Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Authenticator bietet eine weitere Sicherheitsebene für Ihr Microsoft Entra-Geschäfts-, Schul- oder Unikonto oder Ihr Microsoft-Konto. Er ist für Android und iOS verfügbar. Mit der Microsoft Authenticator-App können sich Benutzer während der Anmeldung auf kennwortlose Weise authentifizieren. Sie können sie auch als Überprüfungsoption bei Ereignissen der Self-Service-Kennwortzurücksetzung (SSPR) oder der Multi-Faktor-Authentifizierung (MFA) verwenden.
Microsoft Authenticator unterstützt Passkey, kennwortlose Anmeldung und MFA mithilfe von Benachrichtigungen und Überprüfungscodes.
- Benutzer können sich mit einem Passkey in der Authenticator-App anmelden und die Phishing-resistente Authentifizierung mit ihrer biometrischen Anmelde- oder Geräte-PIN abschließen.
- Benutzer können Authenticator-Benachrichtigungen einrichten und sich mit Authenticator anstelle ihres Benutzernamens und Kennworts anmelden.
- Benutzer können eine MFA-Anforderung auf ihrem mobilen Gerät erhalten und den Anmeldeversuch von ihrem Telefon genehmigen oder verweigern.
- Sie können auch einen OATH-Überprüfungscode in der Authenticator-App verwenden und in eine Anmeldebenutzeroberfläche eingeben.
Weitere Informationen finden Sie unter Aktivieren der kennwortlosen Anmeldung mit dem Microsoft Authenticator.
Hinweis
Android-Benutzer mit Unternehmensportalversionen unter 2111 (5.0.5333.0) können Authenticator erst registrieren, wenn sie ihre Unternehmensportalanwendung auf eine neuere Version aktualisieren.
Passkey-Anmeldung
Authenticator ist eine kostenlose Passkey-Lösung, mit der Benutzer und Benutzerinnen kennwortlose phishing-resistente Authentifizierungen auf ihren eigenen Smartphones ausführen können. Einige wichtige Vorteile der Verwendung von Passkeys in der Authenticator-App:
- Passkeys können einfach im großen Stil bereitgestellt werden. Dann stehen einem Benutzer Passkeys auf seinem Telefon sowohl für Mobile Device Management (MDM) als auch für Bring-Your-Own-Device (BYOD)-Szenarien zur Verfügung.
- Passkeys in Authenticator sind kostenlos und begleiten die Benutzer und Benutzerinnen überall hin.
- Passkeys in Authenticator sind gerätegebunden, wodurch sichergestellt wird, dass der Kennungsschlüssel das Gerät nicht belässt, auf dem es erstellt wurde.
- Die Benutzer und Benutzerinnen bleiben mit den neuesten Passkey-Innovationen, die auf offenen WebAuthn-Standards basieren, auf dem Laufenden.
- Unternehmen können andere Funktionen über Authentifizierungsflüsse überlagern, z. B. Federal Information Processing Standards (FIPS) 140-Compliance.
Gerätegebundener Passkey
Um sicherzustellen, dass sie das Gerät, auf dem sie erstellt wurden, nie verlassen, sind Passkeys in der Authenticator-App sind gerätegebunden. Auf einem iOS-Gerät verwendet Authenticator die Secure Enclave, um den Passkey zu erstellen. Unter Android erstellen wir den Passkey im Secure Element auf Geräten, die es unterstützen, oder greifen auf die Trusted Execution Environment (TEE) zurück.
Funktionsweise des Passkey-Nachweises mit Authenticator
Wenn der Nachweis in der Richtlinie Passkey (FIDO2) aktiviert ist, versucht Microsoft Entra ID, die Legitimität des Sicherheitsschlüsselmodells oder des Passkeyanbieters zu überprüfen, bei dem der Passkey erstellt wird. Wenn der Benutzer einen Passkey in Authenticator registriert, überprüft der Nachweis, dass die legitime Microsoft Authenticator-App den Passkey mithilfe von Apple- und Google-Diensten erstellt hat. Hier sind Details zur Funktionsweise des Nachweises für jede Plattform:
iOS: Der Authenticator-Nachweis verwendet den iOS App Attest-Dienst, um die Legitimität der Authenticator-App sicherzustellen, bevor der Passkey registriert wird.
Android:
- Beim Play Integrity-Nachweis verwendet der Authenticator-Nachweis die Play Integrity-API, um die Legitimität der Authenticator-App sicherzustellen, bevor der Passkey registriert wird.
