Aktivieren der benutzerspezifischen Microsoft Entra-Multi-Faktor-Authentifizierung zum Schutz von Anmeldeereignissen

  • Artikel

Zum Schutz von Benutzeranmeldeereignissen in Microsoft Entra ID können Sie eine Multi-Faktor-Authentifizierung vorschreiben. Der empfohlene Ansatz zum Schutz der Benutzer*innen ist die Aktivierung der Microsoft Entra-Multi-Faktor-Authentifizierung unter Verwendung von Richtlinien für bedingten Zugriff. Der bedingte Zugriff ist ein Feature von Microsoft Entra ID P1 oder P2, mit dem Sie Regeln anwenden können, um in bestimmten Szenarien eine Multi-Faktor-Authentifizierung als erforderlich festzulegen. Informationen zu den ersten Schritten für die Verwendung des bedingten Zugriffs finden Sie im Tutorial: Schützen von Benutzeranmeldeereignissen mit Microsoft Entra-Multi-Faktor-Authentifizierung.

Für kostenlose Microsoft Entra ID-Mandanten ohne bedingten Zugriff können Sie Sicherheitsstandards zum Schutz von Benutzer*innen verwenden. Benutzer werden ggf. zur Durchführung von MFA aufgefordert. Sie können jedoch keine eigenen Regeln definieren, um das Verhalten zu steuern.

Bei Bedarf können Sie stattdessen für einzelnen Konten die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung aktivieren. Bei der individuellen Aktivierung führen Benutzer*innen bei jeder Anmeldung eine Multi-Faktor-Authentifizierung durch (mit einigen Ausnahmen, z. B. wenn sie sich von vertrauenswürdigen IP-Adressen aus anmelden oder wenn das Feature Speichern der MFA auf vertrauenswürdigen Geräten aktiviert ist).

Das Ändern des Benutzerstatus wird nur empfohlen, wenn Ihre Microsoft Entra ID-Lizenzen keinen bedingten Zugriff umfassen und Sie keine Sicherheitsstandards verwenden möchten. Weitere Informationen zu den verschiedenen Möglichkeiten zum Aktivieren der MFA finden Sie unter Features und Lizenzen für die Microsoft Entra-Multi-Faktor-Authentifizierung.

Wichtig

In diesem Artikel wird erläutert, wie Sie den Status für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung anzeigen und ändern. Wenn Sie bedingten Zugriff oder Sicherheitsstandardeinstellungen verwenden, führen Sie nicht die folgenden Schritte aus, um Benutzerkonten zu überprüfen oder zu aktivieren.

Wenn Sie die Microsoft Entra-Multi-Faktor-Authentifizierung über eine Richtlinie für bedingten Zugriff aktivieren, wird dadurch der Benutzerstatus nicht geändert. Keine Sorge, falls Benutzer als deaktiviert angezeigt werden. Der Status wird durch bedingten Zugriff nicht geändert.

Aktivieren oder erzwingen Sie keine benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung, wenn Sie Richtlinien für bedingten Zugriff verwenden.

Benutzerstatus für die Microsoft Entra-Multi-Faktor-Authentifizierung

Der Benutzerstatus gibt an, ob der Benutzer bzw. die Benutzer*in durch eine*n Administrator*in für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung registriert wurde. Es gibt für Benutzerkonten bei der Microsoft Entra-Multi-Faktor-Authentifizierung drei verschiedene Status:

State BESCHREIBUNG Legacyauthentifizierung betroffen Browser-Apps betroffen Moderne Authentifizierung betroffen
Disabled Der Standardstatus von Benutzer*innen, die nicht für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung registriert wurden. Nein Nr. Nein
Enabled Der bzw. die jeweilige Benutzer*in ist für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung registriert, kann jedoch für die Legacyauthentifizierung weiterhin sein/ihr Kennwort verwenden. Wenn der Benutzer noch keine MFA-Authentifizierungsmethoden registriert hat, wird er beim nächsten Anmelden mit moderner Authentifizierung (z. B. über einen Webbrowser) zum Registrieren aufgefordert. Nein. Legacyauthentifizierung wird weiterhin ausgeführt, bis die Registrierung abgeschlossen ist. Ja. Nach Ablauf der Sitzung ist eine Registrierung für die Microsoft Entra-Multi-Faktor-Authentifizierung erforderlich. Ja. Nach Ablauf des Tokens ist eine Registrierung für die Microsoft Entra-Multi-Faktor-Authentifizierung erforderlich.
Erzwungen Der bzw. die Benutzer*in wird für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung registriert. Wenn der Benutzer noch keine Authentifizierungsmethoden registriert hat, wird er beim nächsten Anmelden mit moderner Authentifizierung (z. B. über einen Webbrowser) zum Registrieren aufgefordert. Benutzern, die beim Durchführen der Registrierung den Status Aktiviert aufweisen, wird automatisch der Status Erzwungen zugewiesen. Ja. Für Apps sind App-Kennwörter erforderlich. Ja. Bei der Anmeldung ist eine Microsoft Entra-Multi-Faktor-Authentifizierung erforderlich. Ja. Bei der Anmeldung ist eine Microsoft Entra-Multi-Faktor-Authentifizierung erforderlich.

