Konfigurieren von Azure AD Multi-Factor Authentication-Einstellungen

Zum Anpassen der Endbenutzerumgebung für Azure AD Multi-Factor Authentication können Sie Optionen für Einstellungen wie die Schwellenwerte für die Kontosperrung oder Betrugswarnungen und -benachrichtigungen konfigurieren. Einige Einstellungen sind direkt im Azure-Portal für Azure Active Directory (Azure AD) verfügbar, während sich einige andere Einstellungen in einem separaten Portal für Azure AD Multi-Factor Authentication befinden.

Die folgenden Azure AD Multi-Factor Authentication-Einstellungen sind im Azure-Portal verfügbar:

Funktion BESCHREIBUNG
Kontosperrung Hiermit wird bei Konten die Verwendung von Azure AD Multi-Factor Authentication vorübergehend gesperrt, wenn zu viele aufeinanderfolgende Authentifizierungsversuche abgelehnt wurden. Dieses Feature wird nur auf Benutzer angewendet, die zur Authentifizierung eine PIN eingeben. (Nur MFA-Server)
Benutzer sperren/zulassen Hiermit werden bestimmte Benutzer daran gehindert, Azure AD Multi-Factor Authentication-Anforderungen zu empfangen. Authentifizierungsversuche für gesperrte Benutzer werden automatisch abgelehnt. Benutzer bleiben ab dem Zeitpunkt der Sperrung 90 Tage lang gesperrt, es sei denn, sie werden manuell entsperrt.
Betrugswarnung Hiermit können Einstellungen konfiguriert werden, die es Benutzern ermöglichen, betrügerische Identitätsprüfungsanforderungen zu melden.
Benachrichtigungen Aktivieren Sie Benachrichtigungen für Ereignisse vom MFA-Server.
OATH-Token Wird in cloudbasierten Azure AD Multi-Factor Authentication-Umgebungen zum Verwalten von OATH-Token für Benutzer verwendet.
Einstellungen für Telefonanruf Konfigurieren Sie Einstellungen für Telefonanrufe und Ansagen für Cloud- und lokale Umgebungen.
Anbieter Hier werden alle vorhandenen Authentifizierungsanbieter angezeigt, die Sie möglicherweise mit Ihrem Konto verknüpft haben. Das Hinzufügen neuer Anbieter ist ab dem 1. September 2018 deaktiviert.

Azure-Portal – Einstellungen für Azure AD Multi-Factor Authentication

Kontosperrung

Mithilfe der Kontosperreinstellungen können Sie festlegen, wie viele fehlgeschlagene Versuche zugelassen werden, bevor das Konto vorübergehend gesperrt wird, um wiederholte MFA-Versuche im Rahmen eines Angriffs zu verhindern. Die Kontosperreinstellungen werden nur angewendet, wenn ein PIN-Code für die MFA-Eingabeaufforderung eingegeben wird.

Die folgenden Einstellungen sind verfügbar:

  • Anzahl von MFA-Verweigerungen zum Auslösen einer Kontosperrung
  • Zeitraum in Minuten, bis der Zähler für die Kontosperrung zurückgesetzt wird
  • Zeitraum in Minuten, bis das Konto automatisch entsperrt wird

Um die Kontosperreinstellungen zu konfigurieren, führen Sie diese Schritte aus:

  1. Melden Sie sich beim Azure-Portal als Administrator an.

  2. Navigieren Sie zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>Kontosperrung.

  3. Geben Sie die Werte für Ihre Umgebung ein, und wählen Sie dann Speichern aus.

    Screenshot mit den Kontosperreinstellungen im Azure-Portal

Benutzer sperren/zulassen

Wenn das Gerät eines Benutzers verloren geht oder gestohlen wird, können Sie Azure AD MFA-Versuche für das zugeordnete Konto sperren. Sämtliche Azure AD MFA-Versuche für gesperrte Benutzer werden automatisch abgelehnt. Benutzer bleiben ab dem Zeitpunkt der Sperrung 90 Tage lang gesperrt. Ein Video, in dem dies erläutert wird, finden Sie unter How to block and unblock users in your tenant (Sperren und Entsperren von Benutzern in Ihrem Mandanten).

Sperren eines Benutzers

Führen Sie die folgenden Schritte aus, um einen Benutzer zu sperren.

Sehen Sie sich ein kurzes Video an, in dem dieser Prozess beschrieben wird.

  1. Navigieren Sie zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>Benutzer blockieren/entsperren.
  2. Wählen Sie Hinzufügen aus, um einen Benutzer zu sperren.
  3. Geben Sie den Benutzernamen für den gesperrten Benutzer im Format username@domain.com ein, und geben Sie dann im Feld Grund einen Kommentar ein.
  4. Wählen Sie OK aus, um den Benutzer zu sperren.