- Für den Schlüsselnachweis verwendet der Authenticator-Nachweis den Schlüsselnachweis von Android, um zu überprüfen, ob der zu registrierende Passkey hardwaregestützt ist.
Hinweis
Bei iOS und Android nutzt der Authenticator-Nachweis Apple- und Google-Dienste, um die Echtheit der Authenticator-App zu überprüfen. Eine hohe Dienstauslastung kann zu einem Fehler bei der Passkeyregistrierung führen, und Benutzer müssen den Vorgang möglicherweise wiederholen. Wenn Apple- und Google-Dienste nicht verfügbar sind, blockiert der Authenticator-Nachweis die Registrierung, die einen Nachweis erfordert, bis die Dienste wieder verfügbar sind. Informationen zum Überwachen des Status des Google Play Integrity-Diensts finden Sie unter Google Play Status Dashboard (Statusdashboard von Google Play). Informationen zum Überwachen des Status des iOS App Attest-Diensts finden Sie unter System Status.
Weitere Informationen zum Konfigurieren des Nachweises finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator für Microsoft Entra ID.
Kennwortlose Anmeldung über Benachrichtigungen
Wenn Benutzer oder Benutzerinnen, die Anmeldung per Smartphone über die Authenticator-App aktiviert haben, wird nach der Eingabe des Benutzernamens keine Aufforderung zur Eingabe eines Kennworts angezeigt, sondern eine Meldung, in der sie dazu aufgefordert werden, in der App eine Zahl einzugeben. Nach der Auswahl der richtigen Nummer ist der Anmeldevorgang abgeschlossen.
Diese Authentifizierungsmethode bietet ein hohes Maß an Sicherheit. Zudem muss der Benutzer bei der Anmeldung kein Kennwort mehr eingeben.
Informationen zu den ersten Schritten mit der Anmeldung ohne Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.
MFA via Benachrichtigungen über mobile App
Die Microsoft Authenticator-App kann dazu beitragen, nicht autorisierten Zugriff auf Konten zu verhindern und betrügerische Transaktionen zu stoppen, indem sie eine Benachrichtigung an Ihr Smartphone oder Tablet sendet. Benutzer sehen die Benachrichtigung und wählen Bestätigen aus, wenn der Vorgang rechtmäßig ist. Andernfalls können sie Verweigern auswählen.
Hinweis
Ab August 2023 werden bei anomalen Anmeldungen ähnlich wie Anmeldungen von unbekannten Standorten aus keine Benachrichtigungen mehr generiert. Um eine anomale Anmeldung zu genehmigen, können Benutzer*innen Microsoft Authenticator oder Authenticator Lite in einer relevanten Begleit-App wie Outlook öffnen. Anschließend können sie zur Aktualisierung entweder nach unten ziehen oder auf Aktualisieren tippen und dann die Anforderung genehmigen.
In China funktioniert die Methode Benachrichtigung durch mobile App auf Android-Geräten nicht, weil die Google Play-Dienste (einschließlich der Pushbenachrichtigungen) in dieser Region gesperrt sind. iOS-Benachrichtigungen funktionieren jedoch. Daher sollten Benutzer*innen von Android-Geräten alternative Authentifizierungsmethoden zur Verfügung gestellt werden.
Prüfcode über die mobile App
Die Microsoft Authenticator-App kann als Softwaretoken zum Generieren eines OATH-Prüfcodes verwendet werden. Nachdem Sie Benutzernamen und Kennwort eingegeben haben, geben Sie im Anmeldebildschirm den in der Authenticator-App generierten Code ein. Der Überprüfungscode kann als zweite Authentifizierungsmethode eingegeben werden.
Hinweis
Von Authenticator generierte OATH-Prüfcodes werden für die zertifikatbasierte Authentifizierung nicht unterstützt.
Benutzer und Benutzerinnen können eine Kombination von bis zu fünf OATH-Hardware-Token oder Authenticator-Anwendungen, wie z. B. die Authenticator-App, für die jederzeitige Verwendung konfigurieren.
FIPS 140-konform für Microsoft Entra-Authentifizierung
Im Einklang mit den Richtlinien des National Institute of Standards and Technologies (NIST) Special Publication 800-63B sind Authentifikatoren, die von US-Behörden verwendet werden, erforderlich, um FIPS 140 validierte Kryptografie zu verwenden. Diese Richtlinie hilft US-Behörden, die Anforderungen des Executive Order (EO) 14028 zu erfüllen. Überdies hilft diese Richtlinie anderen regulierten Branchen wie Organisationen im Gesundheitswesen, die mit elektronischen Rezepten für kontrollierte Substanzen (Electronic Prescriptions for Controlled Substances, EPCS) arbeiten, die für sie geltenden gesetzlichen Anforderungen zu erfüllen.
