Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: 
Mitarbeiter 
Externe Nutzer (weitere Informationen)
Die Multi-Faktor-Authentifizierung (MFA) fügt Ihren Anwendungen eine zusätzliche Sicherheitsebene hinzu, indem sie die Benutzenden auffordert, bei der Registrierung oder Anmeldung eine zweite Methode zur Verifizierung ihrer Identität anzugeben. Externe Tenants unterstützen zwei Authentifizierungsmethoden als zweiten Faktor:
- Authentifizierung mit Einmalkennung per E-Mail
- SMS-basierte Authentifizierung, verfügbar als Add-On (siehe Details).
Die Implementierung von MFA erhöht die Sicherheit Ihrer Organisation, indem eine zusätzliche Überprüfungsebene hinzugefügt wird, die es unbefugten Benutzenden erschwert, Zugriff zu erhalten.
Erstellen einer MFA-Richtlinie
In einem externen Tenant können Sie mit Microsoft Entra Conditional Access eine Richtlinie erstellen, die Benutzende zur Eingabe einer MFA auffordert, wenn sie sich bei Ihrer Anwendung registrieren oder anmelden. Sie erstellen diese Richtlinie im Microsoft Entra Admin Center unter „Bedingter Zugriff“ im Abschnitt „Schutz“. Sie können festlegen, für welche Benutzenden und Gruppen die Richtlinie gelten soll, einschließlich aller Benutzenden und unter Ausschluss von Notfallzugriffskonten.
In der Richtlinie legen Sie fest, für welche Anwendungen eine MFA erforderlich ist. Sie können die Richtlinie auf alle Cloud-Apps anwenden oder bestimmte Anwendungen auswählen und alle Anwendungen ausschließen, die keine MFA erfordern. Anschließend konfigurieren Sie die Richtlinie so, dass der Zugriff nur gewährt wird, wenn die Benutzenden die MFA-Anforderungen erfüllen.
Ausführliche Informationen finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff in einem externen Mandanten.
Aktivieren von MFA-Methoden
Bei der Auswahl der Optionen für Identitätsanbieter in Ihren Benutzerabläufen definieren Sie die Methoden der Erst-Faktor-Authentifizierung für die Anmeldung und Registrierung. Zweistufige Verifizierungsmethoden für MFA werden im Microsoft Entra Admin Center unter Entra ID>Authentifizierungsmethoden konfiguriert.
Je nachdem, welche Option Sie als ersten Faktor auswählen, stehen unterschiedliche Überprüfungsmethoden für die Multi-Faktor-Authentifizierung (MFA) zur Verfügung.
- E-Mail mit Kennwort- und externen Identitätsanbietern: Bei einer dieser ersten Methoden können Sie E-Mail-Einmalkennung, SMS oder beide als zweitstufige Überprüfungsmethoden für MFA aktivieren.
- Einmal-Passcode per E-Mail: Wenn der Einmal-Passcode per E-Mail als Erstfaktor-Authentifizierungsmethode ausgewählt wird, kann er nicht zur Überprüfung des zweiten Faktors verwendet werden. Daher kann nur die SMS-basierte Überprüfung für MFA aktiviert werden.
Ausführliche Informationen finden Sie unter Aktivieren von MFA-Methoden in einem externen Mandanten.
Authentifizierung mit Einmalkennung per E-Mail
Die Authentifizierung mit Einmalkennung per E-Mail ist in einem externen Tenant sowohl als Erst- als auch als Zweit-Faktor-Verifizierungsmethode verfügbar. Damit E-Mail-Einmalkennungen für MFA verwendet werden können, muss ihre lokale Kontoauthentifizierungsmethode auf "E-Mail mit Kennwort" festgelegt werden. Wenn Sie "E-Mail mit einmalkennung" auswählen, können Kunden, die diese Methode für die primäre Anmeldung verwenden, sie nicht für die sekundäre MFA-Überprüfung verwenden.
Bei aktivierter Einmalkennung per E-Mail für MFA, melden sich Benutzende mit ihren primären Anmeldemethoden an und werden benachrichtigt, dass ein Code an ihre E-Mail-Adresse gesendet wird. Benutzende entscheiden sich für die Zusendung des Codes, rufen den Code aus ihren E-Mail-Posteingängen ab und geben ihn in das Anmeldefenster ein. Der Benutzer muss diesen Überprüfungsprozess innerhalb von 10 Minuten abschließen.
SMS-basierte Authentifizierung
SMS ist für die Überprüfung des zweiten Faktors bei externen Tenants gegen eine zusätzliche Gebühr erhältlich. Derzeit ist SMS nicht für die Erst-Faktor-Authentifizierung oder die Self-Service-Kennwortzurücksetzung in externen Tenants verfügbar.
Wenn SMS für MFA aktiviert ist, melden sich Benutzende mit ihrer primären Methode an und werden aufgefordert, ihre Identität mit einem per SMS gesendeten Code zu bestätigen. Sie geben ihre Telefonnummer ein und erhalten eine SMS mit dem Prüfcode.
External ID verhindert betrügerische Registrierungen und Anmeldungen per SMS durch folgende Maßnahmen:
- Telefonie-Drosselungen verhindern Ausfälle und Verlangsamungen. Siehe Dienstbeschränkungen und Einschränkungen.
- CAPTCHA für SMS MFA hilft dabei, automatisierte Angriffe zu verhindern, indem menschliche Benutzende von automatisierten Bots unterschieden werden. Sobald risikobehaftete Benutzende erkannt werden, werden dieser für die Anmeldung gesperrt oder aufgefordert, ein CAPTCHA auszufüllen, bevor ein Überprüfungscode per SMS gesendet wird.