Zulassen eines Benutzers

Führen Sie zum Entsperren eines Benutzers die folgenden Schritte aus:

  1. Wechseln Sie zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>Benutzer blockieren/entsperren.
  2. Wählen Sie in der Spalte Aktion neben dem Benutzer Entsperren aus.
  3. Geben Sie im Feld Grund für Entsperren einen Kommentar ein.
  4. Wählen Sie OK aus, um den Benutzer zu entsperren.

Betrugswarnung

Mithilfe des Features für Betrugswarnungen können Benutzer betrügerische Versuche für den Zugriff auf ihre Ressourcen melden. Wenn eine unbekannte und verdächtige MFA-Eingabeaufforderung eingeht, können Benutzer den betrügerischen Versuch mit der Microsoft Authenticator-App oder über ihr Smartphone melden.

Die folgenden Konfigurationsoptionen stehen für Warnungen zur Verfügung:

  • Benutzer, die Betrugsversuche melden, automatisch blockieren. Wenn ein Benutzer einen Betrug meldet, werden Azure AD-Multi-Faktor-Authentifizierung-Versuche für das Benutzerkonto 90 Tage lang oder so lange blockiert, bis ein Administrator die Sperre für das Konto aufhebt. Ein Administrator kann anhand des Anmeldeberichts Anmeldungen überprüfen und entsprechende Maßnahmen ergreifen, um weiterem Betrug vorzubeugen. Ein Administrator kann dann die Sperre für das Konto des Benutzers aufheben.

  • Code zum Melden von Betrugsversuchen während der Begrüßung. Wenn Benutzer einen Telefonanruf zur Ausführung der Multi-Faktor-Authentifizierung empfangen, drücken sie normalerweise die #-Taste, um ihre Anmeldung zu bestätigen. Wenn sie einen Betrug melden möchten, geben sie vor dem Drücken der # -Taste einen Code ein. Dieser Code ist standardmäßig 0, Sie können ihn jedoch anpassen. Wenn die automatische Sperrung aktiviert ist, muss der Benutzer, nachdem er 0# gedrückt hat, um Betrug zu melden, 1 drücken, um die Kontosperrung zu bestätigen.

    Hinweis

    In der Standardansage von Microsoft wird der Benutzer aufgefordert, zum Senden einer Betrugswarnung die Zeichenfolge 0# einzugeben. Wenn Sie einen anderen Code als 0 verwenden möchten, sollten Sie eine benutzerdefinierte Ansage mit den passenden Anweisungen für Ihre Benutzer aufnehmen und hochladen.

Führen Sie die folgenden Schritte aus, um Betrugswarnungen zu aktivieren und zu konfigurieren:

  1. Navigieren Sie zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>Betrugswarnung.
  2. Setzen Sie Benutzern die Ausgabe von Betrugswarnungen standardmäßig erlauben auf Ein.
  3. Konfigurieren Sie die Einstellungen Benutzer, die Betrugsversuche melden, automatisch blockieren oder Code zum Melden von Betrugsversuchen während der Begrüßung nach Bedarf.
  4. Wählen Sie Speichern aus.

Anzeigen von Betrugsberichten

Wenn ein Benutzer einen Betrug meldet, wird das Ereignis im Bericht zu Anmeldeaktivitäten (als Anmeldung, die vom Benutzer abgelehnt wurde) und in den Überwachungsprotokollen angezeigt.

  • Um Betrugsberichte im Bericht zu Anmeldeaktivitäten anzuzeigen, wählen Sie Azure Active Directory>Anmeldedaten>Authentifizierungsdetails aus. Der Betrugsbericht ist Bestandteil des Azure AD-Standardberichts für Anmeldeaktivitäten und wird in den Ergebnisdetails als MFA verweigert, Betrugscode eingegeben angezeigt.

  • Wählen Sie zum Anzeigen von Betrugsberichten in den Überwachungsprotokollen Azure Active Directory>Überwachungsprotokolle aus. Der Betrugsbericht wird abhängig von den Einstellungen auf Mandantenebene für den Betrugsberichte unter dem Aktivitätstyp Betrug gemeldet - Benutzer für MFA gesperrt oder Betrug gemeldet - keine Aktion ausgeführt angezeigt.

