Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die vom System bevorzugte Authentifizierung fordert Benutzer auf, sich mit der sichersten Methode anzumelden, die sie registriert haben. Es ist eine wichtige Sicherheitsverbesserung für Benutzer, die sich mithilfe von telefonbasierten Methoden authentifizieren. Administratoren können die vom System bevorzugte Authentifizierung aktivieren, um die Anmeldesicherheit zu verbessern und weniger sichere Anmeldemethoden wie Short Message Service (SMS) zu verhindern.
Wenn ein Benutzer sowohl SMS- als auch Microsoft Authenticator-Pushbenachrichtigungen als Methoden für die MFA registriert hat, wird der Benutzer vom System aufgefordert, sich mithilfe der sichereren Pushbenachrichtigungsmethode anzumelden. Der Benutzer kann sich weiterhin mit einer anderen Methode anmelden, aber er wird zuerst aufgefordert, die sicherste Methode zu verwenden, die er registriert hat.
Die vom System bevorzugte Authentifizierung ist eine von Microsoft verwaltete Einstellung, bei der es sich um eine Tristate-Richtlinie handelt:
- Aktiviert – Wendet die vom System bevorzugte Authentifizierung nur auf den zweiten Faktor (MFA) an.
- Von Microsoft verwaltet – Während der Vorschau steuert ein Umschalter für "Sowohl auf die primäre als auch die multifaktorielle Authentifizierung anwenden (Vorschau)", ob die Funktion auch für die primäre Authentifizierung gilt. Wenn der Umschalter deaktiviert ist (Standard), gilt die vom System bevorzugte Authentifizierung nur für den zweiten Faktor. Wenn die Umschaltfläche aktiviert ist, gilt sie sowohl für den ersten als auch für den zweiten Faktor.
- Deaktiviert – Deaktiviert die vom System bevorzugte Authentifizierung.
Wenn Sie die vom System bevorzugte Authentifizierung nicht aktivieren möchten, ändern Sie den Status in "Deaktiviert", oder schließen Sie Benutzer und Gruppen aus der Richtlinie aus.
Nachdem die vom System bevorzugte Authentifizierung aktiviert wurde, erledigt das Authentifizierungssystem alle Aufgaben. Benutzer müssen keine Authentifizierungsmethode als ihren Standard festlegen, da das System immer die sicherste von ihnen registrierte Methode ermittelt und bereitstellt.
Bekannte Einschränkungen
- Wenn Sie die Richtlinie für eine Zielgruppe ändern, wirkt sich die Änderung möglicherweise nicht auf die nächste Anmeldung des Benutzers aus. Sie gilt für alle nachfolgenden Anmeldungen danach.
- Die Richtlinie für bedingten Zugriff wird nur für MFA überprüft und gilt nicht für die erststufige Authentifizierung.
Aktivieren der vom System bevorzugten Authentifizierung im Microsoft Entra Admin Center
Führen Sie die folgenden Schritte aus, um die vom System bevorzugte Authentifizierung zu aktivieren:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu>ID-Authentifizierungsmethoden>.
Wählen Sie für die vom System bevorzugte Authentifizierung einen Zustand (von Microsoft verwaltet oder aktiviert) basierend darauf aus, ob Sie die vom System bevorzugte Authentifizierung auf beide Faktoren oder nur auf den zweiten Faktor anwenden möchten. Sie können auch Benutzer oder Gruppen einschließen oder ausschließen. Ausgeschlossene Gruppen haben Vorrang vor eingeschlossenen Gruppen.
Wenn Sie den Status auf "Von Microsoft verwaltet" festlegen, wird ein Umschalter für "Anwenden" sowohl für die primäre als auch für die mehrstufige Authentifizierung (Vorschau) angezeigt. Aktivieren Sie die Umschaltfläche, um die vom System bevorzugte Authentifizierung sowohl auf die primäre als auch die sekundäre Authentifizierung anzuwenden. Wenn der Umschalter deaktiviert ist (Standard), gilt die vom System bevorzugte Authentifizierung nur für den zweiten Faktor.
Der folgende Screenshot zeigt beispielsweise, wie die vom System bevorzugte Authentifizierung nur für die Engineering-Gruppe aktiviert wird.
Nachdem Sie alle Änderungen vorgenommen haben, wählen Sie "Speichern" aus.
Aktivieren der vom System bevorzugten Authentifizierung mithilfe von Graph-APIs
Um die vom System bevorzugte Authentifizierung im Voraus zu aktivieren, müssen Sie eine einzelne Zielgruppe für die Schemakonfiguration auswählen, wie im Anforderungsbeispiel gezeigt.
