Konfigurieren und Aktivieren von Benutzern für die SMS-basierte Authentifizierung mit Microsoft Entra ID

Entra SMS-basierte Authentifizierung ermöglicht es Benutzern, sich nur mit einer registrierten Telefonnummer und einer einmaligen Kennung (OTP) anzumelden, die per SMS gesendet wurde, kein Benutzername oder Kennwort erforderlich. Dies unterscheidet sich von der mehrstufigen Authentifizierung von Entra SMS, die in der Regel einen Benutzernamen, ein Kennwort und eine SMS als MFA-Methode erfordert. Diese Authentifizierungsmethode ist in erster Linie darauf ausgelegt, die Anmeldeerfahrung von Fronline-Mitarbeitern zu vereinfachen und für Information Worker (IW) nicht zu empfehlen.

Entra verfügt außerdem über eine öffentliche Vorschau alternativer Ansätze für Mitarbeiter an vorderster Front als QR-Code-Authentifizierung, die Organisationen für Szenarien mit gemeinsam genutzten Geräten in Betracht ziehen könnten.

Im restlichen Artikel erfahren Sie, wie Sie die SMS-basierte Authentifizierung als ersten Faktor für die Auswahl von Benutzern oder Gruppen in microsoft Entra ID aktivieren. Eine Liste der Apps, die die Sms-basierte Anmeldung unterstützen, finden Sie unter App-Unterstützung für die SMS-basierte Authentifizierung.

Voraussetzungen

Hier sind einige wichtige Punkte, bevor Sie beginnen:

• Sie sollten die SMS-Authentifizierung nur für Mitarbeiter in Service und Produktion aktivieren.
• Wenn Sie die SMS-Authentifizierung aktivieren, stellen Sie sicher, dass Sie bewährte Methoden für die Verwendung von Sicherheitskontrollen für Mitarbeiter im Büro oder zu Hause befolgen. Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Mitarbeitern in Service und Produktion.
• Wir empfehlen Ihnen, bei Aktivierung der SMS-Authentifizierung für Mitarbeiter an vorderster Front zur Verwendung der QR-Code-Authentifizierung (Vorschau) zu wechseln, die nicht anfällig für Phishing ist. Weitere Informationen finden Sie unter Authentifizierungsmethoden in Microsoft Entra ID – QR-Code-Authentifizierungsmethode (Vorschau).

Um die Anmeldung bei Anwendungen und Diensten zu vereinfachen und zu sichern, bietet Microsoft Entra ID mehrere Authentifizierungsoptionen. Die SMS-basierte Authentifizierung ermöglicht Es Benutzern wie Frontlone Workern, einen SMS-Code als ersten Faktor für die Anmeldung einzugeben. Benutzer müssen ihren Benutzernamen und ihr Kennwort nicht angeben oder sogar wissen.

Nachdem das Konto von einem Identitätsadministrator erstellt wurde, können sie bei der Anmeldeaufforderung ihre Telefonnummer eingeben. Sie erhalten einen Authentifizierungscode per SMS, den sie angeben können, um die Anmeldung abzuschließen. Diese Authentifizierungsmethode vereinfacht den Zugriff auf Anwendungen und Dienste, insbesondere für Außendienstmitarbeiter.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
• Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist.
  • Erstellen Sie bei Bedarf einen Microsoft Entra-Mandanten, oder ordnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Sie benötigen mindestens die Rolle des Authentifizierungsrichtlinienadministrators in Ihrem Microsoft Entra-Mandanten, um die SMS-basierte Authentifizierung zu aktivieren.
• Jeder Benutzer, der in der Richtlinie für die Authentifizierung per SMS aktiviert wird, muss lizenziert werden, auch wenn er diese Authentifizierungsmethode nicht nutzt. Alle aktivierten Benutzer müssen über eine der folgenden Microsoft Entra ID, EMS oder Microsoft 365-Lizenzen verfügen:
  • Microsoft 365 F1 oder F3
  • Microsoft Entra ID P1 oder P2
  • Enterprise Mobility + Security (EMS) E3 oder E5 oderMicrosoft 365 E3 oder E5
  • Office 365 F3

Bekannte Probleme

Hier sind einige bekannte Probleme aufgeführt:

• Die SMS-basierte Authentifizierung ist zurzeit nicht mit Microsoft Entra Multi-Faktor-Authentifizierung kompatibel.
• Mit Ausnahme von Teams ist die SMS-basierte Authentifizierung nicht mit nativen Office-Anwendungen kompatibel.
• Die SMS-basierte Authentifizierung von B2B-Konten wird nicht unterstützt.
• Verbundbenutzer werden nicht im Basismandanten authentifiziert. Sie werden nur in der Cloud authentifiziert.
• Wenn die Standardanmeldemethode eines Benutzers eine SMS oder ein Anruf an seine Telefonnummer ist, wird der SMS-Code oder Sprachanruf während der mehrstufigen Authentifizierung automatisch gesendet. Ab Juni 2021 werden einige Apps Benutzer auffordern, zuerst "Text " oder " Anruf " auszuwählen. Diese Option verhindert, dass zu viele Sicherheitscodes für verschiedene Apps gesendet werden. Wenn es sich bei der Standardanmeldungsmethode um die Microsoft Authenticator-App handelt (die dringend empfohlen wird), wird die App-Benachrichtigung automatisch gesendet.
• Die mandantenübergreifende Synchronisierung unterstützt keine Benutzer mit aktivierter SMS-Anmeldung.

