Verwalten von Benutzerauthentifizierungsmethoden für Microsoft Entra-Multi-Faktor-Authentifizierung

Kontaktinformationen der Benutzer*innen in Microsoft Entra fallen in zwei unterschiedliche Kategorien:

• Kontaktinformationen für öffentliche Profile, die im Benutzerprofil verwaltet werden und für Mitglieder Ihrer Organisation sichtbar sind. Bei Benutzern, die aus dem lokalen Active Directory synchronisiert werden, werden diese Informationen in den lokalen Windows Server Active Directory-Domänendiensten verwaltet.
• Authentifizierungsmethoden, die immer privat sind und nur für die Authentifizierung verwendet werden, einschließlich Multi-Faktor-Authentifizierung. Administratoren können diese Methoden auf dem Blatt zur Authentifizierungsmethode eines Benutzers verwalten, und Benutzer können Ihre Methoden auf der Seite „Sicherheitsinformationen“ von MyAccount verwalten.

Bei der Verwaltung der Methoden der Microsoft Entra-Multi-Faktor-Authentifizierung für Ihre Benutzer*innen können Authentifizierungsadministrator*innen folgende Aktionen ausführen:

• Hinzufügen von Authentifizierungsmethoden für einen bestimmten Benutzer, einschließlich der für MFA verwendeten Telefonnummern.
• Setzt das Kennwort eines Benutzers zurück.
• Anfordern einer erneuten Registrierung des Benutzers für MFA.
• Widerrufen vorhandener MFA-Sitzungen.
• Löschen der vorhandenen App-Kennwörter eines Benutzers

Hinweis

Die Screenshots in diesem Thema zeigen, wie Sie Benutzerauthentifizierungsmethoden mithilfe einer aktualisierten Oberfläche im Microsoft Entra Admin Center verwalten. Es gibt auch eine Vorversions-Erfahrung und Administratoren können über ein Banner im Admin Center zwischen den beiden Versionen umschalten. Die moderne Benutzeroberfläche verfügt über eine vollständige Parity mit der Vorversions-Erfahrung und verwaltet moderne Methoden wie befristeter Zugriffspass, Passkeys und andere Einstellungen. Die Ältere Erfahrung im Microsoft Entra Admin Center wurde am 30. September 2025 eingestellt. Es gibt keine Aktion, die von Organisationen vor der Ausmusterung benötigt wird.

Voraussetzungen

Multi-Faktor-Authentifizierung von Microsoft Entra (standardmäßig aktiviert).

Hinzufügen oder Ändern von Authentifizierungsmethoden für einen Benutzer

Sie können Authentifizierungsmethoden für einen Benutzer mithilfe des Microsoft Entra Admin Centers oder von Microsoft Graph PowerShell hinzufügen oder ändern. Im Microsoft Entra Admin Center wird die Legacymethode für die Verwaltung von Benutzerauthentifizierungsmethoden nach dem 30. September 2025 eingestellt.

Hinweis

Aus Sicherheitsgründen sollten die Felder für die öffentlichen Kontaktinformationen eines Benutzers nicht zum Ausführen von MFA verwendet werden. Stattdessen sollten die Benutzer die Nummern für ihre Authentifizierungsmethoden eintragen, die für die MFA verwendet werden sollen.

So fügen Sie Authentifizierungsmethoden für einen Benutzer im Microsoft Entra Admin Center hinzu oder ändern sie:

1. Melden Sie sich mindestens als Authentifizierungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra-ID-Benutzern>.
3. Wählen Sie den Benutzer aus, für den Sie eine Authentifizierungsmethode hinzufügen oder ändern möchten, und wählen Sie Authentifizierungsmethoden aus.
4. Wählen Sie oben im Fenster die Authentifizierungsmethode +Hinzufügen aus.
   • Wählen Sie eine Methode aus (Telefonnummer oder E-Mail). „E-Mail“ kann für die Self-Service-Kennwortrücksetzung, aber nicht für die Authentifizierung verwendet werden. Wählen Sie beim Hinzufügen einer Telefonnummer einen Telefontyp aus, und geben Sie eine Telefonnummer in einem gültigen Format ein (beispielsweise +1 4255551234).
   • Wählen Sie "Hinzufügen" aus.

