Konfigurieren Sie Microsoft Entra Einstellungen für die mehrstufige Authentifizierung

  • Artikel

Zum Anpassen der Endbenutzerumgebung für Microsoft Entra Multi-Factor Authentication können Sie Optionen für Einstellungen wie die Schwellenwerte für die Kontosperrung oder Betrugswarnungen und -benachrichtigungen konfigurieren.

Die folgenden Microsoft Entra mehrstufige Authentifizierungseinstellungen sind verfügbar:

Funktion BESCHREIBUNG
Kontosperrung (nur MFA-Server) Hiermit wird bei Konten die Verwendung von Microsoft Entra Multi-Factor Authentication vorübergehend gesperrt, wenn zu viele aufeinanderfolgende Authentifizierungsversuche abgelehnt wurden. Diese Funktion betrifft nur Benutzer, die MFA-Server zur Eingabe einer PIN zur Authentifizierung verwenden.
Benutzer sperren/zulassen Verhindern Sie, dass bestimmte Benutzer Microsoft Entra Multi-Factor Authentication-Anforderungen empfangen können. Authentifizierungsversuche für gesperrte Benutzer werden automatisch abgelehnt. Benutzer bleiben ab dem Zeitpunkt der Sperrung 90 Tage lang gesperrt, es sei denn, sie werden manuell entsperrt.
Betrugswarnung Hiermit können Einstellungen konfiguriert werden, die es Benutzern ermöglichen, betrügerische Identitätsprüfungsanforderungen zu melden.
Melden verdächtiger Aktivitäten Hiermit können Einstellungen konfiguriert werden, die es Benutzern ermöglichen, betrügerische Identitätsprüfungsanforderungen zu melden.
Benachrichtigungen Aktivieren Sie Benachrichtigungen für Ereignisse vom MFA-Server.
OATH-Token Wird in cloudbasierten Microsoft Entra Multi-Factor Authentication-Umgebungen zum Verwalten von OATH-Token für Benutzer verwendet.
Einstellungen für Telefonanruf Konfigurieren Sie Einstellungen für Telefonanrufe und Ansagen für Cloud- und lokale Umgebungen.
Anbieter Hier werden alle vorhandenen Authentifizierungsanbieter angezeigt, die Sie möglicherweise mit Ihrem Konto verknüpft haben. Das Hinzufügen neuer Anbieter ist ab dem 1. September 2018 deaktiviert.

Einstellungen für Microsoft Entra Multifactor Authentication

Kontosperrung (nur MFA-Server)

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Hinweis

Die Kontosperre betrifft nur Benutzer, die sich mit dem MFA-Server vor Ort anmelden.

Mithilfe der Kontosperreinstellungen können Sie festlegen, wie viele fehlgeschlagene Versuche zugelassen werden, bevor das Konto vorübergehend gesperrt wird, um wiederholte MFA-Versuche im Rahmen eines Angriffs zu verhindern. Die Einstellungen für die Kontosperrung werden nur angewendet, wenn ein PIN-Code für die MFA-Eingabeaufforderung über den MFA-Server vor Ort eingegeben wird.

Die folgenden Einstellungen sind verfügbar:

  • Anzahl von MFA-Verweigerungen zum Auslösen einer Kontosperrung
  • Zeitraum in Minuten, bis der Zähler für die Kontosperrung zurückgesetzt wird
  • Zeitraum in Minuten, bis das Konto automatisch entsperrt wird

Um die Kontosperreinstellungen zu konfigurieren, führen Sie diese Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Kontosperrung. Möglicherweise müssen Sie auf Mehr anzeigen klicken, um Multi-Faktor-Authentifizierung anzuzeigen.

  3. Geben Sie die Werte für Ihre Umgebung ein, und wählen Sie dann Speichern aus.

    Screenshot mit den Einstellungen für die Kontosperrung

Benutzer sperren/zulassen

Wenn das Gerät eines Benutzers verloren geht oder gestohlen wird, können Sie Microsoft Entra Multi-Faktor-Authentifizierung-Versuche für das zugeordnete Konto sperren. Sämtliche Microsoft Entra Multi-Faktor-Authentifizierungs-Versuche für gesperrte Benutzer werden automatisch abgelehnt. Benutzer bleiben ab dem Zeitpunkt der Sperrung 90 Tage lang gesperrt. Ein Video, in dem dies erläutert wird, finden Sie unter How to block and unblock users in your tenant (Sperren und Entsperren von Benutzern in Ihrem Mandanten).

Sperren eines Benutzers

Führen Sie die folgenden Schritte aus, um einen Benutzer zu sperren.

Sehen Sie sich ein kurzes Video an, in dem dieser Prozess beschrieben wird.

  1. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Benutzer blockieren/Blockierung aufheben.
  2. Wählen Sie Hinzufügen aus, um einen Benutzer zu sperren.
  3. Geben Sie den Benutzernamen für den gesperrten Benutzer im Format username@domain.com ein, und geben Sie dann im Feld Grund einen Kommentar ein.
  4. Wählen Sie OK aus, um den Benutzer zu sperren.

Entsperren von Benutzer*innen

Führen Sie zum Entsperren eines Benutzers die folgenden Schritte aus:

  1. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Benutzer blockieren/Blockierung aufheben.
  2. Wählen Sie in der Spalte Aktion neben dem Benutzer Entsperren aus.
  3. Geben Sie im Feld Grund für Entsperren einen Kommentar ein.
  4. Wählen Sie OK aus, um den Benutzer zu entsperren.

