie Identitätsansprüche mit Entra-Benutzereigenschaften abgeglichen werden, einschließlich Übereinstimmungsvertrauen (exakt oder flexibel) und Validierung einer optionalen benutzerdefinierten Authentifizierungserweiterung.
Organisationen erstellen mehrere Profile, um unterschiedliche Anforderungen für ihre Benutzerpopulationen zu erfüllen. Ein Profil für Unternehmensmitarbeiter kann z. B. einen anderen Identitätsüberprüfungsanbieter oder strengere Überprüfungsregeln als ein Profil für Mitarbeiter in Service und Produktion verwenden.
Evaluierungs- und Produktionsmodi
Jedes Identitätsüberprüfungsprofil wird in einem von zwei Modi betrieben:
- Auswertung – Benutzer können den Identitätsüberprüfungsfluss testen, um zu bestätigen, dass er ordnungsgemäß funktioniert. Konten werden in diesem Modus nicht wiederhergestellt. Verwenden Sie den Auswertungsmodus, um die Erfahrung mit einer kleinen Gruppe zu überprüfen, bevor Sie die vollständige Wiederherstellung aktivieren.
- Produktion – Benutzer, die die Identitätsüberprüfung abschließen, können ihre Konten vollständig wiederherstellen, einen temporären Zugriffspass erhalten und Authentifizierungsmethoden erneut registrieren.
Beginnen Sie mit dem Auswertungsmodus für neue Profile, um zu bestätigen, dass der Identitätsüberprüfungsablauf für Ihre Benutzer und Richtlinien funktioniert, bevor Sie zur Produktion wechseln.
Hinweis
Die Identitätsüberprüfung umfasst die Verarbeitung von von behörden ausgestellten Dokumenten und biometrischen Daten über Drittanbieter. Überprüfen Sie die Datenschutz-, Datenaufbewahrungs- und regionalen Complianceanforderungen Ihrer Organisation, bevor Sie die Kontowiederherstellung bereitstellen.
Kontoüberprüfung und benutzerdefinierte Authentifizierungserweiterungen
Standardmäßig gleicht die Kontowiederherstellung Identitätsansprüche des Anbieters mit den Eigenschaften Vorname und Nachname des Benutzers in Microsoft Entra ID ab. Admins können das Konfidenzniveau für den Abgleich konfigurieren:
- Genau – Ansprüche müssen exakt übereinstimmen.
- Entspannt – Ermöglicht geringfügige Abweichungen beim Namensabgleich.
Tip
Bei vertraulichen Benutzerpopulationen sollten Sie eine benutzerdefinierte Authentifizierungserweiterung aktivieren, um zusätzliche Ansprüche über den Vor- und Nachnamen hinaus zu überprüfen. Standardmäßiger Name-only-Abgleich bietet möglicherweise keine ausreichende Sicherheit für Konten mit hohem Risiko.
Für Organisationen, die eine stärkere Überprüfung benötigen, fügen benutzerdefinierte Authentifizierungserweiterungen eine zweite Ebene des Kontoabgleichs hinzu. Während der Wiederherstellung werden die überprüften Anspruchsdaten des Identitätsüberprüfungsanbieters an einen unternehmenseigenen Endpunkt, wie eine Azure Function, Logic App oder REST-API, weitergeleitet, um sie mit autoritativen Datenquellen, z. B. zu validieren:
- HRIS-Systeme (Mitarbeiterdatensätze)
- Mitarbeiterverzeichnisse
- Ausweisverwaltungssysteme
- Andere unternehmenseigene Datenspeicher
Important
Die von der benutzerdefinierten Authentifizierungserweiterung verarbeiteten Daten bleiben innerhalb der Vertrauensgrenze der Organisation. Es werden keine Organisationsdaten an Microsoft weitergegeben – nur das Ergebnis der Übereinstimmungsprüfung wird an den Prozess zur Kontowiederherstellung weitergeleitet.
Nächste Schritte
Die Konfiguration der Kontowiederherstellung dauert etwa 5 bis 10 Minuten. Starten Sie im Auswertungsmodus, damit Sie die Erfahrung überprüfen können, bevor Sie die Produktionswiederherstellung aktivieren. Um zu beginnen, lesen Sie Aktivieren und Konfigurieren der Kontowiederherstellung in Microsoft Entra ID.
Verwandte Inhalte
- Aktivieren und Konfigurieren der Kontowiederherstellung in Microsoft Entra ID
Wie Endbenutzer die Kontowiederherstellung in Microsoft Entra ID - Selten gestellte Fragen zur Microsoft Entra ID Kontowiederherstellung
- What is Microsoft Entra Verified ID?
- Aktivieren Sie die Temporary Access Pass-Richtlinie
- Funktionsweise: Kennwort selbstständig mit Microsoft Entra zurücksetzen