Freigeben über

Planen der obligatorischen Multi-Faktor-Authentifizierung für Azure und andere Admin-Portale

Bei Microsoft sind wir bestrebt, unseren Kundinnen und Kunden ein Höchstmaß an Sicherheit zu bieten. Eine der effektivsten Sicherheitsmaßnahmen, die ihnen zur Verfügung stehen, ist die Multi-Faktor-Authentifizierung (MFA). Untersuchungen von Microsoft zeigen, dass MFA mehr als 99,2% von Kontokompromittierungsangriffen blockieren kann.

Deshalb erzwingen wir ab 2024 obligatorische MFA für alle Azure-Anmeldeversuche. Weitere Informationen zu dieser Anforderung finden Sie in unserem Blogbeitrag. In diesem Thema wird erläutert, welche Anwendungen und Konten betroffen sind, wie die Durchsetzung bei Mandanten umgesetzt wird und es werden weitere allgemeine Fragen und Antworten behandelt.

Von Bedeutung

Wenn sich ein Benutzer nach dem Rollout obligatorischer MFA nicht bei Azure und anderen Verwaltungsportalen anmelden kann, kann ein globaler Administrator ein Skript ausführen, um die MFA-Anforderung zu verschieben und Benutzern die Anmeldung zu ermöglichen. Weitere Informationen finden Sie unter Verschieben der Erzwingung für einen Mandanten, bei dem sich Benutzer nach dem Rollout der obligatorischen mehrstufigen Authentifizierung (MFA)-Anforderung für das Azure-Portal, das Microsoft Entra Admin Center oder das Microsoft Intune Admin Center nicht anmelden können.

Es gibt keine Änderung für Benutzer, wenn Ihre Organisation bereits MFA für sie erzwingt oder wenn sie sich mit stärkeren Methoden wie passwortlos oder Passkey (FIDO2) anmelden. Informationen zum Überprüfen, ob MFA aktiviert ist, finden Sie unter Wie man überprüft, ob Benutzer für verpflichtendes MFA eingerichtet sind.

Umfang der Durchsetzung

Der Umfang der Durchsetzung umfasst, welche Anwendungen MFA erzwingen möchten, Anwendungen, die außerhalb des Gültigkeitsbereichs liegen, wann die Erzwingung geplant ist und welche Konten über eine obligatorische MFA-Anforderung verfügen.

Anwendungen

Hinweis

Der Zeitpunkt der Durchsetzung für Phase 2 wurde auf den 1. September 2025 geändert.

In der folgenden Tabelle sind betroffene Apps, App-IDs und URLs für Azure aufgeführt.

Anwendungsname App-ID Die Durchsetzung beginnt
Azure-Portal c44b4083-3bb0-49c1-b47d-974e53cbdf3c Zweite Hälfte des Jahres 2024
Microsoft Entra Admin Center c44b4083-3bb0-49c1-b47d-974e53cbdf3c Zweite Hälfte des Jahres 2024
Microsoft Intune Admin Center c44b4083-3bb0-49c1-b47d-974e53cbdf3c Zweite Hälfte des Jahres 2024
Azure-Befehlszeilenschnittstelle (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 1. September 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 1. September 2025
Mobile Azure-App 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa 1. September 2025
Infrastruktur als Codetools (IaC) Verwenden von Azure CLI- oder Azure PowerShell-IDs 1. September 2025
REST-API (Steuerungsebene) Nicht verfügbar 1. September 2025
Azure SDK Nicht verfügbar 1. September 2025

In der folgenden Tabelle sind betroffene Apps und URLs für Microsoft 365 aufgeführt.