Benachrichtigungen

Sie können Azure AD so konfigurieren, dass E-Mail-Benachrichtigungen gesendet werden, wenn Benutzer Betrugswarnungen melden. Diese Benachrichtigungen werden in der Regel an Identitätsadministratoren gesendet, da die Anmeldeinformationen für das Benutzerkonto wahrscheinlich kompromittiert sind. Im folgenden Beispiel wird gezeigt, wie eine E-Mail-Benachrichtigung für Betrugswarnungen aussieht:

Screenshot mit einer Benachrichtigungs-E-Mail für eine Betrugswarnung

So konfigurieren Sie Betrugswarnungen betreffende Benachrichtigungen:

  1. Navigieren Sie zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>Benachrichtigungen.
  2. Geben Sie die E-Mail-Adresse ein, an die die Benachrichtigung gesendet werden soll.
  3. Zum Entfernen einer vorhandenen E-Mail-Adresse wählen Sie ... neben der E-Mail-Adresse und dann Löschen aus.
  4. Wählen Sie Speichern aus.

OATH-Token

Azure AD unterstützt die Verwendung von OATH TOTP SHA-1-Token, die den Code alle 30 oder 60 Sekunden aktualisieren. Sie können diese Token beim Anbieter Ihrer Wahl erwerben.

OATH TOTP-Hardwaretoken sind in der Regel mit einem geheimen, im Token vorprogrammierten Schlüssel oder Anfangswert versehen. Sie müssen diese Schlüssel entsprechend der Beschreibung in den folgenden Schritten in Azure AD eingeben. Geheime Schlüssel sind auf 128 Zeichen beschränkt, was möglicherweise nicht mit allen Token kompatibel ist. Der geheime Schlüssel darf nur die Zeichen a-z oder A-Z und die Ziffern 1-7 enthalten. Er muss Base32-codiert sein.

Programmierbare OATH TOTP-Hardwaretoken, die mit einem neuen Ausgangswert versehen werden können, können ebenfalls im Softwaretoken-Setupflow mit Azure AD eingerichtet werden.

OATH-Hardwaretoken werden in der öffentlichen Vorschau unterstützt. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Screenshot mit dem Abschnitt für OATH-Token

Nachdem Sie Token erworben haben, müssen Sie sie in einem CSV-Dateiformat (Comma-Separated Values, durch Trennzeichen getrennte Datei) hochladen. Schließen Sie den UPN, die Seriennummer, den geheimen Schlüssel, das Zeitintervall, den Hersteller und das Modell ein, wie in diesem Beispiel gezeigt:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Hinweis

Stellen Sie sicher, dass Sie die Kopfzeile in Ihre CSV-Datei einschließen.

Ein Administrator kann sich beim Azure-Portal anmelden, zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>OATH-Token wechseln und die CSV-Datei hochladen.

Je nach Größe der CSV-Datei kann die Verarbeitung ein paar Minuten dauern. Wählen Sie Aktualisieren aus, um den Status abzurufen. Wenn die Datei Fehler enthält, können Sie eine CSV-Datei herunterladen, in der sie aufgelistet sind. Die Feldnamen in der heruntergeladenen CSV-Datei unterscheiden sich von denen in der hochgeladenen Version.

Sobald alle Fehler behoben sind, kann der Administrator die einzelnen Schlüssel aktivieren, indem er für das Token Aktivieren auswählt und das in dem Token angezeigte OTP eingibt.

Benutzer verfügen möglicherweise über eine Kombination aus bis zu fünf OATH-Hardwaretoken oder Authentifizierungsanwendungen wie die Microsoft Authenticator-App, die für die jederzeitige Verwendung konfiguriert sind.

Einstellungen für Telefonanruf

Wenn Benutzer Anrufe für MFA-Eingabeaufforderungen empfangen, können Sie die Anrufer-ID oder die Begrüßung konfigurieren.

Wenn Sie in den USA nicht die MFA-Anrufer-ID konfiguriert haben, stammen Anrufe von Microsoft von der folgenden Telefonnummer. Bei Verwendung von Spamfiltern sollte diese Nummer ausgeschlossen werden.

  • +1 (855) 330-8653

Hinweis

Wenn Anrufe im Rahmen von Azure AD Multi-Factor Authentication über das öffentliche Telefonnetz erfolgen, werden sie manchmal über einen Netzbetreiber geroutet, der Anrufer-IDs nicht unterstützt. Aus diesem Grund gibt es keine Garantie für die Anrufer-ID, auch wenn Azure AD Multi-Factor Authentication sie immer sendet. Dies gilt sowohl für Telefonanrufe als auch für SMS-Nachrichten, die von Azure AD-Multi-Faktor-Authentifizierung bereitgestellt werden. Wenn Sie überprüfen müssen, ob eine Textnachricht von Azure AD-Multi-Faktor-Authentifizierung stammt, lesen Sie Welche SMS-Kurzcodes werden für das Senden von Nachrichten verwendet?.

Führen Sie die folgenden Schritte aus, um Ihre eigene Anrufer-ID-Nummer zu konfigurieren:

  1. Navigieren Sie zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>Einstellungen für Telefonanruf.
  2. Legen Sie für die MFA-Anrufer-ID die Nummer fest, die Ihren Benutzern auf dem Telefon angezeigt werden soll. Es sind nur Nummern aus den USA zulässig.
  3. Wählen Sie Speichern aus.

