Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID ermöglicht die Verwendung verschiedener Authentifizierungsmethoden, um eine Vielzahl von Anmeldeszenarien zu unterstützen. Administratoren können jede Methode entsprechend ihren Zielen im Hinblick auf die Benutzererfahrung und Sicherheit konfigurieren. In diesem Thema wird erläutert, wie Sie Authentifizierungsmethoden für Microsoft Entra ID verwalten und wie sich Konfigurationsoptionen auf die Benutzeranmeldung und Kennwortzurücksetzung auswirken.
Richtlinien für Authentifizierungsmethoden
Es wird empfohlen, Authentifizierungsmethoden (einschließlich moderner Methoden wie kennwortlose Authentifizierung) mithilfe der Richtlinie für Authentifizierungsmethoden zu verwalten. Authentifizierungsrichtlinienadministratoren können diese Richtlinie bearbeiten, um Authentifizierungsmethoden für alle Benutzer oder bestimmte Gruppen zu aktivieren.
In der Richtlinie für Authentifizierungsmethoden aktivierte Methoden können in der Regel überall in Microsoft Entra ID verwendet werden – sowohl für die Authentifizierung als auch die Kennwortzurücksetzung. Einige Methoden sind jedoch grundsätzlich auf die Verwendung zur Authentifizierung (z. B. FIDO2 und Windows Hello for Business) und andere auf die Verwendung zur Kennwortzurücksetzung (z. B. Sicherheitsfragen) beschränkt. Um mehr Kontrolle darüber zu erhalten, welche Methoden in einem bestimmten Authentifizierungsszenario verwendet werden können, sollten Sie das Feature " Authentifizierungsstärken " verwenden.
Die meisten Methoden verfügen auch über Konfigurationsparameter, mit denen die Verwendung der Methode präziser gesteuert werden kann. Wenn Sie beispielsweise Sprachanrufe aktivieren, können Sie auch angeben, ob zusätzlich zu einem Mobiltelefon ein Bürotelefon verwendet werden kann.
Angenommen, Sie möchten die kennwortlose Authentifizierung mit Microsoft Authenticator aktivieren. In diesem Fall können Sie zusätzliche Parameter festlegen, z. B. die Anzeige des Standorts der Anmeldung des Benutzers oder des Namens der App, bei der sich der Benutzer anmeldet. Diese Optionen bieten mehr Kontext für Benutzer, wenn sie sich anmelden, und tragen zur Vermeidung versehentlicher Genehmigungen einer Multi-Faktor-Authentifizierung (MFA) bei.
Um die Richtlinie für Authentifizierungsmethoden zu verwalten, melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an, und navigieren Sie zu Den Richtlinien für entra-ID-Authentifizierungsmethoden>>.
Nur die konvergierte Registrierungserfahrung kennt die Richtlinie für Authentifizierungsmethoden. Benutzern, die von der Richtlinie für Authentifizierungsmethoden, aber nicht von der zusammengeführten Registrierung betroffen sind, werden nicht die richtigen Methoden für die Registrierung angezeigt.
MFA- und SSPR-Legacyrichtlinien
Zwei weitere Richtlinien, die sich in mehrstufigen Authentifizierungseinstellungen und Kennwortzurücksetzungseinstellungen befinden, bieten eine ältere Möglichkeit, einige Authentifizierungsmethoden für alle Benutzer im Mandanten zu verwalten. Bei diesen Richtlinien können Sie nicht steuern, wer eine aktivierte Authentifizierungsmethode verwendet oder wie die Methode verwendet werden kann.
Wichtig
Im März 2023 wurde angekündigt, dass die Verwaltung von Authentifizierungsmethoden in den Richtlinien für die Legacy-Multi-Faktor-Authentifizierung und die Self-Service-Kennwortzurücksetzung (SSPR) eingestellt wird. Ab dem 30. September 2025 können keine Authentifizierungsmethoden mehr in diesen Legacy-Richtlinien für MFA und SSPR verwaltet werden. Kundschaft wird empfohlen, die manuelle Migrationssteuerung zu verwenden, um bis zum Einstellungsdatum zur Richtlinie für Authentifizierungsmethoden zu migrieren.
Um die ältere MFA-Richtlinie zu verwalten, navigieren Sie zu Schutz>Multifaktor-Authentifizierung>Erste Schritte>Konfigurieren>Zusätzliche cloudbasierte Multifaktor-Authentifizierungseinstellungen.