Anwendungsname URL Die Durchsetzung beginnt
Microsoft 365 Admin Center https://portal.office.com/adminportal/home Februar 2025
Microsoft 365 Admin Center https://admin.cloud.microsoft Februar 2025
Microsoft 365 Admin Center https://admin.microsoft.com Februar 2025

Konten

Alle Benutzer, die sich bei den weiter oben aufgeführten Anwendungen anmelden, um einen CruD-Vorgang (Create, Read, Update oder Delete) auszuführen, müssen MFA abschließen, wenn die Erzwingung beginnt. Benutzer müssen MFA nicht verwenden, wenn sie auf andere Anwendungen, Websites oder Dienste zugreifen, die in Azure gehostet werden. Jeder zuvor aufgeführte Anwendungs-, Website- oder Dienstbesitzer steuert die Authentifizierungsanforderungen für Benutzer.

Sobald die Durchsetzung beginnt, erzwingen auch Break Glass- oder Notfallzugriffskonten die Anmeldung mit MFA. Es wird empfohlen, diese Konten so zu aktualisieren, dass sie passkey (FIDO2) verwenden oder die zertifikatbasierte Authentifizierung für MFA konfigurieren. Beide Methoden erfüllen die MFA-Anforderung.

Workloadidentitäten, z. B. verwaltete Identitäten und Dienstprinzipale, wirken sich nicht auf beide Phasen dieser MFA-Erzwingung aus. Wenn Benutzeridentitäten verwendet werden, um sich als Dienstkonto anzumelden, um die Automatisierung (einschließlich Skripts oder andere automatisierte Aufgaben) auszuführen, müssen sich diese Benutzeridentitäten nach Beginn der Erzwingung mit MFA anmelden. Benutzeridentitäten werden für die Automatisierung nicht empfohlen. Sie sollten diese Benutzeridentitäten zu Workloadidentitäten migrieren.

Clientbibliotheken

Der OAuth 2.0 Resource Owner Password Credentials (ROPC)-Tokenzuteilungsfluss ist nicht mit MFA kompatibel. Nachdem MFA in Ihrem Microsoft Entra-Mandanten aktiviert wurde, lösen ROPC-basierte APIs, die in Ihren Anwendungen verwendet werden, Ausnahmen aus. Weitere Informationen zum Migrieren von ROPC-basierten APIs in Microsoft Authentication Libraries (MSAL) finden Sie unter How to migrate away from ROPC. Sprachspezifische MSAL-Anleitungen finden Sie auf den folgenden Registerkarten.

Änderungen sind erforderlich, wenn Sie das Microsoft.Identity.Client-Paket und eine der folgenden APIs in Ihrer Anwendung verwenden:

Die gleichen allgemeinen MSAL-Richtlinien gelten für die Azure Identity-Bibliotheken. Die UsernamePasswordCredential in diesen Bibliotheken bereitgestellte Klasse verwendet MSAL ROPC-basierte APIs. Sprachspezifische Anleitungen finden Sie auf den folgenden Registerkarten.

Änderungen sind erforderlich, wenn Sie das Azure.Identity-Paket verwenden und eine der folgenden Aktionen in Ihrer Anwendung ausführen:

Migrieren von benutzerbasierten Dienstkonten zu Workloadidentitäten

Wir empfehlen unseren Kunden, Benutzerkonten zu identifizieren, die als Dienstkonten verwendet werden, und sie zu Arbeitslastidentitäten zu migrieren. Bei der Migration müssen häufig Skripts und Automatisierungsprozesse aktualisiert werden, um Workloadidentitäten zu verwenden.

Überprüfen Sie , wie Sie überprüfen, ob Benutzer für obligatorische MFA eingerichtet sind , um alle Benutzerkonten zu identifizieren, einschließlich Benutzerkonten, die als Dienstkonten verwendet werden, die sich bei den Anwendungen anmelden.

Weitere Informationen zum Migrieren von benutzerbasierten Dienstkonten zu Workloadidentitäten für die Authentifizierung mit diesen Anwendungen finden Sie unter:

Einige Kunden wenden Richtlinien für bedingten Zugriff auf benutzerbasierte Dienstkonten an. Sie können die benutzerbasierte Lizenz zurückfordern und eine Workloadidentitätslizenz hinzufügen, um bedingten Zugriff auf Workloadidentitäten anzuwenden.