Benutzer können eigene Authentifizierungsmethoden in "Meine Anmeldungen" hinzufügen oder bearbeiten | Sicherheitsinformationen. Wenn Sie beispielsweise die Telefonnummer ändern möchten, wählen Sie "Telefonnummer " aus, und tippen Sie auf "Ändern".

Verwalten von Methoden mit PowerShell

Installieren Sie das Modul „Microsoft.Graph.Identity.Signins PowerShell“ mithilfe der folgenden Befehle.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Verwalten von Authentifizierungsoptionen

Authentifizierungsadministratoren können andere Benutzer auffordern, ihr Kennwort zurückzusetzen, sich erneut für MFA zu registrieren oder vorhandene MFA-Sitzungen von ihrem Benutzerobjekt zu widerrufen. Benutzende können ihr eigenes Benutzerobjekt nicht aktualisieren. Um ihre eigenen Sicherheitsmethoden zu ändern oder zurückzusetzen, können Benutzer zu Sicherheitsinformationen wechseln oder zur Self-Service-Kennwortzurücksetzung wechseln, um ihr Kennwort zurückzusetzen. Um die Einstellungen von anderen Benutzenden zu verwalten, führen Sie die folgenden Schritte aus:

1. Melden Sie sich mindestens als Authentifizierungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra-ID-Benutzern>.

3. Wählen Sie den Benutzer aus, für den Sie eine Aktion ausführen möchten, und wählen Sie Authentifizierungsmethoden aus. Wählen Sie dann am oberen Rand des Fensters eine der folgenden Optionen für den Benutzer aus:

   • Das Zurücksetzen des Kennworts setzt das Kennwort des Benutzers zurück und weist ein temporäres Kennwort zu, das bei der nächsten Anmeldung geändert werden muss.
   • MFA muss erneut registriert werden, löscht die Hardware-OATH-Token des Benutzers und löscht die folgenden Authentifizierungsmethoden aus diesem Benutzer: Telefonnummern, Microsoft Authenticator-Apps und Software-OATH-Token. Bei Bedarf wird der Benutzer aufgefordert, bei der nächsten Anmeldung eine neue MFA-Authentifizierungsmethode einzurichten.
   • Das Widerrufen von MFA-Sitzungen löscht die gespeicherten MFA-Sitzungen des Benutzers und setzt voraus, dass sie MFA beim nächsten Mal durchführen, wenn sie von der Richtlinie auf dem Gerät benötigt wird.

   

Löschen vorhandener App-Kennwörter eines Benutzers

Bei Benutzern, die App-Kennwörter definiert haben, können Administratoren diese Kennwörter auch löschen, sodass keine Legacy-Authentifizierung in diesen Anwendungen mehr möglich ist. Diese Aktionen sind möglicherweise erforderlich, wenn Sie einen Benutzer unterstützen oder seine Authentifizierungsmethoden zurücksetzen müssen. Nicht-Browser-Apps, die diesen App-Kennwörtern zugeordnet waren, funktionieren nicht mehr, bis ein neues App-Kennwort erstellt wird.

Um die App-Kennwörter eines Benutzers zu löschen, führen Sie die folgenden Schritte aus:

1. Melden Sie sich mindestens als Authentifizierungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra-ID-Benutzern>.

3. Wählen Sie die mehrstufige Authentifizierung aus. Scrollen Sie bei Bedarf nach rechts, um diese Menüoption anzuzeigen. Wählen Sie den nachstehenden Beispielfoto aus, um den vollständigen Fenster- und Menüspeicherort anzuzeigen:

4. Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie verwalten möchten. Auf der rechten Seite wird eine Liste mit Optionen für schnelle Schritte angezeigt.