Um Authentifizierungsmethoden für die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) zu verwalten, navigieren Sie zu entra ID>Kennwortzurücksetzung>authentifizierungsmethoden. Mit der Option "Mobiltelefon" in dieser Richtlinie können Sprachanrufe oder Sms an ein Mobiltelefon gesendet werden. Die Office-Telefonoption lässt nur Sprachanrufe zu.
Zusammenspiel der Richtlinien
Die Einstellungen werden nicht zwischen den Richtlinien synchronisiert. Administratoren können daher jede Richtlinie separat verwalten. Die Microsoft Entra-ID berücksichtigt die Einstellungen in allen Richtlinien, sodass ein Benutzer, der für eine Authentifizierungsmethode in jeder Richtlinie aktiviert ist, diese Methode registrieren und verwenden kann. Wenn Sie verhindern möchten, dass Benutzer eine Methode verwenden, müssen Sie die jeweilige Methode in allen Richtlinien deaktivieren.
Sehen wir uns ein Beispiel an, in dem ein Benutzer, der zur Gruppe „Buchhaltung“ gehört, Microsoft Authenticator registrieren möchte. Der Registrierungsprozess überprüft zunächst die Richtlinie für Authentifizierungsmethoden. Wenn die Gruppe „Buchhaltung“ für Microsoft Authenticator aktiviert ist, kann der Benutzer die Methode registrieren.
Andernfalls überprüft der Registrierungsprozess die MFA-Legacyrichtlinie. Bei dieser Richtlinie kann jeder Benutzer Microsoft Authenticator registrieren, wenn eine der folgenden Einstellungen für die Multi-Faktor-Authentifizierung aktiviert ist:
- Benachrichtigung über mobile App
- Überprüfungscode aus mobilen Apps oder Hardwaretoken
Wenn der Benutzer Microsoft Authenticator nicht basierend auf einer dieser Richtlinien registrieren kann, überprüft der Registrierungsprozess die SSPR-Legacyrichtlinie. Auch bei dieser Richtlinie kann ein Benutzer Microsoft Authenticator registrieren, wenn er für die Self-Service-Kennwortzurücksetzung aktiviert ist und eine der folgenden Einstellungen aktiviert ist:
- Benachrichtigung über mobile Apps
- Mobiler Anwendungscode
Bei Benutzern, für die die Option Mobiltelefon für die Self-Service-Kennwortzurücksetzung aktiviert ist, kann sich die unabhängige Steuerung von Richtlinien auf das Anmeldeverhalten auswirken. Wenn die anderen Richtlinien separate Optionen für Sms und Sprachanrufe haben, ermöglicht das Mobiltelefon für SSPR beide Optionen. Daher kann jeder, der das Mobiltelefon für SSPR verwendet, auch Sprachanrufe für die Kennwortzurücksetzung verwenden, auch wenn die anderen Richtlinien keine Sprachanrufe zulassen.
Nehmen wir an, Sie aktivieren Sprachanrufe für eine Gruppe. Nachdem Sie die Option aktiviert haben, stellen Sie fest, dass sich auch Benutzer, die keine Gruppenmitglieder sind, mit einem Sprachanruf anmelden können. In diesem Fall ist es wahrscheinlich, dass diese Benutzer in der älteren SSPR-Richtlinie für Mobiltelefone oder in der älteren MFA-Richtlinie für Anruf an Telefon aktiviert sind.
Migration zwischen Richtlinien
Die Richtlinie für Authentifizierungsmethoden bietet einen Migrationsleitfaden, der Ihnen die einheitliche Verwaltung aller Authentifizierungsmethoden ermöglicht. Alle gewünschten Methoden können in der Richtlinie für Authentifizierungsmethoden aktiviert werden, wenn die Richtlinie auf bestimmte Benutzergruppen oder alle Benutzende ausgerichtet ist. Der Migrationsleitfaden für Authentifizierungsmethoden automatisiert die Schritte zum Überwachen der aktuellen Richtlinieneinstellungen für MFA und SSPR und konsolidiert sie in der Richtlinie für Authentifizierungsmethoden. Sie können über das Microsoft Entra Admin Center auf den Leitfaden zugreifen, indem Sie zuDen Richtlinien für >> navigieren.
Sie können Richtlinieneinstellungen auch manuell migrieren. Für die Migration sind drei Einstellungen verfügbar, mit deren Hilfe Sie die Migration in Ihrem eigenen Tempo durchführen und Probleme mit der Anmeldung oder Self-Service-Kennwortzurücksetzung während des Übergangs vermeiden können.