Implementierung

Diese Anforderung für die MFA bei der Anmeldung wird für Administratorportale und andere Anwendungen implementiert. Microsoft Entra ID-Anmeldeprotokolle zeigen sie als Quelle der MFA-Anforderung an.

Obligatorische MFA ist nicht konfigurierbar. Es wird getrennt von allen konfigurierten Zugriffsrichtlinien im Tenant implementiert.

Wenn Ihre Organisation z. B. die Sicherheitsstandards von Microsoft beibehalten hat und Sie derzeit Sicherheitsstandardeinstellungen aktiviert haben, sehen Ihre Benutzer keine Änderungen, da MFA bereits für die Azure-Verwaltung erforderlich ist. Wenn Ihr Mandant Richtlinien für den bedingten Zugriff in Microsoft Entra verwendet und Sie bereits über eine Richtlinie für bedingten Zugriff verfügen, über die sich Benutzer mit MFA bei Azure anmelden, wird keine Änderung angezeigt. Ebenso werden alle restriktiven Richtlinien für den bedingten Zugriff, die auf Azure abzielen und eine stärkere Authentifizierung erfordern, wie Phishing-sichere MFA, weiterhin durchgesetzt. Benutzer sehen keine Änderungen.

Durchsetzungsphasen

Hinweis

Der Zeitpunkt der Durchsetzung für Phase 2 wurde auf den 1. September 2025 geändert.

Die Implementierung der MFA erfolgt in zwei Phasen.

  • Phase 1: Ab Oktober 2024 ist MFA erforderlich, um sich beim Azure-Portal, dem Microsoft Entra Admin Center und dem Microsoft Intune Admin Center anzumelden. Die Durchsetzung wird schrittweise für alle Mandanten weltweit eingeführt. Ab Februar 2025 beginnt die MFA-Erzwingung schrittweise für die Anmeldung beim Microsoft 365 Admin Center. Diese Phase wirkt sich nicht auf andere Azure-Clients wie Azure CLI, Azure PowerShell, mobile Azure-App oder IaC-Tools aus.

  • Phase 2: Ab dem 1. September 2025 beginnt die MFA-Erzwingung schrittweise für Azure CLI, Azure PowerShell, mobile Azure-App, IaC-Tools und REST-API-Endpunkte. Einige Kundinnen und Kunden verwenden möglicherweise ein Benutzerkonto in Microsoft Entra ID als Dienstkonto. Es wird empfohlen, diese benutzerbasierten Dienstkonten zu migrieren, um cloudbasierte Dienstkonten mit Workloadidentitäten zu sichern.

Benachrichtigungskanäle

Microsoft benachrichtigt alle globalen Microsoft Entra-Administrierenden über die folgenden Kanäle:

  • E-Mail: Globale Administratoren, die eine E-Mail-Adresse konfiguriert haben, werden per E-Mail über die bevorstehende MFA-Durchsetzung und die erforderlichen Aktionen informiert.

  • Dienststatusbenachrichtigung: Globale Administratoren erhalten eine Dienststatusbenachrichtigung über das Azure-Portal mit der Nachverfolgungs-ID 4V20-VX0. Diese Benachrichtigung enthält die gleichen Informationen wie die E-Mail. Global Administrierende können sich auch anmelden, um Benachrichtigungen über den Zustand des Dienstes per E-Mail zu erhalten.

  • Portalbenachrichtigung: Bei der Anmeldung wird eine Benachrichtigung im Azure-Portal, im Microsoft Entra Admin Center und im Microsoft Intune Admin Center angezeigt. Die Portalbenachrichtigung verweist auf dieses Thema, um weitere Informationen zur obligatorischen MFA-Durchsetzung zu erhalten.