SMS-Tarifstufen nach Land/Region
Die folgende Tabelle enthält Einzelheiten zu den verschiedenen Tarifstufen für SMS-basierte Authentifizierungsdienste in verschiedenen Ländern oder Regionen. Details zu den Preisen finden Sie unter Microsoft Entra External ID Pricing.
SMS ist ein Add-On-Feature und erfordert ein verknüpftes Abonnement. Wenn Ihr Abonnement abläuft oder gekündigt wird, können sich Endbenutzer nicht mehr per SMS authentifizieren, was sie je nach Ihren MFA-Richtlinien daran hindern könnte, sich anzumelden.
| Tarif | Länder/Regionen |
|---|---|
| Telefonische Authentifizierung mit geringen Kosten | Australien, Brasilien, Brunei, Kanada, Chile, China, Kolumbien, Zypern, Nordmazedonien, Polen, Portugal, Südkorea, Thailand, Türkiya, Vereinigte Staaten |
| Telefonische Authentifizierung mit mittleren geringen Kosten | Grönland, Albanien, Amerikanisch-Samoa, Österreich, Bahamas, Bahrain, Bosnien & Herzegowina, Botsuana, Costa Rica, Tschechische Republik, Dänemark, Estland, Färöerinseln, Finnland, Frankreich, Griechenland, Hongkong SAR, Ungarn, Island, Irland, Italien, Japan, Lettland, Litauen, Luxemburg, Macao SAR, Malta, Mexiko, Mikronesien, Moldawien, Namibia, Neuseeland, Nicaragua, Norwegen, Rumänien, São Tomé und Príncipe, Republik Seychellen, Singapur, Slowakei, Salomonen, Spanien, Schweden, Schweiz, Taiwan, Vereinigtes Königreich, Vereinigte Staaten Jungferninseln, Uruguay |
| Telefonische Authentifizierung mit mittleren hohen Kosten | Andorra, Angola, Anguilla, Antarktis, Antigua und Barbuda, Argentinien, Armenien, Aruba, Barbados, Belgien, Benin, Bolivien, Bonaire, Curaçao, Saba, Sint Eustatius and Sint Maarten, Britische Jungferninseln, Bulgarien, Burkina Faso, Kamerun, Kaimaninseln, Zentralafrikanische Republik, Cookinseln, Elfenbeinküste, Kroatien, Diego Garcia, Dschibuti, Dominikanische Republik, Dominikanische Republik, Dominikanische Republik, Ecuador, El Salvador, Eritrea, Falklandinseln, Fidschi, Französisch-Guayana, Französisch-Polynesien, Gambia, Georgien, Deutschland, Gibraltar, Grenada, Guadeloupe, Guam, Guinea, Guyana, Honduras, Indien, Kenia, Kiribati, Laos, Liberia, Malaysia, Marshallinseln, Martinique, Mauritius, Monaco, Montenegro, Montserrat, Niederlande, , Neukaledonien, Niue, Oman, Palau, Panama, Paraguay, Peru, Puerto Rico, Puerto Rico, Réunion, Ruanda, St. Helena, Ascension und Tristan de Cunha, St. Kitts und Nevis, St. Lucia, St. Pierre und Miquelon, St. Vincent und die Grenadinen, Saipan, Samoa, San Marino, Saudi-Arabien, Sint Maarten, Slowenien, Südafrika, Südsudan, Suriname, Swasiland (Neuer Name: Königreich Eswatini), Osttimor, Tokelau, Tonga, Turks und Caicos, Tuvalu, Vereinigte Arabische Emirate, Vanuatu, Venezuela, Vietnam, Wallis und Futuna |
| Telefonische Authentifizierung mit hohen Kosten | Liechtenstein, Bermuda, Cabo Verde, Kambodscha, Demokratische Republik Kongo, Dominica, Ägypten, Äquatorialguinea, Ghana, Guatemala, Guinea-Bissau, Israel, Jamaika, Kosovo, Lesotho, Malediven, Mali, Mauritanien, Marokko, Mosambik, Papua-Neuguinea, Philippinen, Katar, Sierra Leone, Trinidad & Tobago, Ukraine, Simbabwe, Afghanistan, Algerien, Aserbaidschan, Bangladesch, Belarus, Belize, Burundi, Chad, Komoren, Kongo, Äthiopien, Gabonische Republik, Haiti, Indonesien, Irak, Jordanien, Kuwait, Kirgisistan, Libanon, Libyen, Madagaskar, Malawi, Mongolei, Myanmar, Nauru, Nepal, Nigeria, Pakistan, palästinensische Nationale Behörde, Russland, Senegal, Serbien, Somalia, Sri Lanka, Sudan, Tadschikistan, Tansania, Togolese Republik, Tunesien, Turkmenistan, Uganda, Usbekistan, Jemen, Sambia |
Abonnieren von Regionen für SMS-Verifizierung
Ab Januar 2025 werden einige Landesvorwahlen standardmäßig für die SMS-Verifizierung deaktiviert. Wenn Sie den Datenverkehr aus deaktivierten Regionen zulassen möchten, müssen Sie sie mithilfe der Microsoft Graph-Richtlinie onPhoneMethodLoadStartevent für Ihre Anwendung aktivieren. Siehe Regionen, in denen die Anmeldung für die SMS-Überprüfung erforderlich ist.
Nächste Schritte
Hinzufügen von mehrstufiger Authentifizierung (MFA) zu einer App