Share via

Vom System bevorzugte Multi-Faktor-Authentifizierung – Richtlinie für Authentifizierungsmethoden

  • Artikel

Die vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) fordert Benutzer auf, sich mit der sichersten Methode anzumelden, die sie registriert haben. Administratoren können die vom System bevorzugte MFA aktivieren, um die Anmeldesicherheit zu verbessern und weniger sichere Anmeldemethoden wie SMS zu verhindern.

Wenn ein Benutzer beispielsweise sowohl SMS als auch Microsoft Authenticator-Pushbenachrichtigungen als Methoden für MFA registriert hat, fordert die vom System bevorzugte MFA den Benutzer auf, sich mit der sichereren Methode der Pushbenachrichtigungen anzumelden. Der Benutzer kann sich weiterhin mit einer anderen Methode anmelden, aber er wird zuerst aufgefordert, die sicherste Methode zu verwenden, die er registriert hat.

Die vom System bevorzugte MFA ist eine von Microsoft verwaltete Einstellung, bei der es sich um eine Richtlinie mit drei Zuständen handelt. Für die Vorschau ist der Zustand Standard deaktiviert. Wenn Sie die Funktion für alle Benutzer oder eine Gruppe von Benutzern während der Vorschau aktivieren möchten, müssen Sie den von Microsoft verwalteten Status explizit in Aktiviert ändern. Irgendwann nach dem Beginn der allgemeinen Verfügbarkeit wird der von Microsoft verwaltete Status für die systembevorzugte MFA auf Aktiviert geändert.

Nachdem die vom System bevorzugte MFA aktiviert wurde, übernimmt das Authentifizierungssystem die gesamte Arbeit. Benutzer müssen keine Authentifizierungsmethode als ihren Standard festlegen, da das System immer die sicherste von ihnen registrierte Methode ermittelt und bereitstellt.

Hinweis

Die systemseitig voreingestellte MFA ist eine wichtige Sicherheitsverbesserung für Benutzer, die sich über Telekommunikationstransporte authentifizieren. Am 7. Juli 2023 wird der von Microsoft verwaltete Wert für die systemseitig voreingestellte MFA von Deaktiviert in Aktiviert geändert. Wenn Sie die systemseitig voreingestellte MFA nicht aktivieren möchten, ändern Sie den Zustand von Standard in Deaktiviert, oder schließen Sie Benutzer und Gruppen aus der Richtlinie aus.

Aktivieren der vom System bevorzugten MFA im Microsoft Entra Admin Center

Standardmäßig wird die vom System bevorzugte MFA von Microsoft verwaltet und ist für alle Benutzer deaktiviert.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Wechseln Sie zu Schutz>Authentifizierungsmethoden>Einstellungen.

  3. Wählen Sie für die vom System bevorzugte Multi-Faktor-Authentifizierung aus, ob Sie die Funktion explizit aktivieren oder deaktivieren und Benutzer ein- oder ausschließen möchten. Ausgeschlossene Gruppen haben Vorrang vor eingeschlossenen Gruppen.

    Der folgende Screenshot zeigt beispielsweise, wie Sie die vom System bevorzugte MFA explizit nur für die Engineering-Gruppe aktivieren.

    Screenshot zum Aktivieren der Microsoft Authenticator-Einstellungen für jeden Authentifizierungsmodus.

  4. Nachdem Sie die Änderungen abgeschlossen haben, klicken Sie auf Speichern.

Aktivieren der vom System bevorzugten MFA mithilfe von Graph-APIs

Um die vom System bevorzugte MFA im Voraus zu aktivieren, müssen Sie eine einzelne Zielgruppe für die Schemakonfiguration auswählen, wie im Beispiel für die Anforderung gezeigt.

Konfigurationseigenschaften der Authentifizierungsmethode

Standardmäßig wird die vom System bevorzugte MFA von Microsoft verwaltet und während der Vorschau deaktiviert. Nach der allgemeinen Verfügbarkeit ändert sich der Standardwert für den von Microsoft verwalteten Status, um die vom System bevorzugte MFA zu aktivieren.