Aktivieren der SMS-basierten Authentifizierungsmethode

Das Aktivieren und Verwenden der SMS-basierten Authentifizierung in Ihrer Organisation umfasst drei Hauptschritte:

• Aktivieren der Authentifizierungsmethodenrichtlinie
• Auswählen der Benutzer oder Gruppen, die die SMS-basierte Authentifizierungsmethode verwenden können
• Zuweisen einer Telefonnummer zu jedem Benutzerkonto
  • Diese Telefonnummer kann im Microsoft Entra Admin Center (siehe diesen Artikel) und in "Meine Mitarbeiter" oder "Mein Konto" zugewiesen werden.

Zunächst aktivieren Sie die SMS-basierte Authentifizierung für Ihren Microsoft Entra-Mandanten.

1. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Authentifizierungsmethoden>Richtlinien.

3. Wählen Sie in der Liste der verfügbaren Authentifizierungsmethoden SMS aus.

   

4. Wählen Sie "Aktivieren" und dann "Zielbenutzer" aus. Sie können die SMS-basierte Authentifizierung für alle Benutzer aktivieren oder Benutzer und Gruppen auswählen.

   Hinweis

   Zum Konfigurieren der SMS-basierten Authentifizierung für den ersten Faktor (d. h. um Benutzern die Anmeldung mit dieser Methode zu ermöglichen), aktivieren Sie das Kontrollkästchen "Für Anmeldung verwenden ". Wenn Sie diese Option nicht aktivieren, steht die SMS-basierte Authentifizierung nur für die Multi-Faktor-Authentifizierung und die Self-Service-Kennwortzurücksetzung zur Verfügung.

   

Zuweisen der Authentifizierungsmethode zu Benutzern und Gruppen

Nachdem die SMS-basierte Authentifizierung in Ihrem Microsoft Entra-Mandanten nun aktiviert ist, wählen Sie einige Benutzer oder Gruppen aus, die diese Authentifizierungsmethode verwenden dürfen.

1. Legen Sie im Fenster "SMS-Authentifizierungsrichtlinie " "Ziel " auf "Benutzer auswählen" fest.
2. Wählen Sie zum Hinzufügen von Benutzern oder Gruppen einen Testbenutzer oder eine Gruppe aus, z. B. Contoso-Benutzer oder Contoso-SMS-Benutzer.
3. Wenn Sie Ihre Benutzer oder Gruppen ausgewählt haben, wählen Sie „Auswählen“ und dann „Speichern“, um die aktualisierte Richtlinie für die Authentifizierungsmethode zu speichern.

Jeder Benutzer, der in der Richtlinie für die Authentifizierung per SMS aktiviert wird, muss lizenziert werden, auch wenn er diese Authentifizierungsmethode nicht nutzt. Stellen Sie sicher, dass Sie über die entsprechenden Lizenzen für die Benutzer verfügen, die Sie in der Authentifizierungsmethodenrichtlinie aktivieren, insbesondere wenn Sie das Feature für umfangreiche Benutzergruppen aktivieren.

Festlegen einer Telefonnummer für Benutzerkonten

Die Benutzer sind jetzt für die SMS-basierte Authentifizierung aktiviert, aber Ihre Telefonnummer muss noch dem Benutzerprofil in Microsoft Entra zugeordnet werden, bevor sie sich anmelden können. Der Benutzer kann diese Telefonnummer selbst in "Mein Konto" festlegen, oder Sie können die Telefonnummer über das Microsoft Entra Admin Center zuweisen. Telefonnummern können von denen festgelegt werden, die mindestens die Rolle des Authentifizierungsadministrators haben.

Wenn eine Telefonnummer für die SMS-basierte Anmeldung festgelegt ist, steht sie auch zur Verwendung mit microsoft Entra mehrstufiger Authentifizierung und Self-Service-Kennwortzurücksetzung zur Verfügung.

1. Suchen Sie nach microsoft Entra-ID, und wählen Sie sie aus.

2. Wählen Sie im Navigationsmenü auf der linken Seite des Microsoft Entra-Fensters "Benutzer" aus.

3. Wählen Sie den Benutzer aus, den Sie für die SMS-basierte Authentifizierung im vorherigen Abschnitt aktiviert haben, z. B. Contoso-Benutzer, und wählen Sie dann Authentifizierungsmethoden aus.

4. Wählen Sie +Authentifizierungsmethode hinzufügen, und wählen Sie dann im Dropdownmenü "Methode auswählen" die Option "Telefonnummer" aus.

