So funktioniert's: Azure AD Multi-Faktor-Authentifizierung

  • Artikel

Multi-Faktor-Authentifizierung ist ein Prozess, bei dem Benutzer während des Anmeldevorgangs zur Durchführung eines weiteren Identifizierungsverfahrens aufgefordert werden, z. B. per Eingabe eines Codes auf dem Smartphone oder per Fingerabdruckscan.

Wenn Sie zum Authentifizieren von Benutzern nur ein Kennwort nutzen, kann dies einen Angriffsvektor darstellen und mit Unsicherheit verbunden sein. Falls das Kennwort nicht sicher ist oder offengelegt wurde, könnte es ein Angreifer nutzen, um Zugriff zu erlangen. Wenn Sie ein zweites Authentifizierungsverfahren erzwingen, wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.

Abbildung zum Konzept der unterschiedlichen Arten von Multi-Faktor-Authentifizierung.

Für Azure AD Multi-Factor Authentication sind mindestens zwei der folgenden Authentifizierungsverfahren obligatorisch:

  • Eine dem Benutzer bekannte Information (meist ein Kennwort).
  • Ein im Besitz des Benutzers befindliches Objekt, z. B. ein vertrauenswürdiges Gerät, das nicht ohne Weiteres dupliziert werden kann (Telefon oder Hardwareschlüssel)
  • Ein biometrisches Merkmal des Benutzers (Fingerabdruck- oder Gesichtsscan).

Azure AD Multi-Factor Authentication kann außerdem die Kennwortzurücksetzung noch sicherer machen. Wenn sich Benutzer für Azure AD Multi-Factor Authentication registrieren, können sie sich auch gleichzeitig für die Self-Service-Kennwortzurücksetzung registrieren. Administratoren können Formen für die sekundäre Authentifizierung auswählen und Herausforderungen für MFA basierend auf Konfigurationsentscheidungen konfigurieren.

Sie müssen Apps oder Dienste nicht ändern, um die Azure AD Multi-Faktor-Authentifizierung verwenden zu können. Die Überprüfungsaufforderungen sind Teil der Azure AD-Anmeldung, bei der die MFA-Abfrage bei Bedarf automatisch angefordert und verarbeitet wird.

Hinweis

Die Eingabeaufforderungssprache wird durch die Einstellungen des Browsergebietsschemas bestimmt. Wenn Sie benutzerdefinierte Begrüßungen verwenden, aber keine für die im Browsergebietsschema ermittelte Sprache haben, wird standardmäßig Englisch verwendet. Der Netzwerkrichtlinienserver (Network Policy Server, NPS) verwendet standardmäßig immer Englisch, unabhängig von benutzerdefinierten Begrüßungen. Englisch wird auch standardmäßig verwendet, wenn das Browsergebietsschema nicht identifiziert werden kann.

MFA-Anmeldebildschirm.

Verfügbare Überprüfungsmethoden

Wenn ein Benutzer sich bei einer Anwendung oder einem Dienst anmeldet und eine MFA-Aufforderung erhält, kann er eine der registrierten Formen der zusätzlichen Überprüfung wählen. Benutzer können Mein Profil auswählen, um Überprüfungsmethoden zu bearbeiten oder hinzuzufügen.

Die folgenden zusätzlichen Formen der Überprüfung können bei Azure AD Multi-Factor Authentication verwendet werden:

  • Microsoft Authenticator
  • Authenticator Lite (in Outlook)
  • Windows Hello for Business
  • FIDO2-Sicherheitsschlüssel
  • OATH-Hardwaretoken (Vorschau)
  • OATH-Softwaretoken
  • sms
  • Anruf

Aktivieren und Verwenden von Azure AD Multi-Factor Authentication

Sie können Sicherheitsstandards in Azure AD-Mandanten verwenden, um Microsoft Authenticator schnell für alle Benutzer zu aktivieren. Sie können die Azure AD Multi-Faktor-Authentifizierung aktivieren, um Benutzer und Gruppen während der Anmeldung zur zusätzlichen Überprüfung aufzufordern.

Für die genauere Steuerung können Richtlinien für bedingten Zugriff verwendet werden, um Ereignisse oder Anwendungen zu definieren, die MFA erfordern. Diese Richtlinien können reguläre Anmeldungen zulassen, wenn sich der Benutzer im Unternehmensnetzwerk befindet oder ein registriertes Gerät verwendet, jedoch zusätzliche Überprüfungsfaktoren anfordern, wenn der Benutzer remote arbeitet oder ein persönliches Gerät verwendet.

Diagramm, in dem dargestellt ist, wie der Anmeldevorgang durch bedingten Zugriff geschützt wird.

Nächste Schritte

Informationen zur Lizenzierung finden Sie unter Features und Lizenzen für Azure AD Multi-Factor Authentication.

Weitere Informationen zu verschiedenen Authentifizierungs- und Validierungsmethoden finden Sie unter Authentifizierungsmethoden in Azure Active Directory.

Wenn Sie MFA in Aktion erleben möchten, aktivieren Sie im folgenden Tutorial Azure AD Multi-Factor Authentication für eine Reihe von Testbenutzern:

Aktivieren von Azure AD Multi-Factor Authentication