Eigenschaft Typ BESCHREIBUNG
excludeTarget featureTarget Eine einzelne Entität, die aus diesem Feature ausgeschlossen ist.
Sie können nur eine Gruppe von der vom System bevorzugten MFA ausschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann.
includeTarget featureTarget Eine einzelne Entität, die in diesem Feature enthalten ist.
Sie können nur eine Gruppe für die vom System bevorzugte MFA einschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann.
State advancedConfigState Mögliche Werte:
Enabled aktiviert explizit das Feature für die ausgewählte Gruppe.
disabled deaktiviert explizit das Feature für die ausgewählte Gruppe.
Mit default kann die Microsoft Entra ID verwalten, ob die Funktion für die ausgewählte Gruppe aktiviert ist oder nicht.

FeatureTarget-Eigenschaften

Die vom System bevorzugte MFA kann nur für eine einzelne Gruppe aktiviert werden, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann.

Eigenschaft Typ Beschreibung
id String Die ID der Zielentität.
targetType featureTargetType Die Art der Zielentität, wie z. B. eine Gruppe, eine Rolle oder eine administrative Einheit. Die möglichen Werte sind „group“, „administrativeUnit', „role“, „unknownFutureValue“.

Verwenden Sie den folgenden API-Endpunkt, um systemCredentialPreferences zu aktivieren und Gruppen einzuschließen oder auszuschließen:

https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy

Hinweis

Im Graph-Tester müssen Sie der Berechtigungen Policy.ReadWrite.AuthenticationMethod zustimmen.

Anforderung

Das folgende Beispiel schließt eine Beispielzielgruppe aus und schließt alle Benutzer ein. Weitere Informationen finden Sie unter authenticationMethodsPolicy aktualisieren.

PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

Häufig gestellte Fragen

Wie bestimmt die vom System bevorzugte MFA die sicherste Methode?

Wenn sich ein Benutzer anmeldet, überprüft der Authentifizierungsprozess, welche Authentifizierungsmethoden für den Benutzer registriert sind. Der Benutzer wird aufgefordert, sich mit der sichersten Methode gemäß der folgenden Reihenfolge anzumelden. Die Reihenfolge der Authentifizierungsmethoden ist dynamisch. Sie wird aktualisiert, wenn sich die Sicherheitslandschaft ändert, und wenn bessere Authentifizierungsmethoden auftauchen. Aufgrund bekannter Probleme mit der zertifikatbasierten Authentifizierung und der vom System bevorzugten MFA haben wir die CBA an das Ende der Liste verschoben. Klicken Sie auf den Link, um Informationen zu den einzelnen Methoden anzuzeigen.

  1. Befristeter Zugriffspass
  2. FIDO2-Sicherheitsschlüssel
  3. Microsoft Authenticator-Benachrichtigungen
  4. Zeitbasiertes Einmalkennwort (Time-based One-time Password, TOTP)1
  5. Telefonie2
  6. Zertifikatbasierte Authentifizierung

1 Umfasst Hardware- oder Software-TOTP von Microsoft Authenticator, Authenticator Lite oder Anwendungen von Drittanbietern.

2 Umfasst SMS und Sprachanrufe.

Wie wirkt sich die systemseitig voreingestellte MFA auf die NPS-Erweiterung aus?

Die vom systemseitig voreingestellte MFA wirkt sich nicht auf Benutzer aus, die sich mit der NPS-Erweiterung (Network Policy Server) anmelden. Diese Benutzer sehen keine Änderungen an ihrer Anmeldeerfahrung.

Was geschieht bei Benutzern, die nicht in der Authentifizierungsmethodenrichtlinie angegeben sind, aber in der mandantenweiten Legacy-MFA-Richtlinie aktiviert sind?

Die vom System bevorzugte MFA gilt auch für Benutzer, die für MFA in der Legacy-MFA-Richtlinie aktiviert sind.

Screenshot der Legacy-MFA-Einstellungen.

Nächste Schritte