Nach Abschluss der Migration können Methoden in den Legacyrichtlinien für MFA und SSPR deaktiviert werden. Sie können die Steuerung der Authentifizierungsmethoden für die Anmeldung und die Self-Service-Kennwortzurücksetzung an einem zentralen Ort zusammenführen, und die MFA- und SSPR-Legacyrichtlinien werden deaktiviert.
Hinweis
Sicherheitsfragen können derzeit nur mithilfe der SSPR-Legacyrichtlinie aktiviert werden. Falls Sie Sicherheitsfragen verwenden und diese nicht deaktivieren möchten, lassen Sie sie in der SSPR-Legacyrichtlinie aktiviert, bis ein Migrationssteuerelement verfügbar ist. Sie können die restlichen Authentifizierungsmethoden migrieren und weiterhin Sicherheitsfragen in der SSPR-Legacyrichtlinie verwalten.
Um die Migrationsoptionen anzuzeigen, öffnen Sie die Richtlinie für Authentifizierungsmethoden, und klicken Sie auf " Migration verwalten".
In der folgenden Tabelle sind die einzelnen Optionen beschrieben.
| Option | Beschreibung |
|---|---|
| Vor der Migration | Die Richtlinie für Authentifizierungsmethoden wird nur für die Authentifizierung verwendet. Einstellungen von Legacyrichtlinien werden berücksichtigt. |
| Migration in Bearbeitung | Die Richtlinie für Authentifizierungsmethoden wird für die Authentifizierung und Self-Service-Kennwortzurücksetzung verwendet. Einstellungen von Legacyrichtlinien werden berücksichtigt. |
| Nach Abschluss der Migration | Nur die Richtlinie für Authentifizierungsmethoden wird für die Authentifizierung und Self-Service-Kennwortzurücksetzung verwendet. Einstellungen von Legacyrichtlinien werden ignoriert. |
Mandanten sind je nach aktuellem Status des Mandanten standardmäßig auf „Vor der Migration“ oder „Migration in Bearbeitung“ festgelegt. Wenn Sie mit „Vor der Migration“ beginnen, können Sie jederzeit in einen anderen Status wechseln. Wenn Sie mit „Migration in Bearbeitung“ begonnen haben, können Sie jederzeit zwischen „Migration in Bearbeitung“ und „Migration abgeschlossen“, aber nicht zu „Vor der Migration“ wechseln. Wenn Sie zu „Migration abgeschlossen“ wechseln und dann ein Rollback auf einen früheren Zustand durchführen, fragen wir Sie nach den Gründen, damit wir die Leistung des Produkts bewerten können.
Hinweis
Nachdem alle Authentifizierungsmethoden vollständig migriert wurden, bleiben die folgenden Elemente der Legacy-SSPR-Richtlinie aktiv:
- Die Anzahl der Methoden, die zum Zurücksetzen der Steuerung erforderlich sind : Administratoren können weiterhin ändern, wie viele Authentifizierungsmethoden überprüft werden müssen, bevor ein Benutzer SSPR ausführen kann.
- SSPR-Administratorrichtlinie: Administratoren können weiterhin alle Methoden, die unter der Legacy-SSPR-Administratorrichtlinie aufgeführt sind, oder Methoden, die sie in der Richtlinie für Authentifizierungsmethoden verwenden können, registrieren und nutzen.
In Zukunft werden beide Features in die Richtlinie für Authentifizierungsmethoden integriert.
Bekannte Probleme und Einschränkungen
In den letzten Updates haben wir die Möglichkeit entfernt, einzelne Benutzende anzusprechen. Zuvor als Ziel angegebene Benutzende verbleiben in der Richtlinie, es wird jedoch empfohlen, sie in eine Zielgruppe zu verschieben.
Bei der Registrierung einer Authentifizierungsmethode kann ein Fehler auftreten, wenn viele Gruppen in der Richtlinie für Authentifizierungsmethoden oder einer Registrierungskampagne enthalten sind. Es wird empfohlen, für jede Authentifizierungsmethode mehrere Gruppen in einer einzelnen Gruppe zu konsolidieren. Um die Registrierung für Benutzende während der Konsolidierung beizubehalten, fügen Sie die neue Gruppe hinzu, und entfernen Sie aktuelle Gruppen im selben Vorgang.
Hinweis
Möglicherweise können Sie die Aktualisierungen der Richtlinie für Authentifizierungsmethoden nicht speichern, wenn die Richtlinie auf viele Gruppen abzielt und die Richtliniengröße 20 KB überschreitet. Während wir daran arbeiten, das Größenlimit für die Richtlinie zu erhöhen, sollten Sie die Zielgruppen so weit wie möglich konsolidieren.