Konfigurationseigenschaften der Authentifizierungsmethode
Standardmäßig wird die vom System bevorzugte Authentifizierung von Microsoft verwaltet.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| excludeTarget | featureTarget | Eine einzelne Entität, die aus diesem Feature ausgeschlossen ist. Sie können nur eine Gruppe von der vom System bevorzugten Authentifizierung ausschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
| includeTarget | featureTarget | Eine einzelne Entität, die in diesem Feature enthalten ist. Sie können nur eine Gruppe für die vom System bevorzugte Authentifizierung einschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
| Staat | advancedConfigState | Mögliche Werte: enabled explicitly enables die feature für die selected group. Gilt nur für den zweiten Faktor (MFA). Deaktiviert explicitly disables die feature für die selected group. Standard ermöglicht Microsoft Entra ID die Verwaltung, ob die Funktion für die ausgewählte Gruppe aktiviert ist oder nicht. |
FeatureTarget-Eigenschaften
Die vom System bevorzugte Authentifizierung kann nur für eine einzelne Gruppe aktiviert werden, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| ID | Schnur | Die ID der Zielentität. |
| Zieltyp | featureTargetType | Die Art der Zielentität, wie z. B. eine Gruppe, eine Rolle oder eine administrative Einheit. Die möglichen Werte sind „group“, „administrativeUnit', „role“, „unknownFutureValue“. |
Verwenden Sie den folgenden API-Endpunkt, um systemCredentialPreferences zu aktivieren und Gruppen einzuschließen oder auszuschließen:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Hinweis
Im Graph-Tester müssen Sie der Berechtigungen Policy.ReadWrite.AuthenticationMethod zustimmen.
Anforderung
Das folgende Beispiel schließt eine Beispielzielgruppe aus und schließt alle Benutzer ein. Weitere Informationen finden Sie unter authenticationMethodsPolicy aktualisieren.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Häufig gestellte Fragen
Wie bestimmt die vom System bevorzugte Authentifizierung die sicherste Methode?
Wenn sich ein Benutzer anmeldet, überprüft der Authentifizierungsprozess, welche Authentifizierungsmethoden für den Benutzer registriert sind. Der Benutzer wird aufgefordert, sich mit der sichersten Methode gemäß der folgenden Reihenfolge anzumelden. Die Reihenfolge der Authentifizierungsmethoden ist dynamisch und wird aktualisiert, wenn sich die Sicherheitslandschaft ändert und bessere Authentifizierungsmethoden entstehen. Benutzer können jederzeit abbrechen und eine andere verfügbare Anmeldemethode auswählen. Wenn Ihre Organisation Über Richtlinien für bedingten Zugriff verfügt, die bestimmte Authentifizierungsmethoden erfordern, haben diese Richtlinien weiterhin Vorrang vor der vom System bevorzugten Authentifizierungsreihenfolge.
| Rang | Credential | Kategorie | Erfüllt die Anforderung für |
|---|---|---|---|
| 1 | Temporärer Zugriffspass (TAP) | Wiederherstellung | Ein-Faktor-Authentifizierung (1FA) + Mehrfaktor-Authentifizierung (MFA) |
| 2 | Passkey1 | Phishing-widerstandsfähig | Ein-Faktor-Authentifizierung (1FA) + Mehrfaktor-Authentifizierung (MFA) |
| 3 | Zertifikatbasierte Authentifizierung (CBA) | Phishing-widerstandsfähig | 1FA oder 1FA + MFA |
| 4 | Microsoft Authenticator-Benachrichtigungen | Kennwortlos | Ein-Faktor-Authentifizierung (1FA) + Mehrfaktor-Authentifizierung (MFA) |
| 5 | Externe mehrstufige Authentifizierung (MFA) | — | Mehrfaktor-Authentifizierung (MFA) |
| 6 | Zeitbasiertes einmaliges Kennwort (TOTP)2 | — | Mehrfaktor-Authentifizierung (MFA) |
| 7 | Telefonie3 | — | Mehrfaktor-Authentifizierung (MFA) |
| 8 | QR-Code | Mitarbeiter an vorderster Front | 1FA |
| 9 | Passwort | — | 1FA |
1Umfasst Sicherheitsschlüssel, Passkeys in der Authenticator-App, synchronisierte Kennungen, Windows Hello for Business und macOS Platform SSO.
2Umfasst Hardware- oder Software-TOTP von Microsoft Authenticator, Authenticator Lite oder Anwendungen von Drittanbietern.
3Umfasst SMS und Sprachanrufe.
Von Bedeutung
Die zertifikatbasierte Authentifizierung (Certificate Based Authentication, CBA) wurde zuvor aufgrund bekannter Probleme mit der CBA und der vom System bevorzugten Authentifizierung zuletzt in der vom System bevorzugten Authentifizierungsreihenfolge platziert. Nachdem diese Probleme behoben wurden, wurde die zertifikatbasierte Authentifizierung ab dem 18. März 2026 an die dritte Position in der Authentifizierungsreihenfolge verschoben.
Wie wirkt sich die vom System bevorzugte Authentifizierung auf die NPS-Erweiterung aus?
Die vom System bevorzugte Authentifizierung wirkt sich nicht auf Benutzer aus, die sich mit der Netzwerkrichtlinienservererweiterung (Network Policy Server, NPS) anmelden. Diese Benutzer sehen keine Änderungen an ihrer Anmeldeerfahrung.
Was geschieht bei Benutzern, die nicht in der Authentifizierungsmethodenrichtlinie angegeben sind, aber in der mandantenweiten Legacy-MFA-Richtlinie aktiviert sind?
Die vom System bevorzugte Authentifizierung gilt auch für Benutzer, die für die Legacy-MFA-Richtlinie aktiviert sind.
Können Benutzer weiterhin eine andere Anmeldemethode auswählen?
Ja. Die vom System bevorzugte Authentifizierung fordert Benutzer mit den sichersten registrierten Anmeldeinformationen auf, aber Benutzer können während der Anmeldung weiterhin andere zulässige Methoden auswählen.