5. Wählen Sie "Benutzereinstellungen verwalten" aus, und aktivieren Sie dann das Kontrollkästchen " Alle vorhandenen App-Kennwörter löschen", die von den ausgewählten Benutzern generiert wurden, wie im folgenden Beispiel gezeigt:

6. Wählen Sie "Speichern" und dann "Schließen" aus.

Zugehöriger Inhalt

• Konfigurieren Sie Microsoft Entra Einstellungen für die mehrstufige Authentifizierung
• Benutzerhandbuch für die Microsoft Entra-Multi-Faktor-Authentifizierung

Kontaktinformationen der Benutzer*innen in Microsoft Entra fallen in zwei unterschiedliche Kategorien:

• Kontaktinformationen für öffentliche Profile, die im Benutzerprofil verwaltet werden und für Mitglieder Ihrer Organisation sichtbar sind. Bei Benutzern, die aus dem lokalen Active Directory synchronisiert werden, werden diese Informationen in den lokalen Windows Server Active Directory-Domänendiensten verwaltet.
• Authentifizierungsmethoden, die immer privat sind und nur für die Authentifizierung verwendet werden, einschließlich Multi-Faktor-Authentifizierung. Administratoren können diese Methoden auf dem Blatt zur Authentifizierungsmethode eines Benutzers verwalten, und Benutzer können Ihre Methoden auf der Seite „Sicherheitsinformationen“ von MyAccount verwalten.

Bei der Verwaltung der Methoden der Microsoft Entra-Multi-Faktor-Authentifizierung für Ihre Benutzer*innen können Authentifizierungsadministrator*innen folgende Aktionen ausführen:

• Hinzufügen von Authentifizierungsmethoden für einen bestimmten Benutzer, einschließlich der für MFA verwendeten Telefonnummern.
• Setzt das Kennwort eines Benutzers zurück.
• Anfordern einer erneuten Registrierung des Benutzers für MFA.
• Widerrufen vorhandener MFA-Sitzungen.
• Löschen der vorhandenen App-Kennwörter eines Benutzers

Hinweis

Die Screenshots in diesem Thema zeigen, wie Sie Benutzerauthentifizierungsmethoden mithilfe einer aktualisierten Oberfläche im Microsoft Entra Admin Center verwalten. Es gibt auch eine Vorversions-Erfahrung und Administratoren können über ein Banner im Admin Center zwischen den beiden Versionen umschalten. Die moderne Benutzeroberfläche verfügt über eine vollständige Parity mit der Vorversions-Erfahrung und verwaltet moderne Methoden wie befristeter Zugriffspass, Passkeys und andere Einstellungen. Die Ältere Erfahrung im Microsoft Entra Admin Center wurde am 30. September 2025 eingestellt. Es gibt keine Aktion, die von Organisationen vor der Ausmusterung benötigt wird.

Multi-Faktor-Authentifizierung von Microsoft Entra (standardmäßig aktiviert).

Sie können Authentifizierungsmethoden für einen Benutzer mithilfe des Microsoft Entra Admin Centers oder von Microsoft Graph PowerShell hinzufügen oder ändern. Im Microsoft Entra Admin Center wird die Legacymethode für die Verwaltung von Benutzerauthentifizierungsmethoden nach dem 30. September 2025 eingestellt.

Hinweis

Aus Sicherheitsgründen sollten die Felder für die öffentlichen Kontaktinformationen eines Benutzers nicht zum Ausführen von MFA verwendet werden. Stattdessen sollten die Benutzer die Nummern für ihre Authentifizierungsmethoden eintragen, die für die MFA verwendet werden sollen.

So fügen Sie Authentifizierungsmethoden für einen Benutzer im Microsoft Entra Admin Center hinzu oder ändern sie:

1. Melden Sie sich mindestens als Authentifizierungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra-ID-Benutzern>.
3. Wählen Sie den Benutzer aus, für den Sie eine Authentifizierungsmethode hinzufügen oder ändern möchten, und wählen Sie Authentifizierungsmethoden aus.
4. Wählen Sie oben im Fenster die Authentifizierungsmethode +Hinzufügen aus.
   • Wählen Sie eine Methode aus (Telefonnummer oder E-Mail). „E-Mail“ kann für die Self-Service-Kennwortrücksetzung, aber nicht für die Authentifizierung verwendet werden. Wählen Sie beim Hinzufügen einer Telefonnummer einen Telefontyp aus, und geben Sie eine Telefonnummer in einem gültigen Format ein (beispielsweise +1 4255551234).
   • Wählen Sie "Hinzufügen" aus.