Betrugswarnung

Mit der Funktion Betrugswarnung können betrügerische Versuche, auf Ressourcen zuzugreifen, gemeldet werden. Wenn eine unbekannte und verdächtige MFA-Eingabeaufforderung eingeht, können Benutzer den betrügerischen Versuch mit der Microsoft Authenticator-App oder über ihr Smartphone melden.

Microsoft empfiehlt die Verwendung von Verdächtige Aktivitäten melden anstelle von Betrugswarnung aufgrund der Integration mit Identitätsschutz für risikoorientierte Abhilfemaßnahmen, bessere Berichterstattungsfunktionen und die Verwaltung mit den wenigsten Privilegien.

Die folgenden Konfigurationsoptionen stehen für Warnungen zur Verfügung:

  • Benutzer, die Betrugsversuche melden, automatisch blockieren. Wenn ein Betrug gemeldet wird, werden Azure AD-Multi-Faktor-Authentifizierung-Versuche für das Benutzerkonto 90 Tage lang oder so lange blockiert, bis ein Admin die Sperre für das Konto aufhebt. Ein Administrator kann anhand des Anmeldeberichts Anmeldungen überprüfen und entsprechende Maßnahmen ergreifen, um weiterem Betrug vorzubeugen. Ein Administrator kann dann die Sperre für das Konto des Benutzers aufheben.

  • Code zum Melden von Betrugsversuchen während der Begrüßung. Wenn zur Ausführung der Multi-Faktor-Authentifizierung ein Telefonanruf verwendet wird, drücken Sie normalerweise die Taste #, um Ihre Anmeldung zu bestätigen. Wenn sie einen Betrug melden möchten, geben sie vor dem Drücken der #-Taste einen Code ein. Dieser Code ist standardmäßig 0, Sie können ihn jedoch anpassen. Wenn die automatische Sperrung aktiviert ist, muss der Benutzer, nachdem er 0# gedrückt hat, um Betrug zu melden, 1 drücken, um die Kontosperrung zu bestätigen.

    Hinweis

    In der Standardansage von Microsoft wird der Benutzer aufgefordert, zum Senden einer Betrugswarnung die Zeichenfolge 0# einzugeben. Wenn Sie einen anderen Code als 0 verwenden möchten, sollten Sie eine benutzerdefinierte Ansage mit den passenden Anweisungen für Ihre Benutzer aufnehmen und hochladen.

Führen Sie die folgenden Schritte aus, um Betrugswarnungen zu aktivieren und zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
  2. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Betrugswarnung.
  3. Setzen Sie Benutzern die Ausgabe von Betrugswarnungen standardmäßig erlauben auf Ein.
  4. Konfigurieren Sie die Einstellungen Benutzer, die Betrugsversuche melden, automatisch blockieren oder Code zum Melden von Betrugsversuchen während der Begrüßung nach Bedarf.
  5. Wählen Sie Speichern.

Melden verdächtiger Aktivitäten

Verdächtige Aktivitäten melden, die aktualisierte MFA-Betrugswarnfunktion, ist jetzt verfügbar. Wenn eine unbekannte und verdächtige MFA-Eingabeaufforderung eingeht, können Benutzer den betrügerischen Versuch mit Microsoft Authenticator oder über ihr Smartphone melden. Diese Warnungen sind in Identity Protection integriert, um eine umfassendere Abdeckung und Funktionalität zu gewährleisten.

Benutzer, die eine MFA-Eingabeaufforderung als verdächtig melden, sind auf Hohes Benutzerrisiko festgelegt. Administratoren können risikobasierte Richtlinien verwenden, um den Zugriff für diese Benutzer einzuschränken, oder die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) aktivieren, damit Benutzer Probleme selbst beheben können. Wenn Sie zuvor die automatische Blockierungsfunktion für Betrugswarnungen verwendet haben und keine Microsoft Entra ID P2-Lizenz für risikobasierte Richtlinien besitzen, können Sie Risikoerkennungsereignisse verwenden, um die betroffenen Benutzer zu identifizieren und zu deaktivieren und deren Anmeldung automatisch zu verhindern. Weitere Informationen zur Verwendung risikobasierter Richtlinien finden Sie unter Risikobasierte Zugriffsrichtlinien.

So aktivieren Sie die Funktion Verdächtige Aktivität melden über die Einstellungen für Authentifizierungsmethoden:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
  2. Wechseln Sie zu Schutz>Authentifizierungsmethoden>Einstellungen.
  3. Legen Sie Verdächtige Aktivität melden auf Aktiviert fest. Dieses Feature bleibt deaktiviert, wenn Sie Von Microsoft verwaltet auswählen. Weitere Informationen zu von Microsoft verwalteten Werten finden Sie unter Schützen von Authentifizierungsmethoden in Microsoft Entra ID.
  4. Wählen Sie Alle Benutzer oder eine bestimmte Gruppe aus.
  5. Wählen Sie einen Berichterstellungscode aus.
  6. Klicken Sie auf Speichern.

Hinweis

Wenn Sie Verdächtige Aktivität melden auswählen und einen benutzerdefinierten Wert für das Melden von Sprechaktivitäten angeben, während im Mandanten gleichzeitig Betrugswarnung aktiviert und eine benutzerdefinierte Nummer für das Melden von Sprechaktivitäten konfiguriert ist, wird der Wert für Verdächtige Aktivität melden statt des Werts für Betrugswarnung verwendet.

Anzeigen von verdächtigen Aktivitätsereignissen

Wenn ein Benutzer eine MFA-Eingabeaufforderung als verdächtig meldet, wird das Ereignis im Bericht „Anmeldungen“ (als Anmeldung, die vom Benutzer abgelehnt wurde), in den Überwachungsprotokollen und im Bericht „Risikoerkennungen“ angezeigt.

