Konfigurieren und Aktivieren von Benutzern für die SMS-basierte Authentifizierung mit Microsoft Entra ID
Um die Anmeldung bei Anwendungen und Diensten zu vereinfachen und zu sichern, bietet Microsoft Entra ID mehrere Authentifizierungsoptionen. Bei der SMS-basierten Authentifizierung können sich Benutzer ohne Angabe oder sogar Kenntnis ihres Benutzernamens und Kennworts anmelden. Nachdem das Konto von einem Identitätsadministrator erstellt wurde, können sie bei der Anmeldeaufforderung ihre Telefonnummer eingeben. Sie erhalten einen Authentifizierungscode per SMS, den sie angeben können, um die Anmeldung abzuschließen. Diese Authentifizierungsmethode vereinfacht den Zugriff auf Anwendungen und Dienste, insbesondere für Außendienstmitarbeiter.
In diesem Artikel erfahren Sie, wie Sie die SMS-basierte Authentifizierung für ausgewählte Benutzer oder Gruppen in Microsoft Entra ID aktivieren. Eine Liste von Apps, die die Verwendung von SMS-basierter Anmeldung unterstützen, finden Sie unter App-Unterstützung für die SMS-basierte Authentifizierung.
Voraussetzungen
Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Ein aktives Azure-Abonnement.
- Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
- Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist.
- Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
- Sie benötigen mindestens die Rolle Administrator für Authentifizierungsrichtlinien in Ihrem Microsoft Entra-Mandanten, um die SMS-basierte Authentifizierung zu aktivieren.
- Jeder Benutzer, der in der Richtlinie für die Authentifizierung per SMS aktiviert wird, muss lizenziert werden, auch wenn er diese Authentifizierungsmethode nicht nutzt. Alle aktivierten Benutzer müssen über eine der folgenden Microsoft Entra ID, EMS oder Microsoft 365-Lizenzen verfügen:
Bekannte Probleme
Hier sind einige bekannte Probleme aufgeführt:
- Die SMS-basierte Authentifizierung ist zurzeit nicht mit Microsoft Entra Multi-Faktor-Authentifizierung kompatibel.
- Mit Ausnahme von Teams ist die SMS-basierte Authentifizierung nicht mit nativen Office-Anwendungen kompatibel.
- Die SMS-basierte Authentifizierung von B2B-Konten wird nicht unterstützt.
- Verbundbenutzer werden nicht im Basismandanten authentifiziert. Sie werden nur in der Cloud authentifiziert.
- Wenn die Standardanmeldemethode eines Benutzers eine SMS oder ein Anruf an seine Telefonnummer ist, wird der SMS-Code oder Sprachanruf während der mehrstufigen Authentifizierung automatisch gesendet. Ab Juni 2021 werden einige Apps Benutzer auffordern, zuerst SMS oder Anruf auszuwählen. Diese Option verhindert, dass zu viele Sicherheitscodes für verschiedene Apps gesendet werden. Wenn die Standardanmeldungsmethode die Microsoft Authenticator-App ist (was dringend empfohlen wird), wird die App-Benachrichtigung automatisch gesendet.
Aktivieren der SMS-basierten Authentifizierungsmethode
Das Aktivieren und Verwenden der SMS-basierten Authentifizierung in Ihrer Organisation umfasst drei Hauptschritte:
- Aktivieren der Authentifizierungsmethodenrichtlinie
- Auswählen der Benutzer oder Gruppen, die die SMS-basierte Authentifizierungsmethode verwenden können
- Zuweisen einer Telefonnummer zu jedem Benutzerkonto
- Diese Telefonnummer kann im Microsoft Entra Admin Center (in diesem Artikel gezeigt) und unter Meine Mitarbeiter oder Mein Konto zugewiesen werden.
Zunächst aktivieren Sie die SMS-basierte Authentifizierung für Ihren Microsoft Entra-Mandanten.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinien.
Wählen Sie in der Liste der verfügbaren Authentifizierungsmethoden SMS aus.
Klicken Sie auf Aktivieren, und wählen Sie Zielbenutzer aus. Sie können die SMS-basierte Authentifizierung für Alle Benutzer aktivieren oder Benutzer und Gruppen auswählen.