Benutzerdefinierte Sprachnachrichten

Sie können ihre eigenen Aufzeichnungen oder Begrüßungen für Azure AD-Multi-Faktor-Authentifizierung verwenden. Diese Nachrichten können zusätzlich zu den Standardaufzeichnungen von Microsoft verwendet werden oder diese ersetzen.

Bevor Sie beginnen, sollten Sie die folgenden Einschränkungen beachten:

  • Die unterstützten Dateiformate sind WAV und MP3.
  • Die maximale Dateigröße beträgt 1 MB.
  • Authentifizierungsnachrichten sollten kürzer als 20 Sekunden sein. Bei Nachrichten mit einer Länge von mehr als 20 Sekunden ist die Überprüfung unter Umständen nicht erfolgreich. Wenn der Benutzer erst dann reagiert, wenn die Nachricht zu Ende ist, tritt bei der Überprüfung ein Timeout auf.

Benutzerdefiniertes Nachrichtensprachenverhalten

Wenn für den Benutzer eine benutzerdefinierte Sprachnachricht wiedergegeben wird, hängt die Sprache der Nachricht von den folgenden Faktoren ab:

  • Die Sprache des Benutzers.
    • Vom Browser des Benutzers erkannte Sprache.
    • Andere Authentifizierungsszenarios verhalten sich möglicherweise anders.
  • Die Sprache jeglicher verfügbarer benutzerdefinierter Nachrichten.
    • Diese Sprache wird vom Administrator ausgewählt, wenn eine benutzerdefinierte Nachricht hinzugefügt wird.

Wenn es z. B. nur eine benutzerdefinierte Nachricht gibt und sie auf Deutsch vorliegt:

  • Ein Benutzer, der sich in deutscher Sprache authentifiziert, hört dann die benutzerdefinierte deutsche Nachricht.
  • Ein Benutzer, der sich in Englisch authentifiziert, hört dann die englische Standardnachricht.

Benutzerdefinierte Standardsprachnachrichten

Sie können die folgenden Beispielskripts zum Erstellen Ihrer eigenen benutzerdefinierten Nachrichten verwenden. Die folgenden Standardphrasen werden verwendet, wenn Sie keine eigenen benutzerdefinierten Nachrichten konfigurieren.

Nachrichtenname Skript
Authentifizierung erfolgreich Ihre Anmeldung wurde erfolgreich überprüft. Auf Wiedersehen.
Grußformel bei Durchwahl Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie #, um Ihre Anmeldung abzuschließen.
Betrugsmeldung bestätigen Eine Betrugswarnung wurde ausgegeben. Wenden Sie sich an den IT-Helpdesk Ihres Unternehmens, um die Sperrung Ihres Kontos aufzuheben.
Betrug – Grußformel (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen. Wenn Sie diese Überprüfung nicht initiiert haben, versucht möglicherweise jemand, auf Ihr Konto zuzugreifen. Drücken Sie nacheinander die Tasten 0 und # um eine Betrugswarnung abzusenden. So benachrichtigen Sie das IT-Team Ihres Unternehmens und blockieren weitere Überprüfungsversuche.
Betrug wurde gemeldet Eine Betrugswarnung wurde ausgegeben. Wenden Sie sich an den IT-Helpdesk Ihres Unternehmens, um die Sperrung Ihres Kontos aufzuheben.
Aktivierung Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Authentifizierung abgelehnt. Erneut versuchen. Überprüfung abgelehnt.
Erneut versuchen (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel (PIN-Modus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.
Betrug – Grußformel (PIN-Modus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen. Wenn Sie diese Überprüfung nicht initiiert haben, versucht möglicherweise jemand, auf Ihr Konto zuzugreifen. Drücken Sie nacheinander die Tasten 0 und # um eine Betrugswarnung abzusenden. So benachrichtigen Sie das IT-Team Ihres Unternehmens und blockieren weitere Überprüfungsversuche.
Erneut versuchen (PIN-Modus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel nach Ansage der Durchwahlziffern Wenn Sie bereits bei dieser Durchwahl sind, drücken Sie zum Fortfahren das Nummernzeichen.
Authentifizierung abgelehnt Sie können zurzeit leider nicht angemeldet werden. Versuchen Sie es später noch mal.
Grußformel bei der Aktivierung (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Aktivierung erneut versuchen (Standardmodus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel bei der Aktivierung (PIN-Modus) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.
Grußformel vor Ansage der Durchwahlziffern Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden. Übertragen Sie diesen Anruf an Durchwahl <extension>.