  • Microsoft 365-Nachrichtencenter: Eine Nachricht wird im Microsoft 365-Nachrichtencenter mit Nachrichten-ID angezeigt: MC862873. Diese Nachricht enthält dieselben Informationen wie die E-Mail- und Dienststatusbenachrichtigung.

Nach der Erzwingung wird ein Banner im Azure-Portal angezeigt:

Screenshot eines Banners in der mehrstufigen Microsoft Entra-Authentifizierung, das zeigt, dass obligatorische MFA erzwungen wird.

Externe Authentifizierungsmethoden und Identitätsanbieter

Die Unterstützung für externe MFA-Lösungen befindet sich in der Vorschau mit externen Authentifizierungsmethoden und kann verwendet werden, um die MFA-Anforderung zu erfüllen. Die Vorschau der benutzerdefinierten Steuerelemente für den bedingten Legacy-Zugriff erfüllt die MFA-Anforderung nicht. Sie sollten zur Vorschau der externen Authentifizierungsmethoden migrieren, um eine externe Lösung mit Microsoft Entra ID zu verwenden.

Wenn Sie einen Verbundidentitätsanbieter (Federated Identity Provider, IdP) wie Active Directory-Verbunddienste (AD FS) verwenden und Ihr MFA-Anbieter direkt in diesen Verbund-IdP integriert ist, muss der Verbund-IdP so konfiguriert werden, dass er einen MFA-Anspruch sendet. Weitere Informationen finden Sie unter "Erwartete eingehende Assertionen für Microsoft Entra MFA".

Mehr Zeit zur Vorbereitung auf die Durchsetzung von Phase 1 der MFA anfordern

Wir verstehen, dass einige Kundinnen und Kunden möglicherweise mehr Zeit benötigen, um sich auf diese MFA-Anforderung vorzubereiten. Microsoft ermöglicht Es Kunden mit komplexen Umgebungen oder technischen Barrieren, die Durchsetzung von Phase 1 für ihre Mandanten bis zum 30. September 2025 zu verschieben.

Für jeden Mandanten, wo sie das Startdatum der Erzwingung verschieben möchten, kann ein globaler Administrator zum https://aka.ms/managemfaforazure gehen, um ein Startdatum auszuwählen.

Vorsicht

Durch die Verschiebung des Beginns der Durchsetzung gehen Sie ein zusätzliches Risiko ein, da Konten, die auf Microsoft-Dienste wie das Azure-Portal zugreifen, äußerst wertvolle Ziele für Bedrohungsakteure darstellen. Wir empfehlen allen Mandanten, MFA jetzt einzurichten, um Cloudressourcen zu sichern.

Wenn Sie sich noch nie bei dem Azure-Portal mit MFA angemeldet haben, werden Sie aufgefordert, MFA abzuschließen, um sich anzumelden oder die MFA-Durchsetzung zu verschieben. Dieser Bildschirm wird nur einmal angezeigt. Weitere Informationen zum Einrichten von MFA finden Sie unter Wie man überprüft, ob Benutzer für obligatorische MFA eingerichtet sind.

Screenshot der Aufforderung zur Bestätigung der obligatorischen MFA.

Wenn Sie "MFA verschieben" auswählen, wird das Datum der MFA-Durchsetzung in Zukunft ein Monat oder der 30. September 2025 sein, je nachdem, was früher ist. Nachdem Sie sich angemeldet haben, können Sie das Datum unter https://aka.ms/managemfaforazure ändern. Um zu bestätigen, dass Sie mit der Verschiebungsanforderung fortfahren möchten, klicken Sie auf "Verschieben bestätigen". Ein globaler Administrator muss den Zugriff erhöhen , um den Starttermin der MFA-Erzwingung zu verschieben.

Ein Screenshot, wie man die verpflichtende MFA verschieben kann.

