Authentifizierungsmethoden in Azure Active Directory – Microsoft Authenticator-App
Die Microsoft Authenticator-App bietet eine zusätzliche Sicherheitsstufe für Ihr Azure AD-Geschäfts-, Schul- oder Uni-Konto bzw. Ihr Microsoft-Konto und ist verfügbar für Android und iOS. Mit der Microsoft Authenticator-App können sich Benutzer bei der Anmeldung ohne Kennwort authentifizieren. Alternativ können Sie die App bei der Self-Service-Kennwortzurücksetzung (SSPR) oder bei Ereignissen der Multi-Faktor-Authentifizierung als zusätzliche Prüfoption verwenden.
Benutzer erhalten dann eine Benachrichtigung über die mobile App und können den Vorgang genehmigen oder ablehnen. Sie können aber auch mit der Microsoft Authenticator-App einen OATH-Prüfcode generieren und auf einem Anmeldebildschirm eingeben. Wenn Sie sowohl die Benachrichtigung als auch den Prüfcode aktivieren, können Benutzer, die die Microsoft Authenticator-App registrieren, ihre Identität anhand von beiden Methoden bestätigen.
Informationen zur Verwendung der Authenticator-App an einer Anmeldeaufforderung anstelle der Kombination aus Benutzername und Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.
Hinweis
- Wenn Benutzer SSPR aktivieren, haben sie keine Möglichkeit, die mobile App zu registrieren. Stattdessen können sie die mobile App auf https://aka.ms/mfasetup oder im Rahmen der kombinierten Registrierung von Sicherheitsinformationen auf https://aka.ms/setupsecurityinfo registrieren.
- Die Authenticator-App wird auf Betaversionen von iOS und Android möglicherweise nicht unterstützt. Darüber hinaus unterstützt die Authentifikator-App unter Android ab dem 20. Oktober 2023 keine älteren Versionen der Android-Unternehmensportal mehr. Android-Benutzer mit Unternehmensportal-Versionen unter 2111 (5.0.5333.0) können sich erst dann erneut registrieren oder neue Instanzen der Authentifikator-App registrieren, wenn sie ihre Unternehmensportal-Anwendung auf eine neuere Version aktualisieren.
Anmeldung ohne Kennwort
Benutzer, die die Anmeldung per Smartphone über die Authenticator-App aktiviert haben, wird nach dem Eingeben des Benutzernamens keine Aufforderung zur Eingabe eines Kennworts angezeigt, sondern eine Meldung, in der sie dazu aufgefordert werden, in der App eine Zahl einzugeben. Nach der Auswahl der richtigen Nummer ist der Anmeldevorgang abgeschlossen.
Diese Authentifizierungsmethode bietet ein hohes Maß an Sicherheit. Zudem muss der Benutzer bei der Anmeldung kein Kennwort mehr eingeben.
Informationen zu den ersten Schritten mit der Anmeldung ohne Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.
Benachrichtigung über mobile App
Die Microsoft Authenticator-App kann dazu beitragen, nicht autorisierten Zugriff auf Konten zu verhindern und betrügerische Transaktionen zu stoppen, indem sie eine Benachrichtigung an Ihr Smartphone oder Tablet sendet. Benutzer sehen die Benachrichtigung und wählen Bestätigen aus, wenn der Vorgang rechtmäßig ist. Andernfalls können sie Verweigern auswählen.
Hinweis
Ab August 2023 werden bei Anmeldungen von unbekannten Standorten keine Benachrichtigungen mehr generiert. Ähnlich wie bei unbekannten Standorten in Smart Lockout wird ein Standort während der ersten 14 Nutzungstage oder innerhalb der ersten 10 Anmeldungen „bekannt“. Wenn der Standort unbekannt ist oder wenn der entsprechende, für Pushbenachrichtigungen zuständige Google- oder Apple-Dienst nicht verfügbar ist, wird Benutzer*innen nicht wie üblich ihre Benachrichtigung angezeigt. In diesem Fall sollten sie Microsoft Authenticator bzw. Authenticator Lite in einer Begleit-App wie Outlook öffnen, die Ansicht aktualisieren (durch Ziehen nach unten oder Verwenden von Aktualisieren) und die Anforderung genehmigen.
In China funktioniert die Methode Benachrichtigung durch mobile App auf Android-Geräten nicht, weil die Google Play-Dienste (einschließlich der Pushbenachrichtigungen) in dieser Region gesperrt sind. iOS-Benachrichtigungen funktionieren jedoch. Daher sollten Benutzer*innen von Android-Geräten alternative Authentifizierungsmethoden zur Verfügung gestellt werden.
Prüfcode über die mobile App
Die Microsoft Authenticator-App kann als Softwaretoken zum Generieren eines OATH-Prüfcodes verwendet werden. Nachdem Sie Benutzernamen und Kennwort eingegeben haben, geben Sie im Anmeldebildschirm den in der Authenticator-App generierten Code ein. Der Überprüfungscode kann als zweite Authentifizierungsmethode eingegeben werden.
Hinweis
Von Authenticator generierte OATH-Prüfcodes werden für die zertifikatbasierte Authentifizierung nicht unterstützt.
Benutzer verfügen möglicherweise über eine Kombination aus bis zu fünf OATH-Hardwaretoken oder Authentifizierungsanwendungen wie die Authenticator-App, die für die jederzeitige Verwendung konfiguriert sind.
FIPS 140-konform für Azure AD-Authentifizierung
Ab Version 6.6.8 ist Microsoft Authenticator für iOS mit FIPS 140 (Federal Information Processing Standard) für alle Azure AD-Authentifizierungen mit mehrstufiger Pushauthentifizierung (Multi-Factor Authentication, MFA), kennwortloser Anmeldung per Telefon (Phone Sign-In, PSI) und zeitbasierten Einmal-Passcodes (Time-Based One-Time Passcodes, TOTP) konform.
In Übereinstimmung mit den in NIST SP 800-63B beschriebenen Richtlinien sind Authentifikatoren zum Verwenden validierter FIPS 140-Kryptografie erforderlich. Dies hilft Bundesbehörden, die Anforderungen von Executive Order (EO) 14028 und von Organisationen im Gesundheitswesen zu erfüllen, die mit Electronic Prescriptions for Controlled Substances (EPCS) arbeiten.
Der FIPS 140 ist ein Standard für US-Bundesbehörden, der Mindestsicherheitsanforderungen für kryptografische Module in IT-Produkten und -Systemen definiert. Tests gemäß FIPS 140-Standard werden vom Cryptographic Module Validation Program (CMVP) verwaltet.
Es sind keine Änderungen an Konfigurationen in Microsoft Authenticator oder im Microsoft Entra Admin Center erforderlich, um Konformität mit FIPS 140 zu ermöglichen. Ab Version 6.6.8 von Microsoft Authenticator für iOS sind Azure AD-Authentifizierungen standardmäßig FIPS 140-konform.
Authenticator nutzt die native Apple-Kryptografie, um Konformität mit FIPS 140, Security Level 1 auf Apple iOS-Geräten mit Microsoft Authenticator ab Version 6.6.8 zu erreichen. Weitere Informationen zu den verwendeten Zertifizierungen finden Sie im Artikel zum Apple CoreCrypto-Modul.
Konformität mit FIPS 140 für Microsoft Authenticator für Android ist in der Entwicklung und wird in Kürze folgen.
Bestimmen des Microsoft Authenticator-Registrierungstyps in meinen Sicherheitsinformationen
Das Verwalten und Hinzufügen zusätzlicher Microsoft Authenticator-Registrierungen kann von Benutzer*innen durchgeführt werden, indem sie auf https://aka.ms/mysecurityinfo zugreifen oder „Sicherheitsinformationen“ unter „Mein Konto“ auswählen. Bestimmte Symbole werden verwendet, um zu unterscheiden, ob die Microsoft Authenticator-Registrierung die kennwortlose Anmeldung per Telefon oder MFA unterstützt.
| Authentificator-Registrierungstyp | Symbol |
|---|---|
| Microsoft Authenticator: kennwortlose Anmeldung per Telefon |  |
| Microsoft Authenticator: MFA-fähig |  |
Nächste Schritte
Informationen zu den ersten Schritten mit der Anmeldung ohne Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.
Lernen Sie mehr über die Konfiguration der Authentifizierungsmethoden mithilfe der Microsoft Graph REST-API.