Features und Lizenzen für die Multi-Faktor-Authentifizierung von Microsoft Entra
Zum Schutz von Benutzerkonten in Ihrer Organisation sollten Sie die Multi-Faktor-Authentifizierung verwenden. Dieses Feature ist insbesondere für Konten wichtig, die privilegierten Zugriff auf Ressourcen haben. Grundlegende Features für die Multi-Faktor-Authentifizierung stehen für Benutzer und globale Administratoren von Microsoft 365 und Microsoft Entra ohne zusätzliche Kosten zur Verfügung. Wenn Sie für Ihre Administratoren ein Upgrade der Features durchführen oder die Multi-Faktor-Authentifizierung mit weiteren Authentifizierungsmethoden und umfassenderen Steuerungsmöglichkeiten auf die übrigen Benutzer ausweiten möchten, können Sie die Multi-Faktor-Authentifizierung für Microsoft Entra auf mehreren Wegen erwerben.
Wichtig
In diesem Artikel werden die verschiedenen Möglichkeiten für die Lizenzierung und Verwendung der Multi-Faktor-Authentifizierung für Microsoft Entra erläutert. Ausführliche Informationen zu Preisgestaltung und Abrechnung finden Sie auf der Seite Microsoft Entra – Preise.
Verfügbare Versionen der Multi-Faktor-Authentifizierung von Microsoft Entra
Die Multi-Faktor-Authentifizierung von Microsoft Entra kann entsprechend den Anforderungen Ihrer Organisation auf unterschiedliche Weise verwendet und lizenziert werden. Alle Mandanten haben Anspruch auf grundlegende Features der Multi-Faktor-Authentifizierung durch Sicherheitsstandards. Abhängig von Ihrer zurzeit vorliegenden Lizenz für Microsoft Entra, EMS oder Microsoft 365 sind Sie möglicherweise bereits berechtigt, den erweiterten Dienst für Multi-Faktor-Authentifizierung von Microsoft Entra zu verwenden. Beispielsweise können die ersten 50.000 monatlich aktiven Benutzer in Microsoft Entra External ID MFA und weitere Premium P1- oder P2-Features kostenlos nutzen. Weitere Informationen finden Sie unter Preise für die Microsoft Entra External ID.
In der folgenden Tabelle werden die verschiedenen Möglichkeiten zum Erwerb der Multi-Faktor-Authentifizierung von Microsoft Entra erläutert sowie jeweils einige Funktionen und Anwendungsfälle beschrieben.
| Benutzer von | Funktionen und Anwendungsfälle |
|---|---|
| Microsoft 365 Business Premium und EMS oder Microsoft 365 E3 und E5 | EMS E3, Microsoft 365 E3 und Microsoft 365 Business Premium enthalten Microsoft Entra ID P1. EMS E5 oder Microsoft 365 E5 enthält Microsoft Entra ID P2. Sie können die in den folgenden Abschnitten beschriebenen Funktionen für den bedingten Zugriff auch für die Bereitstellung der Multi-Faktor-Authentifizierung für Benutzer verwenden. |
| Microsoft Entra ID P1 | Mit dem bedingten Zugriff von Microsoft Entra können Sie Benutzer bei bestimmten Szenarien oder Ereignissen zur Multi-Faktor-Authentifizierung auffordern und auf diese Weise Ihre geschäftlichen Anforderungen erfüllen. |
| Microsoft Entra ID P2 | Bietet die höchste Sicherheitsstufe und eine verbesserte Benutzerumgebung. Erweitert die Funktionen von Microsoft Entra ID P1 um den risikobasierten bedingten Zugriff, der sich an Benutzermuster anpasst und Eingabeaufforderungen für die Multi-Faktor-Authentifizierung minimiert. |