Einrichten einer benutzerdefinierten Nachricht

Führen Sie die folgenden Schritte aus, um Ihre eigenen benutzerdefinierten Nachrichten zu verwenden:

  1. Navigieren Sie zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>Einstellungen für Telefonanruf.
  2. Wählen Sie Begrüßung hinzufügen.
  3. Wählen Sie den Typ der Begrüßung aus, z. B. Grußformel (Standardeinstellung) oder Authentifizierung erfolgreich.
  4. Wählen Sie die Sprache aus. Weitere Informationen finden Sie im vorherigen Abschnitt Benutzerdefinierte Standardsprachnachrichten.
  5. Wählen Sie eine MP3- oder WAV-Audiodatei zum Hochladen aus.
  6. Klicken Sie auf Hinzufügen und dann auf Speichern.

MFA-Diensteinstellungen

Einstellungen für App-Kennwörter, vertrauenswürdige IPs, Überprüfungsoptionen und das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten sind in den Diensteinstellungen verfügbar. Dies ist ein veraltetes Portal. Es ist nicht Teil des regulären Azure AD-Portals.

Sie können über das Azure-Portal auf die Diensteinstellungen zugreifen, indem Sie zu Azure Active Directory>Sicherheit>Multi-Faktor-Authentifizierung>Erste Schritte>Konfigurieren>Zusätzliche cloudbasierte MFA-Einstellungen navigieren. Ein Fenster oder eine Registerkarte mit zusätzlichen Diensteinstellungen wird geöffnet.

Vertrauenswürdige IP-Adressen

Das Feature „Vertrauenswürdige IP-Adressen“ von Azure AD-Multi-Faktor-Authentifizierung umgeht MFA-Eingabeaufforderungen für Benutzer, die sich über einen definierten IP-Adressbereich anmelden. Sie können vertrauenswürdige IP-Adressbereiche für Ihre lokalen Umgebungen festlegen. Wenn sich Benutzer an einem dieser Speicherorte befinden, gibt es keine Azure AD-Multi-Faktor-Authentifizierung-Eingabeaufforderung. Das Feature „Vertrauenswürdige IP-Adressen“ setzt die Azure AD Premium P1-Edition voraus.

Hinweis

Private IP-Adressbereiche können nur als vertrauenswürdige IPs festgelegt werden, wenn Sie MFA-Server verwenden. Für cloudbasierte Azure AD-Multi-Faktor-Authentifizierung können Sie nur öffentliche IP-Adressbereiche verwenden.

IPv6-Adressbereiche werden nur in der Schnittstelle Benannter Standort (Vorschau) unterstützt.

Wenn Ihre Organisation die NPS-Erweiterung verwendet, um MFA für lokale Anwendungen bereitzustellen, beachten Sie, dass als Quell-IP-Adresse immer die des NPS-Servers angezeigt wird, über den der Authentifizierungsversuch verläuft.

Azure AD-Mandantentyp Optionen des Features „Vertrauenswürdige IPs“
Verwaltet Bestimmter Bereich von IP-Adressen: Administratoren geben einen Bereich von IP-Adressen an, die Multi-Faktor-Authentifizierungen für Benutzer umgehen können, die sich über das Intranet des Unternehmens anmelden. Es können maximal 50 vertrauenswürdige IP-Adressbereiche konfiguriert werden.
Im Verbund Alle Verbundbenutzer: Alle Verbundbenutzer, die sich innerhalb der Organisation anmelden, können Multi-Faktor-Authentifizierungen umgehen. Die Benutzer umgehen Überprüfungen mithilfe eines durch Active Directory-Verbunddienste (AD FS) ausgestellten Anspruchs.
Bestimmter Bereich von IP-Adressen: Administratoren geben einen Bereich von IP-Adressen an, die die mehrstufige Authentifizierung für Benutzer, die sich über das Intranet des Unternehmens anmelden, umgehen können.

Die Umgehung über vertrauenswürdige IP-Adressen funktioniert nur innerhalb des Intranets eines Unternehmens. Wenn Sie die Option Alle Verbundbenutzer ausgewählt haben und sich ein Benutzer von außerhalb des Unternehmensintranets anmeldet, muss sich der Benutzer mit der mehrstufige Authentifizierung authentifizieren. Dies ist auch der Fall, wenn der Benutzer einen AD FS-Anspruch vorweisen kann.

Benutzeroberfläche innerhalb des Unternehmensnetzwerks

Wenn das Feature „Vertrauenswürdige IPs“ deaktiviert ist, ist die mehrstufige Authentifizierung für Browserabläufe erforderlich. Für ältere Rich Client-Anwendungen werden App-Kennwörter benötigt.