  • Um den Bericht zu Risikoerkennungungen anzuzeigen, wählen Sie Schutz>Identitätsschutz>Risikoerkennung aus. Das Risikoereignis ist Teil des Standardberichts Risikoerkennungen und mit Erkennungstyp Benutzer meldet verdächtige Aktivität, Risikostufe Hoch und Quelle Vom Endbenutzer gemeldet angezeigt.

  • Um Betrugsberichte im Bericht zu Anmeldeaktivitäten anzuzeigen, wählen Sie Identität>Überwachung und Integrität>Anmeldedatenprotokolle>Authentifizierungsdetails aus. Der Betrugsbericht ist Bestandteil des Standardberichts Microsoft Entra-Anmeldeaktivitäten und wird in den Ergebnisdetails als „MFA verweigert, Betrugscode eingegeben“ angezeigt.

  • Um Betrugsberichte in den Überwachungsprotokollen anzuzeigen, wählen Sie Identität>Überwachung und Integrität>Überwachungsprotokolle aus. Der Betrugsbericht wird abhängig von den Einstellungen auf Mandantenebene für den Betrugsberichte unter dem Aktivitätstyp Betrug gemeldet - Benutzer für MFA gesperrt oder Betrug gemeldet - keine Aktion ausgeführt angezeigt.

Hinweis

Benutzer*innen werden nicht als „Hohes Risiko“ gemeldet, wenn sie eine kennwortlose Authentifizierung durchführen.

Verwalten von verdächtigen Aktivitätsereignissen

Nachdem ein Benutzer eine Eingabeaufforderung als verdächtig gemeldet hat, sollte das Risiko untersucht und mit Identity Protection behoben werden.

Melden verdächtiger Aktivitäten und Betrugswarnungen

Die Funktion Verdächtige Aktivitäten melden und die bestehende Funktion Betrugswarnung können parallel laufen. Sie können Ihre mandantenweite Funktion Betrugswarnung beibehalten, während Sie bei einer gezielten Testgruppe mit der Verwendung von Verdächtige Aktivitäten melden beginnen.

Wenn die Funktion Betrugswarnung mit automatischer Blockierung aktiviert ist und Verdächtige Aktivitäten melden aktiviert ist, wird der Benutzer zur Sperrliste hinzugefügt und als hohes Risiko eingestuft und fällt unter alle anderen konfigurierten Richtlinien. Diese Benutzer müssen aus der Sperrliste entfernt werden und ihr Risiko muss behoben werden, damit sie sich mit MFA anmelden können.

Benachrichtigungen

Sie können Microsoft Entra ID so konfigurieren, dass E-Mail-Benachrichtigungen gesendet werden, wenn Benutzer Betrugswarnungen melden. Diese Benachrichtigungen werden in der Regel an Identitätsadministratoren gesendet, da die Anmeldeinformationen für das Benutzerkonto wahrscheinlich kompromittiert sind. Im folgenden Beispiel wird gezeigt, wie eine E-Mail-Benachrichtigung für Betrugswarnungen aussieht:

Screenshot mit einer Benachrichtigungs-E-Mail für eine Betrugswarnung

So konfigurieren Sie Betrugswarnungen betreffende Benachrichtigungen:

  1. Navigieren Sie zu Schutz>Multi-Faktor-Authetifizierung>Benachrichtigungen.
  2. Geben Sie die E-Mail-Adresse ein, an die die Benachrichtigung gesendet werden soll.
  3. Zum Entfernen einer vorhandenen E-Mail-Adresse wählen Sie ... neben der E-Mail-Adresse und dann Löschen aus.
  4. Wählen Sie Speichern aus.

OATH-Token

Microsoft Entra ID unterstützt die Verwendung von OATH TOTP SHA-1-Token, die den Code alle 30 oder 60 Sekunden aktualisieren. Sie können diese Token beim Anbieter Ihrer Wahl erwerben.

OATH TOTP-Hardwaretoken sind in der Regel mit einem geheimen, im Token vorprogrammierten Schlüssel oder Anfangswert versehen. Sie müssen diese Schlüssel entsprechend der Beschreibung in den folgenden Schritten in Microsoft Entra ID eingeben. Geheime Schlüssel sind auf 128 Zeichen beschränkt, was möglicherweise nicht mit allen Token kompatibel ist. Der geheime Schlüssel darf nur die Zeichen a-z oder A-Z und die Ziffern 1-7 enthalten. Er muss Base32-codiert sein.

Programmierbare OATH TOTP-Hardwaretoken, die mit einem neuen Ausgangswert versehen werden können, können ebenfalls im Softwaretoken-Setupflow mit Microsoft Entra ID eingerichtet werden.

OATH-Hardwaretoken werden in der öffentlichen Vorschau unterstützt. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Screenshot mit dem Abschnitt für OATH-Token

Nachdem Sie Token erworben haben, müssen Sie sie in einem CSV-Dateiformat (Comma-Separated Values, durch Trennzeichen getrennte Datei) hochladen. Schließen Sie den UPN, die Seriennummer, den geheimen Schlüssel, das Zeitintervall, den Hersteller und das Modell ein, wie in diesem Beispiel gezeigt:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Hinweis

Stellen Sie sicher, dass Sie die Kopfzeile in Ihre CSV-Datei einschließen.

Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an, navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>OATH-Token, und laden Sie die CSV-Datei hoch.

Je nach Größe der CSV-Datei kann die Verarbeitung ein paar Minuten dauern. Wählen Sie Aktualisieren aus, um den Status abzurufen. Wenn die Datei Fehler enthält, können Sie eine CSV-Datei herunterladen, in der sie aufgelistet sind. Die Feldnamen in der heruntergeladenen CSV-Datei unterscheiden sich von denen in der hochgeladenen Version.