Mehr Zeit für die Vorbereitung auf die MFA-Erzwingung der Phase 2 anfordern

Microsoft ermöglicht Es Kunden mit komplexen Umgebungen oder technischen Barrieren, die Durchsetzung von Phase 2 für ihre Mandanten bis zum 1. Juli 2026 zu verschieben. Sie können mehr Zeit anfordern, um sich auf die Durchsetzung der Phase 2 der MFA vorzubereiten, unter „https://aka.ms/postponePhase2MFA“. Wählen Sie ein anderes Startdatum und klicken Sie auf Übernehmen.

Hinweis

Wenn Sie den Beginn der Phase 1 verschieben, wird auch der Beginn der Phase 2 auf das gleiche Datum verschoben. Sie können einen späteren Anfangstermin für Phase 2 auswählen.

Screenshot, wie man die obligatorische MFA für Phase zwei verschiebt.

Häufig gestellte Fragen

Frage: Wenn der Mandant nur für Tests verwendet wird, ist MFA erforderlich?

Antwort: Ja, jeder Azure-Mandant erfordert MFA ohne Ausnahme für Testumgebungen.

Frage: Wie wirkt sich diese Anforderung auf das Microsoft 365 Admin Center aus?

Antwort: Die obligatorische MFA wird ab Februar 2025 im Microsoft 365 Admin Center eingeführt. Erfahren Sie mehr über die obligatorische MFA-Anforderung für das Microsoft 365 Admin Center im Blogbeitrag Ankündigung der obligatorischen mehrstufigen Authentifizierung für das Microsoft 365 Admin Center.

Frage: Ist MFA für alle Benutzer oder nur für Administratoren obligatorisch?

Antwort: Alle Benutzer, die sich bei einer der zuvor aufgeführten Anwendungen anmelden, müssen MFA abschließen, unabhängig von Administratorrollen, die für sie aktiviert oder berechtigt sind, oder alle Benutzerausschlüsse , die für sie aktiviert sind.

Frage: Muss ich MFA durchführen, wenn ich die Option Angemeldet bleiben wähle?

Antwort: Ja, selbst wenn Sie " Angemeldet bleiben" auswählen, müssen Sie MFA abschließen, bevor Sie sich bei diesen Anwendungen anmelden können.

Frage: Gilt die Durchsetzung für B2B-Gastkonten?

Antwort: Ja, MFA muss entweder vom Partnerressourcenmandanten oder dem Privaten Mandanten des Benutzers eingehalten werden, wenn er ordnungsgemäß eingerichtet ist, um MFA-Ansprüche mithilfe des mandantenübergreifenden Zugriffs an den Ressourcenmandanten zu senden.

Frage: Gilt die Durchsetzung auch für Azure für die US-Regierung oder Azure-Souverän-Clouds?

Antwort: Microsoft erzwingt obligatorische MFA nur in der öffentlichen Azure-Cloud. Microsoft erzwingt derzeit keine MFA in Azure für US Government oder andere souveräne Azure-Clouds.

Frage: Wie können wir einhalten, wenn wir MFA mithilfe eines anderen Identitätsanbieters oder einer anderen MFA-Lösung erzwingen, und wir nicht mit Microsoft Entra MFA erzwingen?

Antwort: MFA von Drittanbietern kann direkt in Microsoft Entra ID integriert werden. Weitere Informationen finden Sie in der Referenz zum Anbieter externer Methoden für die mehrstufige Authentifizierung von Microsoft Entra. Microsoft Entra-ID kann optional mit einem Verbundidentitätsanbieter konfiguriert werden. Wenn ja, muss die Identitätsanbieterlösung ordnungsgemäß konfiguriert werden, um den MultipleAuthn-Anspruch an die Microsoft Entra-ID zu senden. Weitere Informationen finden Sie unter Erfüllen der MFA-Kontrollen (Multi-Faktor-Authentifizierung) von Microsoft Entra ID mit MFA-Ansprüchen von einem Verbundidentitätsanbieter.

Frage: Wirkt sich die obligatorische MFA auf meine Synchronisierung mit Microsoft Entra Connect oder Microsoft Entra Cloud Sync aus?