Benutzer können eigene Authentifizierungsmethoden in "Meine Anmeldungen" hinzufügen oder bearbeiten | Sicherheitsinformationen. Wenn Sie beispielsweise die Telefonnummer ändern möchten, wählen Sie "Telefonnummer " aus, und tippen Sie auf "Ändern".

Verwalten von Methoden mit PowerShell

Installieren Sie das Modul „Microsoft.Graph.Identity.Signins PowerShell“ mithilfe der folgenden Befehle.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Authentifizierungsadministratoren können andere Benutzer auffordern, ihr Kennwort zurückzusetzen, sich erneut für MFA zu registrieren oder vorhandene MFA-Sitzungen von ihrem Benutzerobjekt zu widerrufen. Benutzende können ihr eigenes Benutzerobjekt nicht aktualisieren. Um ihre eigenen Sicherheitsmethoden zu ändern oder zurückzusetzen, können Benutzer zu Sicherheitsinformationen wechseln oder zur Self-Service-Kennwortzurücksetzung wechseln, um ihr Kennwort zurückzusetzen. Um die Einstellungen von anderen Benutzenden zu verwalten, führen Sie die folgenden Schritte aus:

1. Melden Sie sich mindestens als Authentifizierungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra-ID-Benutzern>.

3. Wählen Sie den Benutzer aus, für den Sie eine Aktion ausführen möchten, und wählen Sie Authentifizierungsmethoden aus. Wählen Sie dann am oberen Rand des Fensters eine der folgenden Optionen für den Benutzer aus:

   • Das Zurücksetzen des Kennworts setzt das Kennwort des Benutzers zurück und weist ein temporäres Kennwort zu, das bei der nächsten Anmeldung geändert werden muss.
   • MFA muss erneut registriert werden, löscht die Hardware-OATH-Token des Benutzers und löscht die folgenden Authentifizierungsmethoden aus diesem Benutzer: Telefonnummern, Microsoft Authenticator-Apps und Software-OATH-Token. Bei Bedarf wird der Benutzer aufgefordert, bei der nächsten Anmeldung eine neue MFA-Authentifizierungsmethode einzurichten.
   • Das Widerrufen von MFA-Sitzungen löscht die gespeicherten MFA-Sitzungen des Benutzers und setzt voraus, dass sie MFA beim nächsten Mal durchführen, wenn sie von der Richtlinie auf dem Gerät benötigt wird.

   

Bei Benutzern, die App-Kennwörter definiert haben, können Administratoren diese Kennwörter auch löschen, sodass keine Legacy-Authentifizierung in diesen Anwendungen mehr möglich ist. Diese Aktionen sind möglicherweise erforderlich, wenn Sie einen Benutzer unterstützen oder seine Authentifizierungsmethoden zurücksetzen müssen. Nicht-Browser-Apps, die diesen App-Kennwörtern zugeordnet waren, funktionieren nicht mehr, bis ein neues App-Kennwort erstellt wird.

Um die App-Kennwörter eines Benutzers zu löschen, führen Sie die folgenden Schritte aus:

1. Melden Sie sich mindestens als Authentifizierungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra-ID-Benutzern>.

3. Wählen Sie die mehrstufige Authentifizierung aus. Scrollen Sie bei Bedarf nach rechts, um diese Menüoption anzuzeigen. Wählen Sie den nachstehenden Beispielfoto aus, um den vollständigen Fenster- und Menüspeicherort anzuzeigen:

4. Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie verwalten möchten. Auf der rechten Seite wird eine Liste mit Optionen für schnelle Schritte angezeigt.

5. Wählen Sie "Benutzereinstellungen verwalten" aus, und aktivieren Sie dann das Kontrollkästchen " Alle vorhandenen App-Kennwörter löschen", die von den ausgewählten Benutzern generiert wurden, wie im folgenden Beispiel gezeigt:

6. Wählen Sie "Speichern" und dann "Schließen" aus.