Sobald alle Fehler behoben sind, kann der Administrator die einzelnen Schlüssel aktivieren, indem er für das Token Aktivieren auswählt und das in dem Token angezeigte OTP eingibt.

Benutzer verfügen möglicherweise über eine Kombination aus bis zu fünf OATH-Hardwaretoken oder Authentifizierungsanwendungen wie die Microsoft Authenticator-App, die für die jederzeitige Verwendung konfiguriert sind.

Wichtig

Stellen Sie sicher, dass Sie jedes Token nur einem einzelnen Benutzer zuweisen. In Zukunft wird die Unterstützung für die Zuweisung eines einzelnen Tokens an mehrere Benutzer beendet, um ein Sicherheitsrisiko zu verhindern.

Einstellungen für Telefonanruf

Wenn Benutzer Anrufe für MFA-Eingabeaufforderungen empfangen, können Sie die Anrufer-ID oder die Begrüßung konfigurieren.

Wenn Sie in den USA nicht die MFA-Anrufer-ID konfiguriert haben, stammen Anrufe von Microsoft von der folgenden Telefonnummer. Benutzer, die Spam-Filter verwenden, sollten diese Nummern ausschließen.

Standardnummer: +1 (855) 330-8653

In der folgenden Tabelle sind weitere Zahlen für verschiedene Länder aufgeführt:

Land/Region Nummer(n)
Österreich +43 6703062076
Bangladesch +880 9604606026
Kroatien +385 15507766
Ecuador +593 964256042
Estland +372 6712726
Frankreich +33 744081468
Ghana +233 308250245
Griechenland +30 2119902739
Guatemala +502 23055056
Hongkong (SAR) +852 25716964
Indien +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Jordan +962 797639442
Kenia +254 709605276
Niederlande +31 202490048
Nigeria +234 7080627886
Pakistan +92 4232618686
Polen +48 699740036
Saudi-Arabien +966 115122726
Südafrika +27 872405062
Spanien +34 913305144
Sri Lanka +94 117750440
Schweden +46 701924176
Taiwan +886 277515260
Türkei +90 8505404893
Ukraine +380 443332393
Vereinigte Arabische Emirate +971 44015046
Vietnam +84 2039990161

Hinweis

Wenn Anrufe im Rahmen von Microsoft Entra ID Multi-Factor Authentication über das öffentliche Telefonnetz erfolgen, werden sie manchmal über einen Netzbetreiber geroutet, der Anrufer-IDs nicht unterstützt. Aus diesem Grund gibt es keine Garantie für die Anrufer-ID, auch wenn Microsoft Entra ID Multi-Factor Authentication sie immer sendet. Dies gilt sowohl für Telefonanrufe als auch für SMS-Nachrichten, die von Microsoft Entra ID-Multi-Faktor-Authentifizierung bereitgestellt werden. Wenn Sie überprüfen müssen, ob eine Textnachricht von Microsoft Entra ID Multi-Factor Authentication stammt, lesen Sie: „Welche Kurzcodes werden für das Senden von Nachrichten verwendet?“.

Führen Sie die folgenden Schritte aus, um Ihre eigene Anrufer-ID-Nummer zu konfigurieren:

  1. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Telefonanrufeinstellungen.
  2. Legen Sie für die MFA-Anrufer-ID die Nummer fest, die Ihren Benutzern auf dem Telefon angezeigt werden soll. Es sind nur Nummern aus den USA zulässig.
  3. Wählen Sie Speichern aus.

Hinweis

Wenn Anrufe im Rahmen von Microsoft Entra ID Multi-Factor Authentication über das öffentliche Telefonnetz erfolgen, werden sie manchmal über einen Netzbetreiber geroutet, der Anrufer-IDs nicht unterstützt. Aus diesem Grund gibt es keine Garantie für die Anrufer-ID, auch wenn Microsoft Entra ID Multi-Factor Authentication sie immer sendet. Dies gilt sowohl für Telefonanrufe als auch für SMS-Nachrichten, die von Microsoft Entra ID-Multi-Faktor-Authentifizierung bereitgestellt werden. Wenn Sie überprüfen müssen, ob eine Textnachricht von Microsoft Entra ID Multi-Factor Authentication stammt, lesen Sie: „Welche Kurzcodes werden für das Senden von Nachrichten verwendet?“.

Benutzerdefinierte Sprachnachrichten

Sie können ihre eigenen Aufzeichnungen oder Begrüßungen für Microsoft Entra-Multi-Faktor-Authentifizierung verwenden. Diese Nachrichten können zusätzlich zu den Standardaufzeichnungen von Microsoft verwendet werden oder diese ersetzen.

Bevor Sie beginnen, sollten Sie die folgenden Einschränkungen beachten:

  • Die unterstützten Dateiformate sind WAV und MP3.
  • Die maximale Dateigröße beträgt 1 MB.
  • Authentifizierungsnachrichten sollten kürzer als 20 Sekunden sein. Bei Nachrichten mit einer Länge von mehr als 20 Sekunden ist die Überprüfung unter Umständen nicht erfolgreich. Wenn der Benutzer erst dann reagiert, wenn die Nachricht zu Ende ist, tritt bei der Überprüfung ein Timeout auf.