Antwort: Nein. Das Synchronisierungsdienstkonto ist nicht von der obligatorischen MFA-Anforderung betroffen. Nur anwendungen, die zuvor aufgeführt wurden, erfordern MFA für die Anmeldung.

Frage: Kann ich mich abmelden?

Antwort: Es gibt keine Möglichkeit, sich abzumelden. Diese Sicherheitsbewegung ist für alle Sicherheit und Sicherheit der Azure-Plattform von entscheidender Bedeutung und wird in allen Cloudanbietern wiederholt. Beispiel: Siehe Secure by Design: AWS zur Verbesserung der MFA-Anforderungen im Jahr 2024.

Eine Option zum Verschieben des Startdatums der Durchsetzung ist für Kunden verfügbar. Globale Administratoren können zum Azure-Portal wechseln, um den Starttermin der Erzwingung für ihren Mandanten zu verschieben. Globale Administratoren müssen erhöhten Zugriff haben, bevor sie das Startdatum der MFA-Erzwingung auf dieser Seite verschieben. Sie müssen diese Aktion für jeden Mandanten ausführen, der verschoben werden muss.

Frage: Kann ich MFA testen, bevor Azure die Richtlinie erzwingt, um sicherzustellen, dass nichts unterbrochen wird?

Antwort: Ja, Sie können ihre MFA über den manuellen Einrichtungsprozess für MFA testen. Wir empfehlen Ihnen, dies einzurichten und zu testen. Wenn Sie den bedingten Zugriff verwenden, um MFA durchzusetzen, können Sie Vorlagen für bedingten Zugriff verwenden, um Ihre Richtlinie zu testen. Weitere Informationen finden Sie unter Erforderlicher mehrstufiger Authentifizierung für Administratoren, die auf Microsoft-Administratorportale zugreifen. Wenn Sie eine kostenlose Edition von Microsoft Entra ID ausführen, können Sie Sicherheitsstandardwerte aktivieren.

Frage: Was passiert, wenn ich MFA bereits aktiviert habe?

Antwort: Kunden, die bereits MFA für ihre Benutzer benötigen, die auf die zuvor aufgeführten Anwendungen zugreifen, sehen keine Änderung. Wenn Sie nur MFA für eine Teilmenge von Benutzern benötigen, müssen alle Benutzer, die MFA noch nicht verwenden, jetzt MFA verwenden, wenn sie sich bei den Anwendungen anmelden.

Frage: Wie kann ich die MFA-Aktivität in microsoft Entra ID überprüfen?

Antwort: Um Details zu überprüfen, wann ein Benutzer aufgefordert wird, sich mit MFA anzumelden, verwenden Sie die Microsoft Entra-Anmeldeprotokolle. Weitere Informationen finden Sie unter Anmeldeereignisdetails für die mehrstufige Microsoft Entra-Authentifizierung.

Frage: Was geschieht, wenn ich ein "Bruchglas"-Szenario habe?

Antwort: Wir empfehlen, diese Konten für die Verwendung von Passkey (FIDO2) zu aktualisieren oder die zertifikatbasierte Authentifizierung für MFA zu konfigurieren. Beide Methoden erfüllen die MFA-Anforderung.

Frage: Was geschieht, wenn ich keine E-Mail zur Aktivierung von MFA erhalte, bevor sie durchgesetzt wurde, und dann werde ich gesperrt. Wie sollte ich das Problem lösen?

Antwort: Benutzer sollten nicht gesperrt werden, aber sie erhalten möglicherweise eine Meldung, die sie auffordert, MFA zu aktivieren, sobald die Erzwingung für ihren Mandanten gestartet wurde. Wenn der Benutzer gesperrt ist, gibt es möglicherweise andere Probleme. Weitere Informationen finden Sie unter "Konto wurde gesperrt".

Zugehöriger Inhalt

Lesen Sie die folgenden Themen, um mehr über die Konfiguration und Bereitstellung von MFA zu erfahren: