Welche Authentifizierungs- und Prüfmethoden stehen in Azure Active Directory zur Verfügung?
Microsoft empfiehlt kennwortlose Authentifizierungsmethoden wie Windows Hello, FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App, weil sie die sicherste Umgebung für Anmeldungen bieten. Obwohl sich ein Benutzer mit anderen gängigen Methoden wie „Benutzername“ und „Kennwort“ anmelden kann, sollten Kennwörter durch sicherere Authentifizierungsmethoden ersetzt werden.
Bei der Benutzeranmeldung bietet Azure AD Multi-Factor Authentication (MFA) zusätzliche Sicherheit im Vergleich zur alleinigen Verwendung eines Kennworts. Der Benutzer kann aufgefordert werden, sich zusätzlich in einer anderen Form zu authentifizieren, z. B. durch die Antwort auf eine Pushbenachrichtigung, die Eingabe eines Codes von einem Software- oder Hardwaretoken oder die Beantwortung einer SMS oder eines Telefonanrufs.
Um die Umgebung für das Onboarding von Benutzern zu vereinfachen und diese sowohl für MFA als auch für SSPR (Self-Service Password Reset, Self-Service-Kennwortzurücksetzung) zu registrieren, empfiehlt es sich, die kombinierte Registrierung von Sicherheitsinformationen zu aktivieren. Aus Resilienzgründen ist es empfehlenswert, Benutzer aufzufordern, mehrere Authentifizierungsmethoden zu registrieren. Wenn eine Methode bei der Anmeldung oder bei SSPR für einen Benutzer nicht verfügbar ist, kann er sich wahlweise mit einer anderen Methode authentifizieren. Weitere Informationen finden Sie unter Erstellen einer robusten Verwaltungsstrategie für die Zugriffssteuerung (Azure AD).
Dieses Video soll Sie bei der Wahl der besten Authentifizierungsmethode zum Schutz Ihrer Organisation unterstützen.
Stärke und Sicherheit von Authentifizierungsmethoden
Wenn Sie in Ihrer Organisation Features wie Azure AD Multi-Factor Authentication bereitstellen, überprüfen Sie die verfügbaren Authentifizierungsmethoden. Wählen Sie die Methoden aus, die Ihre Anforderungen im Hinblick auf Sicherheit, Nutzbarkeit und Verfügbarkeit erfüllen oder darüber hinausgehen. Verwenden Sie nach Möglichkeit Authentifizierungsmethoden mit der höchsten Sicherheitsstufe.
In der folgenden Tabelle sind die Sicherheitsaspekte der verfügbaren Authentifizierungsmethoden aufgeführt. Verfügbarkeit ist ein Hinweis darauf, dass der Benutzer die Authentifizierungsmethode verwenden kann, nicht auf die Dienstverfügbarkeit in Azure AD:
| Authentifizierungsmethode | Sicherheit | Benutzerfreundlichkeit | Verfügbarkeit |
|---|---|---|---|
| Windows Hello for Business | High | High | High |
| Microsoft Authenticator | High | High | High |
| Authenticator Lite | High | High | High |
| FIDO2-Sicherheitsschlüssel | High | High | Hoch |
| Zertifikatbasierte Authentifizierung (Vorschau) | Hoch | High | High |
| OATH-Hardwaretoken (Vorschau) | Medium | Medium | High |
| OATH-Softwaretoken | Medium | Medium | High |
| SMS | Medium | High | Medium |
| Sprache | Medium | Medium | Medium |
| Kennwort | Niedrig | High | High |
Aktuelle Informationen zur Sicherheit finden Sie in unseren Blogbeiträgen:
- Die Verwendung des Telefonnetzes für die Authentifizierung sollte eingestellt werden.
- Authentifizierungsrisiken und Angriffsvektoren
Tipp
Aus Gründen der Flexibilität und Benutzerfreundlichkeit empfehlen wir, die Microsoft Authenticator-App zu verwenden. Diese Authentifizierungsmethode bietet die bestmögliche Benutzererfahrung und verfügt über mehrere Modi, z. B. kennwortlose Authentifizierung, MFA-Pushbenachrichtigungen und OATH-Codes.
Funktionsweise der einzelnen Authentifizierungsmethoden
Einige Authentifizierungsmethoden können als primärer Faktor verwendet werden, wenn Sie sich bei einer Anwendung oder einem Gerät anmelden, z. B. mit einem FIDO2-Sicherheitsschlüssel oder einem Kennwort. Andere Authentifizierungsmethoden sind nur als sekundärer Faktor verfügbar, wenn Sie Azure AD Multi-Factor Authentication oder SSPR verwenden.
Aus der folgenden Tabelle geht hervor, wann eine Authentifizierungsmethode bei einem Anmeldeereignis verwendet werden kann:
| Methode | Primäre Authentifizierung | Sekundäre Authentifizierung |
|---|---|---|
| Windows Hello for Business | Ja | MFA* |
| Microsoft Authenticator | Ja | MFA und SSPR |
| Authenticator Lite | Nein | MFA |
| FIDO2-Sicherheitsschlüssel | Ja | MFA |
| Zertifikatbasierte Authentifizierung | Ja | Nein |
| OATH-Hardwaretoken (Vorschau) | Nein | MFA und SSPR |
| OATH-Softwaretoken | Nein | MFA und SSPR |
| SMS | Ja | MFA und SSPR |
| Anruf | Nein | MFA und SSPR |
| Kennwort | Ja |
* Windows Hello for Business selbst dient nicht als Step-Up-MFA-Anmeldeinformation. Beispiel: MFA-Herausforderung aufgrund der Anmeldehäufigkeit oder einer SAML-Anforderung mit forceAuthn=true. Windows Hello for Business kann durch Verwendung in der FIDO2-Authentifizierung als Step-Up-MFA-Anmeldeinformation dienen. Damit dies erfolgreich funktioniert, muss die FIDO2-Authentifizierung für Benutzer aktiviert werden.
All diese Authentifizierungsmethoden können im Azure-Portal und zunehmend auch mithilfe der Microsoft Graph-REST-API konfiguriert werden.
Weitere Informationen zur Funktionsweise der einzelnen Authentifizierungsmethoden finden Sie in den folgenden einzelnen konzeptionellen Artikeln:
- Windows Hello for Business
- Microsoft Authenticator-App
- FIDO2-Sicherheitsschlüssel
- Zertifikatbasierte Authentifizierung
- OATH-Hardwaretoken (Vorschau)
- Oath-Softwaretoken
- SMS-basierte Anmeldung und Überprüfung
- Überprüfung mit Sprachanruf
- Kennwort
Hinweis
In Azure AD wird häufig ein Kennwort als primäre Authentifizierungsmethode verwendet. Die Authentifizierungsmethode über Kennwort kann nicht deaktiviert werden. Wenn Sie ein Kennwort als primären Authentifizierungsfaktor verwenden, sollten Sie die Sicherheit von Anmeldeereignissen mithilfe von Azure AD Multi-Factor Authentication erhöhen.
In bestimmten Szenarien können die folgenden zusätzlichen Überprüfungsmethoden verwendet werden:
- App-Kennwörter – Werden für alte Anwendungen verwendet, die keine moderne Authentifizierung unterstützen. Können für die benutzerbezogene Azure AD Multi-Factor Authentication konfiguriert werden.
- Sicherheitsfragen: Werden nur für SSPR verwendet.
- E-Mail-Adresse: Wird nur für SSPR verwendet.
Nächste Schritte
Informationen zum Einstieg finden Sie im Tutorial zur Self-Service-Kennwortzurücksetzung (SSPR) und im Tutorial zu Azure AD Multi-Factor Authentication.
Weitere Informationen zu SSPR-Konzepten finden Sie unter So funktioniert's: Self-Service-Kennwortzurücksetzung in Azure AD.
Weitere Informationen zu MFA-Konzepten finden Sie unter Funktionsweise von Azure AD Multi-Factor Authentication.
Lernen Sie mehr über die Konfiguration der Authentifizierungsmethoden mithilfe der Microsoft Graph REST-API.
Weitere Informationen zu den verwendeten Authentifizierungsmethoden finden Sie unter Azure AD Multi-Factor Authentication authentication method analysis with PowerShell (Authentifizierungsmethode von Azure AD Multi-Factor Authentication mit PowerShell).