Bearbeiten

Verwalten von Benutzerauthentifizierungsmethoden für Microsoft Entra-Multi-Faktor-Authentifizierung

  • Vorgehensweise

Kontaktinformationen der Benutzer*innen in Microsoft Entra fallen in zwei unterschiedliche Kategorien:

  • Kontaktinformationen für öffentliche Profile, die im Benutzerprofil verwaltet werden und für Mitglieder Ihrer Organisation sichtbar sind. Bei Benutzern, die aus dem lokalen Active Directory synchronisiert werden, werden diese Informationen in den lokalen Windows Server Active Directory-Domänendiensten verwaltet.
  • Authentifizierungsmethoden, die immer privat sind und nur für die Authentifizierung verwendet werden, einschließlich Multi-Faktor-Authentifizierung. Administratoren können diese Methoden auf dem Blatt zur Authentifizierungsmethode eines Benutzers verwalten, und Benutzer können Ihre Methoden auf der Seite „Sicherheitsinformationen“ von MyAccount verwalten.

Bei der Verwaltung der Methoden der Microsoft Entra-Multi-Faktor-Authentifizierung für Ihre Benutzer*innen können Authentifizierungsadministrator*innen folgende Aktionen ausführen:

  • Hinzufügen von Authentifizierungsmethoden für einen bestimmten Benutzer, einschließlich der für MFA verwendeten Telefonnummern.
  • Setzt das Kennwort eines Benutzers zurück.
  • Anfordern einer erneuten Registrierung des Benutzers für MFA.
  • Widerrufen vorhandener MFA-Sitzungen.
  • Löschen der vorhandenen App-Kennwörter eines Benutzers

Voraussetzungen

Multi-Faktor-Authentifizierung von Microsoft Entra (standardmäßig aktiviert)

Hinzufügen von Authentifizierungsmethoden für einen Benutzer

Sie können Authentifizierungsmethoden für eine/n Benutzer*in mithilfe des Microsoft Entra Admin Centers oder Microsoft Graph hinzufügen.

Hinweis

Aus Sicherheitsgründen sollten die Felder für die öffentlichen Kontaktinformationen eines Benutzers nicht zum Ausführen von MFA verwendet werden. Stattdessen sollten die Benutzer die Nummern für ihre Authentifizierungsmethoden eintragen, die für die MFA verwendet werden sollen.

Screenshot: Hinzufügen von Authentifizierungsmethoden über das Microsoft Entra Admin Center

So fügen Sie Authentifizierungsmethoden für eine/n Benutzer*in im Microsoft Entra Admin Center hinzu

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie den Benutzer aus, für den Sie eine Authentifizierungsmethode hinzufügen möchten, und wählen Sie Authentifizierungsmethoden aus.
  4. Wählen Sie oben im Fenster + Authentifizierungsmethode hinzufügen aus.
    • Wählen Sie eine Methode aus (Telefonnummer oder E-Mail). „E-Mail“ kann für die Self-Service-Kennwortrücksetzung, aber nicht für die Authentifizierung verwendet werden. Wählen Sie beim Hinzufügen einer Telefonnummer einen Telefontyp aus, und geben Sie eine Telefonnummer in einem gültigen Format ein (z. B. +1 4255551234).
    • Wählen Sie Hinzufügen.

Hinweis

In der Vorschauversion können Administratoren alle verfügbaren Authentifizierungsmethoden für Benutzer hinzufügen, während die ursprüngliche Version nur das Aktualisieren der Methoden für ein Telefon und ein alternatives Telefon zulässt.

Verwalten von Methoden mit PowerShell

Installieren Sie das Modul „Microsoft.Graph.Identity.Signins PowerShell“ mithilfe der folgenden Befehle.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Verwalten von Authentifizierungsoptionen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Wenn Ihnen die Rolle Authentifizierungsadministrator zugewiesen wurde, können Sie festlegen, dass Benutzer ihr Kennwort zurücksetzen, sich für die mehrstufige Authentifizierung noch mal registrieren oder vorhandene MFA-Sitzungen von ihrem Benutzerobjekt widerrufen müssen. Um Benutzereinstellungen zu verwalten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.

  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  3. Wählen Sie den Benutzer aus, für den Sie eine Aktion ausführen möchten, und wählen Sie anschließend Authentifizierungsmethoden aus. Wählen Sie dann am oberen Rand des Fensters eine der folgenden Optionen für den Benutzer aus:

    • Kennwort zurücksetzen: Das Benutzerkennwort wird zurückgesetzt, und ein temporäres Kennwort wird zugewiesen, das bei der nächsten Anmeldung geändert werden muss.
    • Erneute MFA-Registrierung erforderlich deaktiviert die Hardware-OATH-Token des Benutzers bzw. der Benutzerin und löscht die folgenden Authentifizierungsmethoden für ihn bzw. sie: Telefonnummern, Microsoft Authenticator-Apps und Software-OATH-Token. Bei Bedarf wird der Benutzer aufgefordert, bei der nächsten Anmeldung eine neue MFA-Authentifizierungsmethode einzurichten.
    • MFA-Sitzungen widerrufen: Löscht die gespeicherten MFA-Sitzungen des Benutzers bzw. der Benutzerin. Wenn auf dem Gerät gemäß Richtlinie das nächste Mal eine MFA erforderlich ist, muss der Benutzer bzw. die Benutzerin diese durchführen.

    Screenshot: Verwalten von Authentifizierungsmethoden über das Microsoft Entra Admin Center

Löschen vorhandener App-Kennwörter eines Benutzers

Bei Benutzern, die App-Kennwörter definiert haben, können Administratoren diese Kennwörter auch löschen, sodass keine Legacy-Authentifizierung in diesen Anwendungen mehr möglich ist. Diese Aktionen sind möglicherweise erforderlich, wenn Sie einen Benutzer unterstützen oder seine Authentifizierungsmethoden zurücksetzen müssen. Nicht-Browser-Apps, die diesen App-Kennwörtern zugeordnet waren, funktionieren erst wieder, wenn ein neues App-Kennwort erstellt wurde.

Um die App-Kennwörter eines Benutzers zu löschen, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.

  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  3. Wählen Sie Multi-Faktor-Authentifizierung aus. Scrollen Sie bei Bedarf nach rechts, um diese Menüoption anzuzeigen. Wählen Sie den unten gezeigten Beispielscreenshot aus, um das gesamte Fenster und die Menüposition anzuzeigen: Screenshot: Auswählen der Multi-Faktor-Authentifizierung im Fenster „Benutzer“ in Microsoft Entra ID.

  4. Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie verwalten möchten. Auf der rechten Seite wird eine Liste mit Optionen für schnelle Schritte angezeigt.

  5. Wählen Sie Benutzereinstellungen verwalten aus, und aktivieren Sie dann das Kontrollkästchen Alle vorhandenen App-Kennwörter löschen, die von den ausgewählten Benutzern erstellt wurden, wie im folgenden Beispiel gezeigt: Screenshot: Löschen aller vorhandenen App-Kennwörter

  6. Wählen Sie Speichern und dann Schließen aus.

Zugehöriger Inhalt