| Alle Microsoft 365-Pläne | Die Multi-Faktor-Authentifizierung von Microsoft Entra kann mithilfe der Sicherheitsstandards für alle Benutzer*innen aktiviert werden. Die Verwaltung der Multi-Faktor-Authentifizierung für Microsoft Entra erfolgt über das Microsoft 365-Portal. Führen Sie zugunsten einer optimierten Benutzerumgebung ein Upgrade auf Microsoft Entra ID P1 oder P2 durch, und verwenden Sie den bedingten Zugriff. Weitere Informationen finden Sie unter Schützen von Microsoft 365-Ressourcen mit der Multi-Faktor-Authentifizierung. |
| Kostenlose Office 365-Version Microsoft Entra ID Free |
Sie können die Benutzer bei Bedarf mithilfe der Sicherheitsstandards zur Verwendung der Multi-Faktor-Authentifizierung auffordern. Sie haben keine genaue Kontrolle über aktivierte Benutzer oder Szenarien, aber dieser zusätzliche Sicherheitsschritt wird bereitgestellt. Auch wenn die Sicherheitsstandards nicht zum Aktivieren der mehrstufigen Authentifizierung für alle Benutzer verwendet werden, können Benutzer mit der Rolle globaler Microsoft Entra-Administrator für die Verwendung der Multi-Faktor-Authentifizierung konfiguriert werden. Diese Funktion der kostenlosen Version stellt sicher, dass die kritischen Administratorkonten durch die Multi-Faktor-Authentifizierung geschützt sind. |
Featurevergleich basierend auf Lizenzen
In der folgenden Tabelle werden die Funktionen aufgeführt, die in den verschiedenen Versionen von Microsoft Entra ID für die Multi-Faktor-Authentifizierung zur Verfügung stehen. Planen Sie Ihre Anforderungen an eine sichere Benutzerauthentifizierung, und legen Sie dann fest, welcher Ansatz diese Anforderungen erfüllt. Beispiel: Obwohl die Edition „Microsoft Entra ID Free“ Sicherheitsstandards enthält, die die Multi-Faktor-Authentifizierung von Microsoft Entra bereitstellen, kann für die Authentifizierungsaufforderung nur die mobile Authenticator-App verwendet werden. Dieser Ansatz kann eine Einschränkung darstellen, wenn Sie nicht gewährleisten können, dass die Authentifikator-App auf dem persönlichen Gerät des Benutzers installiert ist. Ausführlichere Informationen finden Sie im Abschnitt Microsoft Entra ID Free-Tarif weiter unten in diesem Thema.
| Feature | Microsoft Entra ID Free – Sicherheitsstandards (für alle Benutzer aktiviert) | Microsoft Entra ID Free – nur globale Administratoren | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Schutz von Microsoft Entra-Administratorkonten eines Mandanten mit MFA | ● | ● (nur Konten von Globalen Administratoren von Microsoft Entra) | ● | ● | ● |
| Mobile App als zweiter Faktor | ● | ● | ● | ● | ● |
| Telefonanruf als zweiter Faktor | ● | ● | ● | ||
| SMS als zweiter Faktor | ● | ● | ● | ● | |
| Administrative Kontrolle über Überprüfungsmethoden | ● | ● | ● | ● | |
| Betrugswarnung | ● | ● | |||
| MFA-Berichte | ● | ● | |||
| Benutzerdefinierte Begrüßungen für Telefonanrufe | ● | ● | |||
| Benutzerdefinierte Anrufer-ID für Telefonanrufe | ● | ● | |||
| Vertrauenswürdige IP-Adressen | ● | ● | |||
| Speichern der MFA für vertrauenswürdige Geräte | ● | ● | ● | ● | |
| MFA für lokale Anwendungen | ● | ● | |||
| Bedingter Zugriff | ● | ● | |||
| Risikobasierter bedingter Zugriff | ● |
Vergleichen von Richtlinien für die Multi-Faktor-Authentifizierung
Unser empfohlener Ansatz zum Erzwingen von MFA ist das Verwenden des bedingten Zugriffs. Prüfen Sie die folgende Tabelle, um zu ermitteln, welche Funktionen in Ihren Lizenzen enthalten sind.