   Geben Sie die Telefonnummer des Benutzers ein, einschließlich der Ländervorwahl, z. B. +1 xxxxxxxxx. Das Microsoft Entra Admin Center überprüft das korrekte Format der Telefonnummer.

   Wählen Sie dann im Dropdownmenü "Telefontyp"Mobil, Alternativ Mobil oder Sonstige nach Bedarf aus.

   

   Die Telefonnummer muss in Ihrem Mandanten eindeutig sein. Wenn Sie versuchen, dieselbe Telefonnummer für mehrere Benutzer zu verwenden, wird eine Fehlermeldung angezeigt.

5. Um die Telefonnummer auf das Konto eines Benutzers anzuwenden, wählen Sie "Hinzufügen" aus.

Nach der erfolgreichen Bereitstellung wird ein Häkchen für SMS-Anmeldung aktiviert angezeigt.

Testen der SMS-basierten Anmeldung

Führen Sie die folgenden Schritte aus, um zu testen, ob das Benutzerkonto jetzt für die SMS-basierte Anmeldung aktiviert ist:

1. Öffnen Sie ein neues Webbrowserfenster im InPrivate- oder Inkognitomodus, und browsen Sie zu https://www.office.com.

2. Wählen Sie in der oberen rechten Ecke die Option "Anmelden" aus.

3. Geben Sie an der Anmeldeaufforderung die Telefonnummer ein, die dem Benutzer im vorherigen Abschnitt zugeordnet ist, und wählen Sie dann "Weiter" aus.

   

4. Eine SMS wird an die angegebene Telefonnummer gesendet. Um den Anmeldevorgang abzuschließen, geben Sie den sechsstelligen Code aus der SMS an der Anmeldeaufforderung ein.

   

5. Der Benutzer ist jetzt angemeldet, ohne dass er einen Benutzernamen oder ein Kennwort angeben musste.

Behandeln von Problemen mit der SMS-basierten Anmeldung

Sie können die folgenden Szenarien und Schritte zur Problembehandlung verwenden, wenn Sie Probleme beim Aktivieren und Verwenden der SMS-basierten Anmeldung haben. Eine Liste der Apps, die die Sms-basierte Anmeldung unterstützen, finden Sie unter App-Unterstützung für die SMS-basierte Authentifizierung.

Telefonnummer bereits für ein Benutzerkonto festgelegt

Wenn ein Benutzer bereits für Microsoft Entra-Multi-Faktor-Authentifizierung oder die Self-Service-Kennwortzurücksetzung (SSPR) registriert ist, wurde seinem Konto bereits eine Telefonnummer zugeordnet. Diese Telefonnummer steht nicht automatisch für die Verwendung bei der SMS-basierten Anmeldung zur Verfügung.

Ein Benutzer, für den bereits eine Telefonnummer für sein Konto festgelegt ist, wird eine Schaltfläche zum Aktivieren der SMS-Anmeldung auf der Seite "Mein Profil " angezeigt. Durch Auswählen dieser Schaltfläche wird das Konto für die Verwendung der SMS-basierten Anmeldung und der zuvor bereits erfolgten Registrierung für Microsoft Entra-Multi-Faktor-Authentifizierung oder SSPR aktiviert.

Weitere Informationen zur Endbenutzererfahrung finden Sie unter Benutzererfahrung bei der SMS-Anmeldung für Telefonnummern.

Fehler beim Festlegen einer Telefonnummer für ein Benutzerkonto

Wenn Sie beim Versuch, im Microsoft Entra Admin Center eine Telefonnummer für ein Benutzerkonto festzulegen, eine Fehlermeldung erhalten, versuchen Sie die folgenden Schritte zum Troubleshooting:

1. Stellen Sie sicher, dass Sie für die SMS-basierte Anmeldung aktiviert wurden.
2. Vergewissern Sie sich, dass das Benutzerkonto in der Richtlinie für die SMS-Authentifizierungsmethode aktiviert ist.
3. Stellen Sie sicher, dass Sie die Telefonnummer mit der richtigen Formatierung festlegen, wie im Microsoft Entra Admin Center überprüft (z. B. +1 4251234567).
4. Stellen Sie sicher, dass die Telefonnummer nicht an anderer Stelle in Ihrem Mandanten verwendet wird.
5. Vergewissern Sie sich, dass für das Konto keine Voicemailnummer festgelegt wurde. Wenn eine Voicemailnummer festgelegt wurde, löschen Sie die Telefonnummer, und versuchen Sie es erneut.

Nächste Schritte

• Eine Liste der Apps, die die Sms-basierte Anmeldung unterstützen, finden Sie unter App-Unterstützung für die SMS-basierte Authentifizierung.
• Weitere Möglichkeiten, sich ohne Kennwort bei Microsoft Entra-ID anzumelden, z. B. die Microsoft Authenticator-App oder FIDO2-Sicherheitsschlüssel, finden Sie unter Kennwortlose Authentifizierungsoptionen für Microsoft Entra ID.
• Sie können auch die REST-API von Microsoft Graph verwenden, um die SMS-basierte Anmeldung zu aktivieren oder zu deaktivieren.