Wenn vertrauenswürdige IPs verwendet werden, ist die mehrstufige Authentifizierung nicht für Browserabläufe erforderlich. App-Kennwörter sind für ältere Rich Client-Anwendungen nicht erforderlich, sofern der Benutzer nicht bereits ein App-Kennwort erstellt hat. Sobald ein App-Kennwort verwendet wird, ist es erforderlich.

Benutzeroberfläche außerhalb des Unternehmensnetzwerks

Unabhängig davon, ob vertrauenswürdige IP-Adressen definiert sind, ist die Multi-Faktor-Authentifizierung für Browserabläufe erforderlich. Für ältere Rich Client-Anwendungen werden App-Kennwörter benötigt.

Aktivieren benannter Orte mit bedingtem Zugriff

Sie können die Regeln für bedingten Zugriff verwenden, um benannte Standorte zu definieren, indem Sie die folgenden Schritte ausführen:

  1. Wählen Sie im Azure-Portal Azure Active Directory aus, und navigieren Sie dann zu Sicherheit>Bedingter Zugriff>Benannte Standorte.
  2. Wählen Sie Neuer Ort aus.
  3. Geben Sie einen Namen für den Standort ein.
  4. Wählen Sie Als vertrauenswürdigen Standort markieren aus.
  5. Geben Sie den IP-Adressbereich in der CIDR-Notation ein. Beispiel: 40.77.182.32/27.
  6. Klicken Sie auf Erstellen.

Aktivieren des Features „Vertrauenswürdige IP-Adressen“ mit bedingtem Zugriff

Führen Sie die folgenden Schritte aus, um vertrauenswürdige IP-Adressen mit Richtlinien für bedingten Zugriff zu ermöglichen:

  1. Wählen Sie im Azure-Portal Azure Active Directory aus, und navigieren Sie dann zu Sicherheit>Bedingter Zugriff>Benannte Standorte.

  2. Wählen Sie Durch MFA bestätigte IPs konfigurieren aus.

  3. Wählen Sie auf der Seite Diensteinstellungen unter Vertrauenswürdige IP-Adressen eine der folgenden Optionen aus:

    • Für Anforderungen von Partnerbenutzern, die aus meinem Intranet stammen: Aktivieren Sie zum Auswählen dieser Option das Kontrollkästchen. Alle Verbundbenutzer, die sich über das Unternehmensnetzwerk anmelden, umgehen Multi-Faktor-Authentifizierungen mithilfe eines von AD FS ausgestellten Anspruchs. Stellen Sie sicher, dass AD FS über eine Regel zum Hinzufügen des Intranetanspruchs zum entsprechenden Datenverkehr verfügt. Wenn die Regel nicht vorhanden ist, erstellen Sie die folgende Regel in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Für Anforderungen aus einem bestimmten Bereich öffentlicher IPs: Geben Sie zum Auswählen dieser Option die IP-Adressen in CIDR-Notation im Textfeld ein.

      • Verwenden Sie für IP-Adressen im Bereich xxx.xxx.xxx.1 bis xxx.xxx.xxx.254 eine Notation wie xxx.xxx.xxx.0/24.
      • Verwenden Sie für eine einzelne IP-Adresse eine Notation wie xxx.xxx.xxx.xxx/32.
      • Sie können bis zu 50 IP-Adressbereiche eingeben. Benutzer, die sich über diese IP-Adressen anmelden, umgehen Multi-Faktor-Authentifizierungen.
  4. Wählen Sie Speichern aus.

Aktivieren des Features „Vertrauenswürdige IPs“ mit Diensteinstellungen

Wenn Sie keine Richtlinien für bedingten Zugriff verwenden möchten, um vertrauenswürdige IP-Adressen zu ermöglichen, können Sie die Diensteinstellungen für Azure AD-Multi-Faktor-Authentifizierung mit den folgenden Schritten konfigurieren:

  1. Wählen Sie im Azure-Portal Azure Active Directory und dann Benutzer aus.

  2. Wählen Sie MFA pro Benutzer aus.

  3. Wählen Sie oben auf der Seite unter Multi-Faktor-Authentifizierung die Option Diensteinstellungen aus.

  4. Wählen Sie auf der Seite Diensteinstellungen unter Vertrauenswürdige IPs eine oder beide der folgenden zwei Optionen aus:

    • Für Anforderungen von Partnerbenutzern, die aus meinem Intranet stammen: Aktivieren Sie zum Auswählen dieser Option das Kontrollkästchen. Alle Verbundbenutzer, die sich vom Unternehmensnetzwerk aus anmelden, umgehen die Multi-Faktor-Authentifizierung mithilfe eines von AD FS ausgestellten Anspruchs. Stellen Sie sicher, dass AD FS über eine Regel zum Hinzufügen des Intranetanspruchs zum entsprechenden Datenverkehr verfügt. Wenn die Regel nicht vorhanden ist, erstellen Sie die folgende Regel in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Für Anforderungen aus einem bestimmten Bereich von IP-Adresssubnetzen: Geben Sie zum Auswählen dieser Option die IP-Adressen in CIDR-Notation im Textfeld ein.