Der Anfangsstatus aller Benutzer lautet Deaktiviert. Wenn Sie Benutzer*innen für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung registrieren, ändert sich der Status der Benutzer*innen in Aktiviert. Wenn aktivierte Benutzer sich anmelden und den Registrierungsprozess abschließen, ändert sich ihr Status in Erzwungen. Administratoren können die Status der Benutzer ändern, z. B. von Erzwungen in Aktiviert oder Deaktiviert.

Hinweis

Wenn MFA pro Benutzer für einen Benutzer erneut aktiviert wird und sich der Benutzer nicht erneut registriert, ändert sich der MFA-Status auf der MFA-Verwaltungsoberfläche nicht von Aktiviert in Erzwungen. Der Administrator muss dem Benutzer Erzwungen direkt zuweisen.

Anzeigen des Status eines Benutzers

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Um Benutzerstatus anzuzeigen und zu verwalten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie MFA pro Benutzer aus. Screenshot of select multifactor authentication from the Users window in Azure AD.
  4. Eine neue Seite wird geöffnet, auf der, wie im folgenden Beispiel gezeigt, der Benutzerstatus angezeigt wird. Screenshot that shows example user state information for Microsoft Entra multifactor authentication

Ändern des Status eines Benutzers

Führen Sie die folgenden Schritte aus, um den Status der benutzerspezifischen Microsoft Entra-Multi-Faktor-Authentifizierung für eine*n Benutzer*in zu ändern:

  1. Führen Sie die vorherigen Schritte aus, um den Status von Benutzer*innen anzuzeigen und zur Seite Benutzer für die Microsoft Entra-Multi-Faktor-Authentifizierung zu gelangen.

  2. Suchen Sie nach den Benutzer*innen, für die Sie die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung aktivieren möchten. Sie müssen möglicherweise oben die Ansicht in Benutzer ändern. Select the user to change status for from the users tab

  3. Aktivieren Sie das Kontrollkästchen neben den Namen der Benutzer, deren Status geändert werden soll.

  4. Wählen Sie auf der rechten Seite unter QuickSteps die Option Aktivieren oder Deaktivieren aus. Im folgenden Beispiel hat der Benutzer John Smith ein Häkchen neben seinem Namen und ist für die Verwendung aktiviert: Enable selected user by clicking Enable on the quick steps menu

    Tipp

    Für Benutzer*innen mit dem Status Aktiviert wird dieser automatisch in Erzwungen geändert, wenn sie sich für die Microsoft Entra-Multi-Faktor-Authentifizierung registrieren. Ändern Sie den Benutzerstatus nicht manuell in Erzwungen, es sei denn, der Benutzer ist bereits registriert, oder die Unterbrechung der Verbindung mit den Legacyauthentifizierungsprotokollen ist für den Benutzer akzeptabel.

  5. Bestätigen Sie Ihre Auswahl im Popupfenster, das geöffnet wird.

Benachrichtigen Sie die Benutzer per E-Mail, nachdem Sie die Benutzer aktiviert haben. Teilen Sie den Benutzern mit, dass eine Aufforderung angezeigt wird, sich bei der nächsten Anmeldung zu registrieren. Und wenn Ihre Organisation auch nicht auf Browsern basierende Apps verwendet, die die moderne Authentifizierung nicht unterstützen, müssen die Benutzer App-Kennwörter erstellen. Weitere Informationen finden Sie im Leitfaden zur Microsoft Entra-Multi-Faktor-Authentifizierung für Endbenutzer*innen.

Nächste Schritte

Informationen zum Konfigurieren der Einstellungen für die Microsoft Entra-Multi-Faktor-Authentifizierung finden Sie unter Konfigurieren von Einstellungen für die Microsoft Entra-Multi-Faktor-Authentifizierung.

Informationen zum Verwalten von Benutzereinstellungen für die Microsoft Entra-Multi-Faktor-Authentifizierung finden Sie unter Verwalten von Benutzereinstellungen für die Microsoft Entra-Multi-Faktor-Authentifizierung.

Weitere Informationen dazu, warum Benutzer*innen zur Durchführung einer Multi-Faktor-Authentifizierung aufgefordert wurden oder nicht, finden Sie in den Berichten zur Microsoft Entra-Multi-Faktor-Authentifizierung.