Hinweis
Aktivieren Sie das Kontrollkästchen Zur Anmeldung verwenden, um die SMS-basierte Authentifizierung als ersten Faktor zu konfigurieren (d. h. um Benutzer*innen zu erlauben, sich mit dieser Methode anzumelden). Wenn Sie diese Option nicht aktivieren, steht die SMS-basierte Authentifizierung nur für die Multi-Faktor-Authentifizierung und die Self-Service-Kennwortzurücksetzung zur Verfügung.
Zuweisen der Authentifizierungsmethode zu Benutzern und Gruppen
Nachdem die SMS-basierte Authentifizierung in Ihrem Microsoft Entra-Mandanten nun aktiviert ist, wählen Sie einige Benutzer oder Gruppen aus, die diese Authentifizierungsmethode verwenden dürfen.
- Legen Sie im Fenster der Richtlinie für die Authentifizierung per SMS das Ziel auf Benutzer auswählen fest.
- Wählen Sie Benutzer oder Gruppen hinzufügen und dann einen Testbenutzer oder eine Gruppe aus, z. B. Contoso User oder Contoso SMS Users.
- Wenn Sie die Benutzer oder Gruppen ausgewählt haben, wählen Sie Auswählen und dann Speichern aus, um die aktualisierte Authentifizierungsmethodenrichtlinie zu speichern.
Jeder Benutzer, der in der Richtlinie für die Authentifizierung per SMS aktiviert wird, muss lizenziert werden, auch wenn er diese Authentifizierungsmethode nicht nutzt. Stellen Sie sicher, dass Sie über die entsprechenden Lizenzen für die Benutzer verfügen, die Sie in der Authentifizierungsmethodenrichtlinie aktivieren, insbesondere wenn Sie das Feature für umfangreiche Benutzergruppen aktivieren.
Festlegen einer Telefonnummer für Benutzerkonten
Die Benutzer sind jetzt für die SMS-basierte Authentifizierung aktiviert, aber Ihre Telefonnummer muss noch dem Benutzerprofil in Microsoft Entra zugeordnet werden, bevor sie sich anmelden können. Ein Benutzer kann diese Telefonnummer selbstständig unter Mein Konto festlegen, oder Sie können die Telefonnummer im Microsoft Entra Admin Center zuweisen. Telefonnummern können von denen festgelegt werden, die mindestens die Rolle Authentifizierungsadministrator haben.
Wenn eine Telefonnummer für die SMS-basierte Anmeldung festgelegt ist, kann sie auch für die Microsoft Entra-Multi-Faktor-Authentifizierung und die Self-Service-Kennwortzurücksetzung verwendet werden.
Suchen Sie nach Microsoft Entra ID und wählen Sie sie aus.
Wählen Sie im Navigationsmenü auf der linken Seite im Fenster „Microsoft Entra“ die Option Benutzer aus.
Wählen Sie den Benutzer aus, für den Sie im vorherigen Abschnitt die SMS-basierte Authentifizierung aktiviert haben (z. B. Contoso User), und wählen Sie dann Authentifizierungsmethoden aus.
Wählen Sie + Authentifizierungsmethode hinzufügen und dann im Dropdownmenü Methode auswählen die Option Telefonnummer aus.
Geben Sie die Telefonnummer des Benutzers ein, einschließlich des Ländercodes, z. B. +49 xxxxxxxxx. Das Microsoft Entra Admin Center überprüft das korrekte Format der Telefonnummer.
Wählen Sie dann im Dropdownmenü Telefontyp die Option Mobil, Alternative Mobiltelefonnummer oder bei Bedarf Sonstige aus.
Die Telefonnummer muss in Ihrem Mandanten eindeutig sein. Wenn Sie versuchen, dieselbe Telefonnummer für mehrere Benutzer zu verwenden, wird eine Fehlermeldung angezeigt.
Wenn Sie die Telefonnummer auf das Konto eines Benutzers anwenden möchten, wählen Sie Hinzufügen aus.
Wenn die Bereitstellung erfolgreich ist, wird ein Häkchen bei SMS Sign-in enabled (SMS-Anmeldung aktiviert) angezeigt.