Benutzerdefiniertes Nachrichtensprachenverhalten

Wenn für den Benutzer eine benutzerdefinierte Sprachnachricht wiedergegeben wird, hängt die Sprache der Nachricht von den folgenden Faktoren ab:

  • Die Sprache des Benutzers.
    • Vom Browser des Benutzers erkannte Sprache.
    • Andere Authentifizierungsszenarios verhalten sich möglicherweise anders.
  • Die Sprache jeglicher verfügbarer benutzerdefinierter Nachrichten.
    • Diese Sprache wird vom Administrator ausgewählt, wenn eine benutzerdefinierte Nachricht hinzugefügt wird.

Wenn es z. B. nur eine benutzerdefinierte Nachricht gibt und sie auf Deutsch vorliegt:

  • Ein Benutzer, der sich in deutscher Sprache authentifiziert, hört dann die benutzerdefinierte deutsche Nachricht.
  • Ein Benutzer, der sich in Englisch authentifiziert, hört dann die englische Standardnachricht.

Benutzerdefinierte Standardsprachnachrichten

Sie können die folgenden Beispielskripts zum Erstellen Ihrer eigenen benutzerdefinierten Nachrichten verwenden. Die folgenden Standardphrasen werden verwendet, wenn Sie keine eigenen benutzerdefinierten Nachrichten konfigurieren.

Nachrichtenname Skript
Authentifizierung erfolgreich Ihre Anmeldung wurde erfolgreich überprüft. Auf Wiedersehen.
Grußformel bei Durchwahl Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie #, um Ihre Anmeldung abzuschließen.
Betrugsmeldung bestätigen Eine Betrugswarnung wurde ausgegeben. Wenden Sie sich an den IT-Helpdesk Ihres Unternehmens, um die Sperrung Ihres Kontos aufzuheben.
Betrug – Grußformel (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen. Wenn Sie diese Überprüfung nicht initiiert haben, versucht möglicherweise jemand, auf Ihr Konto zuzugreifen. Drücken Sie nacheinander die Tasten 0 und # um eine Betrugswarnung abzusenden. So benachrichtigen Sie das IT-Team Ihres Unternehmens und blockieren weitere Überprüfungsversuche.
Betrug wurde gemeldet Eine Betrugswarnung wurde ausgegeben. Wenden Sie sich an den IT-Helpdesk Ihres Unternehmens, um die Sperrung Ihres Kontos aufzuheben.
Aktivierung Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Authentifizierung abgelehnt. Erneut versuchen. Überprüfung abgelehnt.
Erneut versuchen (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel (PIN-Modus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.
Betrug – Grußformel (PIN-Modus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen. Wenn Sie diese Überprüfung nicht initiiert haben, versucht möglicherweise jemand, auf Ihr Konto zuzugreifen. Drücken Sie nacheinander die Tasten 0 und # um eine Betrugswarnung abzusenden. So benachrichtigen Sie das IT-Team Ihres Unternehmens und blockieren weitere Überprüfungsversuche.
Erneut versuchen (PIN-Modus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel nach Ansage der Durchwahlziffern Wenn Sie bereits bei dieser Durchwahl sind, drücken Sie zum Fortfahren das Nummernzeichen.
Authentifizierung abgelehnt Sie können zurzeit leider nicht angemeldet werden. Versuchen Sie es später noch mal.
Grußformel bei der Aktivierung (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Aktivierung erneut versuchen (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel bei der Aktivierung (PIN-Modus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel vor Ansage der Durchwahlziffern Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Übertragen Sie diesen Anruf an Durchwahl <extension>.

Einrichten einer benutzerdefinierten Nachricht

Führen Sie die folgenden Schritte aus, um Ihre eigenen benutzerdefinierten Nachrichten zu verwenden:

  1. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Telefonanrufeinstellungen.
  2. Wählen Sie Begrüßung hinzufügen.
  3. Wählen Sie den Typ der Begrüßung aus, z. B. Grußformel (Standardeinstellung) oder Authentifizierung erfolgreich.
  4. Wählen Sie die Sprache aus. Weitere Informationen finden Sie im vorherigen Abschnitt Benutzerdefinierte Standardsprachnachrichten.
  5. Wählen Sie eine MP3- oder WAV-Audiodatei zum Hochladen aus.
  6. Klicken Sie auf Hinzufügen und dann auf Speichern.

MFA-Diensteinstellungen

Einstellungen für App-Kennwörter, vertrauenswürdige IPs, Überprüfungsoptionen und das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten sind in den Diensteinstellungen verfügbar. Dies ist ein veraltetes Portal.

Sie können über das Microsoft Entra Admin Center auf die Diensteinstellungen zugreifen, indem Sie zu Schutz>Multi-Faktor-Authentifizierung>Erste Schritte>Konfigurieren>Zusätzliche cloudbasierte MFA-Einstellungen wechseln. Ein Fenster oder eine Registerkarte mit zusätzlichen Diensteinstellungen wird geöffnet.

Vertrauenswürdige IP-Adressen

Das Feature Vertrauenswürdige IP-Adressen der Multi-Faktor-Authentifizierung von Microsoft Entra umgeht MFA-Eingabeaufforderungen für Benutzer, die sich über einen definierten IP-Adressbereich anmelden. Sie können vertrauenswürdige IP-Adressbereiche für Ihre lokalen Umgebungen festlegen. Wenn sich Benutzer an einem dieser Standorte befinden, entfällt die MFA-Eingabeaufforderung von Microsoft Entra. Das Feature vertrauenswürdige IP-Adressen erfordert Microsoft Entra ID P1 Edition.

Hinweis

Private IP-Adressbereiche können nur als vertrauenswürdige IPs festgelegt werden, wenn Sie MFA-Server verwenden. Für cloudbasierte Microsoft Entra-Multi-Faktor-Authentifizierung können Sie nur öffentliche IP-Adressbereiche verwenden.