| Richtlinie | Standardwerte für die Sicherheit | Bedingter Zugriff | Benutzerbasierte MFA |
|---|---|---|---|
| Verwaltung | |||
| Standardgruppe von Sicherheitsregeln, um die Sicherheit Ihres Unternehmens zu gewährleisten | ● | ||
| Ein-/Ausschalten mit einem Klick | ● | ||
| In Office 365-Lizenzierung enthalten (siehe Verfügbare Versionen von Azure AD Multi-Factor Authentication) | ● | ● | |
| Vorkonfigurierte Vorlagen im Microsoft 365 Admin Center-Assistenten | ● | ● | |
| Konfigurationsflexibilität | ● | ||
| Funktion | |||
| Ausschließen von Benutzern von der Richtlinie | ● | ● | |
| Authentifizieren per Telefonanruf oder SMS | ● | ● | ● |
| Authentifizieren durch Microsoft Authenticator und Softwaretoken | ● | ● | ● |
| Authentifizieren durch FIDO2- und Windows Hello for Business-Token sowie durch Hardwaretoken | ● | ● | |
| Blockieren von Legacyauthentifizierungsprotokollen | ● | ● | ● |
| Automatischer Schutz für neue Mitarbeiter | ● | ● | |
| Dynamische MFA-Trigger basierend auf Risikoereignissen | ● | ||
| Richtlinien für die Authentifizierung und Autorisierung | ● | ||
| Konfigurierbarkeit basierend auf Standort und Gerätestatus | ● | ||
| Unterstützung für den Modus „Nur Bericht“ | ● | ||
| Möglichkeit zum vollständigen Blockieren von Benutzern/Diensten | ● |
Aktivieren der Microsoft Entra-Multi-Faktor-Authentifizierung von Microsoft Entra
Um die Multi-Faktor-Authentifizierung von Microsoft Entra zu verwenden, registrieren oder erwerben Sie einen passenden Microsoft Entra-Tarif. Microsoft Entra ID ist in vier Editionen erhältlich: Free, Office 365, Premium P1 und Premium P2.
Die kostenlose Version (Free) ist im Azure-Abonnement enthalten. Im folgenden Abschnitt finden Sie Informationen zur Verwendung der Sicherheitsstandards bzw. zum Schutz von Konten mit der Rolle globaler Microsoft Entra-Administrator.
Die P1- nzw. P2-Edition von Microsoft Entra ID ist über Ihren Microsoft-Vertreter, das Open Volume License-Programm und das Cloud Solution Providers-Programm erhältlich. Azure- und Microsoft 365-Abonnenten können Microsoft Entra ID P1 und P2 auch online erwerben. Für einen Kauf müssen Sie sich anmelden.
Nachdem Sie den erforderlichen Microsoft Entra-Tarif erworben haben, Planen und stellen Sie die Multi-Faktor-Authentifizierung von Microsoft Entra bereit.
Microsoft Entra ID Free-Tarif
Alle Benutzer in einem Microsoft Entra ID Free-Mandanten können die Multi-Faktor-Authentifizierung von Microsoft Entra mithilfe von Sicherheitsstandarden verwenden. Die mobile Authentifizierungs-App kann für die Multi-Faktor-Authentifizierung von Microsoft Entra verwendet werden, wenn Microsoft Entra ID Free-Sicherheitsstandards verwendet wird.
- Weitere Informationen zu Microsoft Entra-Sicherheitsstandards
- Aktivieren von Sicherheitsstandards für Benutzer in Microsoft Entra ID Free
Wenn Sie die Multi-Faktor-Authentifizierung von Microsoft Entra nicht für alle Benutzer aktivieren möchten, können Sie stattdessen Benutzerkonten nur mit der Rolle globaler Microsoft Entra-Administrator schützen. Bei diesem Ansatz werden zusätzliche Authentifizierungsaufforderungen für kritische Administratorkonten bereitgestellt. Sie können die Multi-Faktor-Authentifizierung von Microsoft Entra je nach verwendetem Kontotyp mit einer der folgenden Methoden aktivieren:
- Wenn Sie ein Microsoft-Konto verwenden, können Sie sich für die Multi-Faktor-Authentifizierung registrieren.
- Falls Sie kein Microsoft-Konto verwenden, aktivieren Sie die Multi-Faktor-Authentifizierung für einen Benutzer oder eine Gruppe in Microsoft Entra.
Nächste Schritte
- Weitere Informationen zu Den Kosten finden Sie unter Preise von Microsoft Entra.
- Was ist bedingter Zugriff?
- Was ist Identity Protection?
- MFA kann auch auf Benutzerbasis aktiviert werden.