![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(16, 80%, 11%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EN%3C/text%3E%3C/svg%3E)
Microsoft Security | Intune | Andere
Other Intune-related topics, including unsupported scenarios and platform-specific behaviors
Die wichtigste Aussage ist: Unbekannte Authenticator-Pushanfragen sollten Sie niemals bestätigen. Wenn solche Aufforderungen ohne Ihre eigene Anmeldung erscheinen, ist das ein Hinweis darauf, dass jemand zumindest versucht, sich mit Ihrem Konto anzumelden.
Ja, Microsoft Authenticator kann grundsätzlich auf zwei unterschiedliche Arten genutzt werden: per Push-/Benachrichtigung oder per zeitbasiertem Prüfcode. Microsoft dokumentiert für Authenticator sowohl Benachrichtigungen als auch Verifizierungscodes/OATH-Codes.
Ich würde so vorgehen:
- Bestätigen Sie keine unbekannte Authenticator-Anfrage.
- Ändern Sie vorsorglich das Kennwort des betroffenen Kontos.
- Prüfen Sie die letzten Anmeldeaktivitäten und entfernen Sie unbekannte Geräte oder Sicherheitsinformationen.
- Stellen Sie, falls verfügbar, die Standard-Anmeldemethode auf Authenticator-Code/TOTP statt Authenticator-Benachrichtigung.
- Entfernen Sie Push/Telefonanmeldung nur dann, wenn mindestens eine andere funktionierende Sicherheitsinformation vorhanden ist, sonst riskieren Sie eine Kontosperre.
Bei einem privaten Microsoft-Konto gehen Sie zu account.microsoft.com/security und dann zu Manage how I sign in bzw. den Sicherheitsinformationen. Microsoft beschreibt, dass die zweistufige Überprüfung Sicherheitscodes per E-Mail, Telefon oder Authenticator-App verwenden kann. Wenn beim Entfernen der Anmeldebenachrichtigung die Meldung erscheint, dass Microsoft Authenticator entfernt wird, ist Vorsicht angebracht: Dann kann diese Portalansicht die Authenticator-Registrierung als zusammenhängende Sicherheitsinformation behandeln. Entfernen Sie sie nicht, bevor Sie eine andere funktionierende Methode eingerichtet und getestet haben.
Bei einem Arbeits- oder Schulkonto in Microsoft Entra kann es zusätzlich durch die Organisation gesteuert sein. Microsoft Entra unterstützt Authenticator-Benachrichtigungen und Authenticator-Verifizierungscodes. Wenn Sie die Methode nicht selbst auf Code/TOTP umstellen können, muss ein Administrator die Authentifizierungsmethodenrichtlinie prüfen. Für Entra-Pushbenachrichtigungen ist Number Matching zwar eine wichtige Schutzmassnahme, aber es ersetzt nicht den Wunsch, Push ganz zu vermeiden. Microsoft dokumentiert auch, dass bei einer anderen Standardmethode, z.B. TOTP, die Standardanmeldung nicht auf Authenticator-Push umgestellt wird.
Kurz gesagt: Ja, Code-only ist als Ziel sinnvoll, aber entfernen Sie nicht blind den gesamten Authenticator-Eintrag. Richten Sie zuerst eine alternative Sicherheitsinformation ein, testen Sie den Code, ändern Sie das Passwort und entfernen oder deaktivieren Sie danach nur die Push-/Telefonanmeldung, soweit das Portal oder Ihre Organisation das zulässt.
Relevante Dokumentation:
- Microsoft Authenticator authentication method: https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-authenticator-app
- Number matching in Authenticator push notifications: https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-mfa-number-match
- Two-step verification with a Microsoft account: https://support.microsoft.com/en-us/accounts-billing/security/how-to-use-two-step-verification-with-your-microsoft-account
- About Microsoft Authenticator: https://support.microsoft.com/en-us/authenticator/about-microsoft-authenticator
- Microsoft Authenticator FAQs: https://support.microsoft.com/en-us/authenticator/microsoft-authenticator-faqs
Offenlegung: Dieser Antwortentwurf wurde mit Unterstützung von ChatGPT erstellt und anhand der oben verlinkten Microsoft-Dokumentation geprüft.