IPv6-Adressbereiche werden nur in der Schnittstelle Benannter Standort (Vorschau) unterstützt.

Wenn Ihre Organisation die NPS-Erweiterung verwendet, um MFA für lokale Anwendungen bereitzustellen, beachten Sie, dass als Quell-IP-Adresse immer die des NPS-Servers angezeigt wird, über den der Authentifizierungsversuch verläuft.

Microsoft Entra-Mandant-Typ Optionen des Features „Vertrauenswürdige IPs“
Verwaltet Bestimmter Bereich von IP-Adressen: Administratoren geben einen Bereich von IP-Adressen an, die Multi-Faktor-Authentifizierungen für Benutzer umgehen können, die sich über das Intranet des Unternehmens anmelden. Es können maximal 50 vertrauenswürdige IP-Adressbereiche konfiguriert werden.
Im Verbund Alle Verbundbenutzer: Alle Verbundbenutzer, die sich innerhalb der Organisation anmelden, können Multi-Faktor-Authentifizierungen umgehen. Die Benutzer umgehen Überprüfungen mithilfe eines durch Active Directory-Verbunddienste (AD FS) ausgestellten Anspruchs.
Bestimmter Bereich von IP-Adressen: Administratoren geben einen Bereich von IP-Adressen an, die die mehrstufige Authentifizierung für Benutzer, die sich über das Intranet des Unternehmens anmelden, umgehen können.

Die Umgehung über vertrauenswürdige IP-Adressen funktioniert nur innerhalb des Intranets eines Unternehmens. Wenn Sie die Option Alle Verbundbenutzer ausgewählt haben und sich ein Benutzer von außerhalb des Unternehmensintranets anmeldet, muss sich der Benutzer mit der mehrstufige Authentifizierung authentifizieren. Dies ist auch der Fall, wenn der Benutzer einen AD FS-Anspruch vorweisen kann.

Hinweis

Wenn sowohl die MFA-Richtlinie pro Benutzer als auch die Richtlinie für bedingten Zugriff im Mandanten konfiguriert ist, müssen Sie der Richtlinie für bedingten Zugriff vertrauenswürdige IP-Adressen hinzufügen und die MFA-Diensteinstellungen aktualisieren.

Benutzeroberfläche innerhalb des Unternehmensnetzwerks

Wenn das Feature „Vertrauenswürdige IPs“ deaktiviert ist, ist die mehrstufige Authentifizierung für Browserabläufe erforderlich. Für ältere Rich Client-Anwendungen werden App-Kennwörter benötigt.

Wenn vertrauenswürdige IPs verwendet werden, ist die mehrstufige Authentifizierung nicht für Browserabläufe erforderlich. App-Kennwörter sind für ältere Rich Client-Anwendungen nicht erforderlich, sofern der Benutzer nicht bereits ein App-Kennwort erstellt hat. Sobald ein App-Kennwort verwendet wird, ist es erforderlich.

Benutzeroberfläche außerhalb des Unternehmensnetzwerks

Unabhängig davon, ob vertrauenswürdige IP-Adressen definiert sind, ist die Multi-Faktor-Authentifizierung für Browserabläufe erforderlich. Für ältere Rich Client-Anwendungen werden App-Kennwörter benötigt.

Aktivieren benannter Orte mit bedingtem Zugriff

Sie können die Regeln für bedingten Zugriff verwenden, um benannte Standorte zu definieren, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zuSchutz>Bedingter Zugriff>Benannte Standorte.
  3. Wählen Sie Neuer Ort aus.
  4. Geben Sie einen Namen für den Standort ein.
  5. Wählen Sie Als vertrauenswürdigen Standort markieren aus.
  6. Geben Sie den IP-Adressbereich in der CIDR-Notation ein. Beispiel: 40.77.182.32/27.
  7. Klicken Sie auf Erstellen.

Aktivieren des Features „Vertrauenswürdige IP-Adressen“ mit bedingtem Zugriff

Führen Sie die folgenden Schritte aus, um vertrauenswürdige IP-Adressen mit Richtlinien für bedingten Zugriff zu ermöglichen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  2. Browsen Sie zuSchutz>Bedingter Zugriff>Benannte Standorte.

  3. Wählen Sie Durch MFA bestätigte IPs konfigurieren aus.

  4. Wählen Sie auf der Seite Diensteinstellungen unter Vertrauenswürdige IP-Adressen eine der folgenden Optionen aus:

    • Für Anforderungen von Partnerbenutzern, die aus meinem Intranet stammen: Aktivieren Sie zum Auswählen dieser Option das Kontrollkästchen. Alle Verbundbenutzer, die sich über das Unternehmensnetzwerk anmelden, umgehen Multi-Faktor-Authentifizierungen mithilfe eines von AD FS ausgestellten Anspruchs. Stellen Sie sicher, dass AD FS über eine Regel zum Hinzufügen des Intranetanspruchs zum entsprechenden Datenverkehr verfügt. Wenn die Regel nicht vorhanden ist, erstellen Sie die folgende Regel in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Hinweis

      Die Option Multi-Faktor-Authentifizierung für Anforderungen von Verbundbenutzerkonten in meinem Intranet überspringen wirkt sich auf die Bewertung des bedingten Zugriffs für Speicherorte aus. Wenn diese Option ausgewählt wurde, wird jede Anforderung mit dem Anspruch insidecorporatenetwork so behandelt, als wenn sie von einem vertrauenswürdigen Standort stammt.

    • Für Anforderungen aus einem bestimmten Bereich öffentlicher IPs: Geben Sie zum Auswählen dieser Option die IP-Adressen in CIDR-Notation im Textfeld ein.