Der FIPS 140 ist ein Standard für US-Bundesbehörden, der Mindestsicherheitsanforderungen für kryptografische Module in IT-Produkten und -Systemen definiert. Das Cryptographic Module Validation Program (CMVP) verwaltet Tests gemäß FIPS 140-Standard.
Microsoft Authenticator für iOS
Ab Version 6.6.8 verwendet Microsoft Authenticator for iOS das native Apple CoreCrypto-Modul für FIPS-validierte Kryptografie auf Apple iOS FIPS 140-kompatiblen Geräten. Alle Microsoft Entra-Authentifizierungen unter Verwendung von phishingresistenten gerätegebundenen Hauptschlüsseln, Push-Multi-Faktor-Authentifizierungen (MFA), kennwortloser Telefonanmeldung (PSI) und zeitbasierten Einmal-Passcodes (TOTP) nutzen die FIPS-Kryptografie.
Weitere Informationen zu den von FIPS 140 validierten kryptografischen Modulen, die auf kompatiblen iOS-Geräten verwendet werden, finden Sie unter Apple iOS-Sicherheitszertifizierungen.
Microsoft Authenticator für Android
Ab Version 6.2409.6094 von Microsoft Authenticator für Android gelten alle Authentifizierungen in Microsoft Entra ID, einschließlich Passkeys, als FIPS-konform. Authenticator verwendet das wolfSSL Inc. Kryptografiemodul, um FIPS 140, Security Level 1 Compliance auf Android-Geräten zu erreichen. Weitere Informationen zur Zertifizierung finden Sie unter Kryptografiemodul-Validierungsprogramm.
Bestimmen des Microsoft Authenticator-Registrierungstyps in den Sicherheitsinformationen
Benutzer können auf Sicherheitsinformationen zugreifen (siehe die URLs im nächsten Abschnitt) oder durch Auswahl von „Sicherheitsinformation“ unter „MyAccount“ weitere Microsoft Authenticator-Registrierungen verwalten und hinzufügen. Bestimmte Symbole werden verwendet, um zu unterscheiden, ob es sich bei der Microsoft Authenticator-Registrierung um eine kennwortlose Telefonanmeldung oder um MFA handelt.
| Authentificator-Registrierungstyp | Symbol |
|---|---|
| Microsoft Authenticator: kennwortlose Anmeldung per Telefon |
|
| Microsoft Authenticator (Benachrichtigung/Code) |
|
SecurityInfo-Links
| Wolke | Sicherheitsinformationen-URL |
|---|---|
| Azure kommerziell (einschließlich Government Community Cloud (GCC)) | https://aka.ms/MySecurityInfo |
| Azure für US Government (umfasst GCC High und DoD) | https://aka.ms/MySecurityInfo-us |
Updates für Authenticator
Microsoft aktualisiert Authenticator kontinuierlich, um ein hohes Sicherheitsniveau zu gewährleisten. Um die bestmögliche Benutzererfahrung für Ihre Benutzer und Benutzerinnen sicherzustellen, empfehlen wir, dass sie ihre Authenticator-App kontinuierlich aktualisieren. Bei kritischen Sicherheitsupdates funktionieren App-Versionen, die nicht auf dem neuesten Stand sind, möglicherweise nicht mehr und können Benutzer daran hindern, ihre Authentifizierung abzuschließen. Wenn ein Benutzer eine nicht unterstützte Version der App verwendet, wird er aufgefordert, ein Upgrade auf die neueste Version durchzuführen, bevor er sich anmeldet.
Microsoft wird auch in regelmäßigen Abständen ältere Versionen der Authenticator-App ausmustern, um ein hohes Maß an Sicherheit für Ihr Unternehmen zu gewährleisten. Wenn das Gerät eines Benutzers keine modernen Versionen von Microsoft Authenticator unterstützt, kann er sich nicht mit der App anmelden. Wir empfehlen, sich mit einem OATH-Überprüfungscode in Microsoft Authenticator anzumelden, um MFA abzuschließen.
Nächste Schritte
Informationen zu den ersten Schritten mit Passkeys finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator für Microsoft Entra ID.
Weitere Informationen zur Anmeldung ohne Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.
Lernen Sie mehr über die Konfiguration der Authentifizierungsmethoden mithilfe der Microsoft Graph REST-API.