      • Verwenden Sie für IP-Adressen im Bereich xxx.xxx.xxx.1 bis xxx.xxx.xxx.254 eine Notation wie xxx.xxx.xxx.0/24.
      • Verwenden Sie für eine einzelne IP-Adresse eine Notation wie xxx.xxx.xxx.xxx/32.
      • Sie können bis zu 50 IP-Adressbereiche eingeben. Benutzer, die sich über diese IP-Adressen anmelden, umgehen Multi-Faktor-Authentifizierungen.
  5. Wählen Sie Speichern aus.

Überprüfungsmethoden

Sie können im Diensteinstellungsportal auswählen, welche Überprüfungsmethoden für Ihre Benutzer verfügbar sind. Wenn Ihre Benutzer ihre Konten für Azure AD-Multi-Faktor-Authentifizierung registrieren, wählen sie ihre bevorzugte Überprüfungsmethode aus den von Ihnen aktivierten Optionen aus. Anleitungen zum Benutzerregistrierungsprozess finden Sie unter Einrichten meines Kontos für die mehrstufige Authentifizierung.

Die folgenden Überprüfungsmethoden stehen zur Auswahl:

Methode Beschreibung
Auf Telefon anrufen Startet einen automatisierten Sprachanruf. Der Benutzer nimmt den Anruf an und drückt die #-Taste auf der Telefontastatur, um sich zu authentifizieren. Die Telefonnummer wird nicht mit dem lokalen Active Directory synchronisiert.
Textnachricht an Telefon Sendet eine Textnachricht mit einem Überprüfungscode. Der Benutzer wird über die Anmeldeoberfläche zur Eingabe des Prüfcodes aufgefordert. Dieser Vorgang wird als „unidirektionale SMS“ bezeichnet. Bei einer bidirektionalen SMS muss der Benutzer einen bestimmten Code per SMS zurücksenden. Die Funktion für bidirektionale SMS ist veraltet und wird ab dem 14. November 2018 nicht mehr unterstützt. Administratoren sollten eine andere Methode für Benutzer aktivieren, die zuvor bidirektionale SMS verwendet haben.
Benachrichtigung über mobile App Sendet eine Pushbenachrichtigung an das Telefon oder registrierte Gerät des Benutzers. Der Benutzer zeigt die Benachrichtigung an und wählt Überprüfen, um die Überprüfung abzuschließen. Die Microsoft Authenticator-App ist für Windows Phone, Android und iOS verfügbar.
Prüfcode aus mobiler App oder Hardwaretoken Die Microsoft Authenticator-App generiert alle 30 Sekunden einen neuen OATH-Überprüfungscode. Der Benutzer gibt den Überprüfungscode auf der Anmeldeoberfläche ein. Die Microsoft Authenticator-App ist für Windows Phone, Android und iOS verfügbar.

Weitere Informationen finden Sie unter Welche Authentifizierungs- und Prüfmethoden stehen in Azure Active Directory zur Verfügung?.

Aktivieren und Deaktivieren von Überprüfungsmethoden

Führen Sie die folgenden Schritte aus, um Überprüfungsmethoden zu aktivieren oder zu deaktivieren:

  1. Wählen Sie im Azure-Portal Azure Active Directory und dann Benutzer aus.
  2. Wählen Sie MFA pro Benutzer aus.
  3. Wählen Sie oben auf der Seite unter Multi-Faktor-Authentifizierung die Option Diensteinstellungen aus.
  4. Aktivieren oder deaktivieren Sie auf der Seite Diensteinstellungen unter Überprüfungsoptionen die entsprechenden Kontrollkästchen.
  5. Wählen Sie Speichern aus.

Speichern der Multi-Faktor-Authentifizierung

Mit dem Feature Multi-Faktor-Authentifizierung speichern können Benutzer nachfolgende Überprüfungen für eine angegebene Anzahl von Tagen umgehen, nachdem sie sich mithilfe von MFA erfolgreich bei einem Gerät angemeldet haben. Wählen Sie eine Dauer von mindestens 90 Tagen aus, um die Benutzerfreundlichkeit zu verbessern und die Häufigkeit zu minimieren, mit der ein Benutzer die MFA auf demselben Gerät ausführen muss.

Wichtig

Ist ein Konto oder Gerät gefährdet, kann das Speichern von MFA für vertrauenswürdige Geräte die Sicherheit beeinträchtigen. Wenn ein Unternehmenskonto kompromittiert oder ein vertrauenswürdiges Gerät verloren geht oder gestohlen wird, sollten Sie MFA-Sitzungen widerrufen.