      • Verwenden Sie für IP-Adressen im Bereich xxx.xxx.xxx.1 bis xxx.xxx.xxx.254 eine Notation wie xxx.xxx.xxx.0/24.
      • Verwenden Sie für eine einzelne IP-Adresse eine Notation wie xxx.xxx.xxx.xxx/32.
      • Sie können bis zu 50 IP-Adressbereiche eingeben. Benutzer, die sich über diese IP-Adressen anmelden, umgehen Multi-Faktor-Authentifizierungen.

  5. Wählen Sie Speichern aus.

Aktivieren des Features „Vertrauenswürdige IPs“ mit Diensteinstellungen

Wenn Sie keine Richtlinien für bedingten Zugriff verwenden möchten, um vertrauenswürdige IP-Adressen zu ermöglichen, können Sie die Diensteinstellungen für Microsoft Entra-Multi-Faktor-Authentifizierung mit den folgenden Schritten konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung>Zusätzliche Einstellungen für die cloudbasierte MFA.

  3. Wählen Sie auf der Seite Diensteinstellungen unter Vertrauenswürdige IPs eine oder beide der folgenden Optionen aus:

    • Für Anforderungen von Partnerbenutzern, die aus meinem Intranet stammen: Aktivieren Sie zum Auswählen dieser Option das Kontrollkästchen. Alle Verbundbenutzer, die sich vom Unternehmensnetzwerk aus anmelden, umgehen die Multi-Faktor-Authentifizierung mithilfe eines von AD FS ausgestellten Anspruchs. Stellen Sie sicher, dass AD FS über eine Regel zum Hinzufügen des Intranetanspruchs zum entsprechenden Datenverkehr verfügt. Wenn die Regel nicht vorhanden ist, erstellen Sie die folgende Regel in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Für Anforderungen aus einem bestimmten Bereich von IP-Adresssubnetzen: Geben Sie zum Auswählen dieser Option die IP-Adressen in CIDR-Notation im Textfeld ein.

      • Verwenden Sie für IP-Adressen im Bereich xxx.xxx.xxx.1 bis xxx.xxx.xxx.254 eine Notation wie xxx.xxx.xxx.0/24.
      • Verwenden Sie für eine einzelne IP-Adresse eine Notation wie xxx.xxx.xxx.xxx/32.
      • Sie können bis zu 50 IP-Adressbereiche eingeben. Benutzer, die sich über diese IP-Adressen anmelden, umgehen Multi-Faktor-Authentifizierungen.

  4. Wählen Sie Speichern aus.

Überprüfungsmethoden

Sie können im Diensteinstellungsportal auswählen, welche Überprüfungsmethoden für Ihre Benutzer verfügbar sind. Wenn Ihre Benutzer ihre Konten für Microsoft Entra-Multi-Faktor-Authentifizierung registrieren, wählen sie ihre bevorzugte Überprüfungsmethode aus den von Ihnen aktivierten Optionen aus. Anleitungen zum Benutzerregistrierungsprozess finden Sie unter Einrichten meines Kontos für die mehrstufige Authentifizierung.

Die folgenden Überprüfungsmethoden stehen zur Auswahl:

Methode Beschreibung
Auf Telefon anrufen Startet einen automatisierten Sprachanruf. Der Benutzer nimmt den Anruf an und drückt die #-Taste auf der Telefontastatur, um sich zu authentifizieren. Die Telefonnummer wird nicht mit dem lokalen Active Directory synchronisiert.
Textnachricht an Telefon Sendet eine Textnachricht mit einem Überprüfungscode. Der Benutzer wird über die Anmeldeoberfläche zur Eingabe des Prüfcodes aufgefordert. Dieser Vorgang wird als „unidirektionale SMS“ bezeichnet. Bei einer bidirektionalen SMS muss der Benutzer einen bestimmten Code per SMS zurücksenden. Die Funktion für bidirektionale SMS ist veraltet und wird ab dem 14. November 2018 nicht mehr unterstützt. Administratoren sollten eine andere Methode für Benutzer aktivieren, die zuvor bidirektionale SMS verwendet haben.
Benachrichtigung über mobile App Sendet eine Pushbenachrichtigung an das Telefon oder registrierte Gerät des Benutzers. Der Benutzer zeigt die Benachrichtigung an und wählt Überprüfen, um die Überprüfung abzuschließen. Die Microsoft Authenticator-App ist für Windows Phone, Android und iOS verfügbar.
Prüfcode aus mobiler App oder Hardwaretoken Die Microsoft Authenticator-App generiert alle 30 Sekunden einen neuen OATH-Überprüfungscode. Der Benutzer gibt den Überprüfungscode auf der Anmeldeoberfläche ein. Die Microsoft Authenticator-App ist für Windows Phone, Android und iOS verfügbar.

Weitere Informationen finden Sie unter Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?.

Aktivieren und Deaktivieren von Überprüfungsmethoden

Führen Sie die folgenden Schritte aus, um Überprüfungsmethoden zu aktivieren oder zu deaktivieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
  2. Wechseln Sie zu Identität>Benutzer.
  3. Wählen Sie MFA pro Benutzer aus.
  4. Wählen Sie im oberen Seitenbereich unter Multi-Faktor-Authentifizierung die Option Diensteinstellungen aus.
  5. Aktivieren oder deaktivieren Sie auf der Seite Diensteinstellungen unter Überprüfungsoptionen die entsprechenden Kontrollkästchen.
  6. Wählen Sie Speichern aus.