Testen der SMS-basierten Anmeldung
Führen Sie die folgenden Schritte aus, um zu testen, ob das Benutzerkonto jetzt für die SMS-basierte Anmeldung aktiviert ist:
Öffnen Sie ein neues Webbrowserfenster im InPrivate- oder Inkognitomodus, und browsen Sie zu https://www.office.com.
Wählen Sie in der rechten oberen Ecke Anmelden aus.
Geben Sie an der Anmeldeaufforderung die Telefonnummer ein, die dem Benutzer im vorherigen Abschnitt zugeordnet wurde, und wählen Sie dann Weiter aus.
Eine SMS wird an die angegebene Telefonnummer gesendet. Um den Anmeldevorgang abzuschließen, geben Sie den sechsstelligen Code aus der SMS an der Anmeldeaufforderung ein.
Der Benutzer ist jetzt angemeldet, ohne dass er einen Benutzernamen oder ein Kennwort angeben musste.
Behandeln von Problemen mit der SMS-basierten Anmeldung
Sie können die folgenden Szenarien und Schritte zur Problembehandlung anwenden, wenn Sie Probleme beim Aktivieren und Verwenden der SMS-basierten Anmeldung haben. Eine Liste von Apps, die die Verwendung von SMS-basierter Anmeldung unterstützen, finden Sie unter App-Unterstützung für die SMS-basierte Authentifizierung.
Telefonnummer bereits für ein Benutzerkonto festgelegt
Wenn ein Benutzer bereits für Microsoft Entra-Multi-Faktor-Authentifizierung oder die Self-Service-Kennwortzurücksetzung (SSPR) registriert ist, wurde seinem Konto bereits eine Telefonnummer zugeordnet. Diese Telefonnummer steht nicht automatisch für die Verwendung bei der SMS-basierten Anmeldung zur Verfügung.
Für Benutzer, in deren Konto bereits eine Telefonnummer festgelegt wurde, wird auf der Seite Mein Profil die Schaltfläche Enable for SMS sign-in (SMS-Anmeldung aktivieren) angezeigt. Durch Auswählen dieser Schaltfläche wird das Konto für die Verwendung der SMS-basierten Anmeldung und der zuvor bereits erfolgten Registrierung für Microsoft Entra-Multi-Faktor-Authentifizierung oder SSPR aktiviert.
Weitere Informationen zum Ablauf für den Endbenutzer finden Sie unter SMS-Anmeldung mit einer Telefonnummer.
Fehler beim Festlegen einer Telefonnummer für ein Benutzerkonto
Wenn Sie beim Versuch, im Microsoft Entra Admin Center eine Telefonnummer für ein Benutzerkonto festzulegen, eine Fehlermeldung erhalten, versuchen Sie die folgenden Schritte zum Troubleshooting:
- Stellen Sie sicher, dass Sie für die SMS-basierte Anmeldung aktiviert wurden.
- Vergewissern Sie sich, dass das Benutzerkonto in der Richtlinie für die Authentifizierungsmethode SMS aktiviert ist.
- Stellen Sie im Microsoft Entra Admin Center sicher, dass Sie die Telefonnummer im richtigen Format festgelegt haben (z. B. + 1 4251234567).
- Stellen Sie sicher, dass die Telefonnummer nicht an anderer Stelle in Ihrem Mandanten verwendet wird.
- Vergewissern Sie sich, dass für das Konto keine Voicemailnummer festgelegt wurde. Wenn eine Voicemailnummer festgelegt wurde, löschen Sie die Telefonnummer, und versuchen Sie es erneut.
Nächste Schritte
- Eine Liste von Apps, die die Verwendung von SMS-basierter Anmeldung unterstützen, finden Sie unter App-Unterstützung für die SMS-basierte Authentifizierung.
- Weitere Möglichkeiten zum Anmelden bei Microsoft Entra ID ohne Kennwort, z. B. die Microsoft Authenticator-App oder FIDO2-Sicherheitsschlüssel, finden Sie unter Optionen für die kennwortlose Authentifizierung für Microsoft Entra ID.
- Sie können auch Microsoft Graph-REST-API verwenden, um die SMS-basierte Anmeldung zu aktivieren oder zu deaktivieren.