Durch die Widerrufsaktion wird der vertrauenswürdige Status aller Geräte widerrufen, und der Benutzer muss wieder die Multi-Faktor-Authentifizierung ausführen. Sie können Ihre Benutzer auch anweisen, den ursprünglichen MFA-Status auf ihren eigenen Geräten wie unter Verwalten der Einstellungen für die Multi-Faktor-Authentifizierung beschrieben wiederherzustellen.

Funktionsweise des Features

Durch das Feature Multi-Faktor-Authentifizierung speichern wird ein permanentes Cookie im Browser festgelegt, wenn ein Benutzer die Option Die nächsten X Tage nicht erneut fragen auswählt. Der Benutzer wird von diesem Browser bis zum Ablauf des Cookies nicht erneut zur MFA aufgefordert. Wenn der Benutzer einen anderen Browser auf demselben Gerät öffnet oder seine Cookies löscht, wird er wieder zur Überprüfung aufgefordert.

Die Option Die nächsten X Tage nicht erneut fragen wird in Nicht-Browseranwendungen nicht angezeigt, unabhängig davon, ob diese die moderne Authentifizierung unterstützen. Diese Apps verwenden Aktualisierungstoken, die jede Stunde neue Zugriffstoken bereitstellen. Bei der Überprüfung eines Aktualisierungstokens überprüft Azure AD, ob die letzte mehrstufige Authentifizierung innerhalb der angegebenen Anzahl von Tagen durchgeführt wurde.

Mit dem Feature reduziert sich die Anzahl der Authentifizierungen für Web-Apps, die normalerweise jedes Mal dazu auffordern. Die Funktion kann die Anzahl der Authentifizierungen für moderne Authentifizierungsclients, die normalerweise alle 180 Tage eine Abfrage durchführen, erhöhen, wenn eine niedrigere Dauer konfiguriert ist. Die Anzahl der Authentifizierungen kann sich in Kombination mit Richtlinien für bedingten Zugriff auch erhöhen.

Wichtig

Die Funktion Multi-Faktor-Authentifizierung speichern ist nicht kompatibel mit dem AD FS-Feature Angemeldet bleiben, bei dem Benutzer die Multi-Faktor-Authentifizierung für AD FS über den MFA-Server oder eine Lösung zur Multi-Faktor-Authentifizierung von Drittanbietern ausführen.

Wenn Ihre Benutzer in AD FS Angemeldet bleiben auswählen und ihr Gerät außerdem als für Multi-Faktor-Authentifizierung vertrauenswürdig markieren, werden sie nach Ablauf der Anzahl von Tagen, die unter Multi-Faktor-Authentifizierung speichern angegeben wurde, nicht automatisch überprüft. Azure AD fordert eine neue Multi-Faktor-Authentifizierung an, aber AD FS gibt ein Token mit dem ursprünglichen MFA-Anspruch und -Datum zurück, statt die Multi-Faktor-Authentifizierung erneut durchzuführen. Durch diese Reaktion entsteht eine Schleife bei der Überprüfung zwischen Azure AD und AD FS.

Das Feature Multi-Faktor-Authentifizierung speichern ist nicht mit B2B-Benutzern kompatibel und wird B2B-Benutzern nicht angezeigt, wenn sie sich bei den eingeladenen Mandanten anmelden.

Aktivieren der Multi-Faktor-Authentifizierung-Speicherung

Führen Sie die folgenden Schritte aus, um die Option zum Speichern des MFA-Status und zum Umgehen der Eingabeaufforderung zu aktivieren und zu konfigurieren:

  1. Wählen Sie im Azure-Portal Azure Active Directory und dann Benutzer aus.
  2. Wählen Sie MFA pro Benutzer aus.
  3. Wählen Sie oben auf der Seite unter Multi-Faktor-Authentifizierung die Option Diensteinstellungen aus.
  4. Wählen Sie auf der Seite Diensteinstellungen unter Multi-Faktor-Authentifizierung speichern die Option Benutzern das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten ermöglichen aus.
  5. Legen Sie fest, für wie viele Tage vertrauenswürdige Geräte Multi-Faktor-Authentifizierungen umgehen können sollen. Für eine optimale Benutzerleistung verlängern Sie die Dauer auf mindestens 90 Tage.
  6. Wählen Sie Speichern aus.

Markieren eines Geräts als vertrauenswürdig

Nachdem Sie das Feature Multi-Faktor-Authentifizierung speichern aktiviert haben, können Benutzer bei der Anmeldung ein Gerät als vertrauenswürdig markieren, indem sie Nicht erneut nachfragen auswählen.

Nächste Schritte

Weitere Informationen finden Sie unter Welche Authentifizierungs- und Prüfmethoden stehen in Azure Active Directory zur Verfügung?.