Speichern der Multi-Faktor-Authentifizierung

Mit dem Feature Multi-Faktor-Authentifizierung speichern können Benutzer nachfolgende Überprüfungen für eine angegebene Anzahl von Tagen umgehen, nachdem sie sich mithilfe von MFA erfolgreich bei einem Gerät angemeldet haben. Wählen Sie eine Dauer von mindestens 90 Tagen aus, um die Benutzerfreundlichkeit zu verbessern und die Häufigkeit zu minimieren, mit der ein Benutzer die MFA auf demselben Gerät ausführen muss.

Wichtig

Ist ein Konto oder Gerät gefährdet, kann das Speichern von MFA für vertrauenswürdige Geräte die Sicherheit beeinträchtigen. Wenn ein Unternehmenskonto kompromittiert oder ein vertrauenswürdiges Gerät verloren geht oder gestohlen wird, sollten Sie MFA-Sitzungen widerrufen.

Durch die Widerrufsaktion wird der vertrauenswürdige Status aller Geräte widerrufen, und der Benutzer muss wieder die Multi-Faktor-Authentifizierung ausführen. Sie können Ihre Benutzer auch anweisen, den ursprünglichen MFA-Status auf ihren eigenen Geräten wie unter Verwalten der Einstellungen für die Multi-Faktor-Authentifizierung beschrieben wiederherzustellen.

Funktionsweise der Funktion

Durch das Feature Multi-Faktor-Authentifizierung speichern wird ein permanentes Cookie im Browser festgelegt, wenn ein Benutzer die Option Die nächsten X Tage nicht erneut fragen auswählt. Der Benutzer wird von diesem Browser bis zum Ablauf des Cookies nicht erneut zur MFA aufgefordert. Wenn der Benutzer einen anderen Browser auf demselben Gerät öffnet oder seine Cookies löscht, wird er wieder zur Überprüfung aufgefordert.

Die Option Die nächsten X Tage nicht erneut fragen wird in Nicht-Browseranwendungen nicht angezeigt, unabhängig davon, ob diese die moderne Authentifizierung unterstützen. Diese Apps verwenden Aktualisierungstoken, die jede Stunde neue Zugriffstoken bereitstellen. Bei der Überprüfung eines Aktualisierungstokens überprüft Microsoft Entra ID, ob die letzte mehrstufige Authentifizierung innerhalb der angegebenen Anzahl von Tagen durchgeführt wurde.

Mit dem Feature reduziert sich die Anzahl der Authentifizierungen für Web-Apps, die normalerweise jedes Mal dazu auffordern. Die Funktion kann die Anzahl der Authentifizierungen für moderne Authentifizierungsclients, die normalerweise alle 180 Tage eine Abfrage durchführen, erhöhen, wenn eine niedrigere Dauer konfiguriert ist. Die Anzahl der Authentifizierungen kann sich in Kombination mit Richtlinien für bedingten Zugriff auch erhöhen.

Wichtig

Die Funktion Multi-Faktor-Authentifizierung speichern ist nicht kompatibel mit dem AD FS-Feature Angemeldet bleiben, bei dem Benutzer die Multi-Faktor-Authentifizierung für AD FS über den MFA-Server oder eine Lösung zur Multi-Faktor-Authentifizierung von Drittanbietern ausführen.

Wenn Ihre Benutzer in AD FS Angemeldet bleiben auswählen und ihr Gerät außerdem als für Multi-Faktor-Authentifizierung vertrauenswürdig markieren, werden sie nach Ablauf der Anzahl von Tagen, die unter Multi-Faktor-Authentifizierung speichern angegeben wurde, nicht automatisch überprüft. Microsoft Entra ID fordert eine neue Multi-Faktor-Authentifizierung an, aber AD FS gibt ein Token mit dem ursprünglichen MFA-Anspruch und -Datum zurück, statt die Multi-Faktor-Authentifizierung erneut durchzuführen. Durch diese Reaktion entsteht eine Schleife bei der Überprüfung zwischen Microsoft Entra ID und AD FS.

Das Feature Multi-Faktor-Authentifizierung speichern ist nicht mit B2B-Benutzern kompatibel und wird B2B-Benutzern nicht angezeigt, wenn sie sich bei den eingeladenen Mandanten anmelden.

Die Funktion Multi-Faktor-Authentifizierung speichern ist nicht mit dem Steuerelement für bedingten Zugriff auf die Anmeldehäufigkeit kompatibel. Weitere Informationen finden Sie unter Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff.

Speichern der Multi-Faktor-Authentifizierung aktivieren

Führen Sie die folgenden Schritte aus, um die Option zum Speichern des MFA-Status und zum Umgehen der Eingabeaufforderung zu aktivieren und zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
  2. Wechseln Sie zu Identität>Benutzer.
  3. Wählen Sie MFA pro Benutzer aus.
  4. Wählen Sie im oberen Seitenbereich unter Multi-Faktor-Authentifizierung die Option Diensteinstellungen aus.
  5. Wählen Sie auf der Seite Diensteinstellungen unter Multi-Faktor-Authentifizierung speichern die Option Benutzern das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten ermöglichen aus.
  6. Legen Sie fest, für wie viele Tage vertrauenswürdige Geräte Multi-Faktor-Authentifizierungen umgehen können sollen. Für eine optimale Benutzerleistung verlängern Sie die Dauer auf mindestens 90 Tage.
  7. Wählen Sie Speichern aus.

Markieren eines Geräts als vertrauenswürdig

Nachdem Sie das Feature Multi-Faktor-Authentifizierung speichern aktiviert haben, können Benutzer bei der Anmeldung ein Gerät als vertrauenswürdig markieren, indem sie Nicht erneut nachfragen auswählen.

Nächste Schritte

Weitere Informationen finden Sie unter Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?