Freigeben über


Aktivieren der benutzerspezifischen Microsoft Entra-Multi-Faktor-Authentifizierung zum Schutz von Anmeldeereignissen

Zum Schutz von Benutzeranmeldeereignissen in Microsoft Entra ID können Sie in Microsoft Entra die Multi-Faktor-Authentifizierung (MFA) erfordern. Die beste Möglichkeit, Benutzer mit Microsoft Entra MFA zu schützen, besteht in der Erstellung einer Richtlinie für bedingten Zugriff. Der bedingte Zugriff ist ein Feature von Microsoft Entra ID P1 oder P2, mit dem Sie Regeln anwenden können, um in bestimmten Szenarien eine Multi-Faktor-Authentifizierung als erforderlich festzulegen. Informationen zu den ersten Schritten mit bedingtem Zugriff finden Sie im Lernprogramm: Sichern von Benutzeranmeldungsereignissen mit mehrstufiger Microsoft Entra-Authentifizierung.

Für kostenlose Microsoft Entra ID-Mandanten ohne bedingten Zugriff können Sie Sicherheitsstandards zum Schutz von Benutzer*innen verwenden. Benutzer werden ggf. zur Durchführung von MFA aufgefordert. Sie können jedoch keine eigenen Regeln definieren, um das Verhalten zu steuern.

Wenn notwendig, können Sie stattdessen jedes Konto für eine benutzerabhängige Microsoft Entra-MFA aktivieren. Wenn Sie Benutzer einzeln für die MFA aktivieren, müssen sie bei jeder Anmeldung eine MFA ausführen. Sie können Ausnahmen aktivieren, z. B. wenn sie sich von vertrauenswürdigen IP-Adressen anmelden, oder wenn die Funktion MFA-Status auf vertrauenswürdigen Geräten merken aktiviert ist.

Das Ändern von Benutzerzuständen wird nicht empfohlen, es sei denn, Ihre Microsoft Entra-ID-Lizenzen enthalten keinen bedingten Zugriff, und Sie möchten keine Sicherheitsstandardwerte verwenden. Weitere Informationen zu den verschiedenen Möglichkeiten zum Aktivieren von MFA finden Sie unter Features und Lizenzen für die mehrstufige Microsoft Entra-Authentifizierung.

Wichtig

In diesem Artikel wird erläutert, wie Sie den Status für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung anzeigen und ändern. Wenn Sie bedingten Zugriff oder Sicherheitsstandardeinstellungen verwenden, führen Sie nicht die folgenden Schritte aus, um Benutzerkonten zu überprüfen oder zu aktivieren.

Wenn Sie die Microsoft Entra-Multi-Faktor-Authentifizierung über eine Richtlinie für bedingten Zugriff aktivieren, wird dadurch der Benutzerstatus nicht geändert. Keine Sorge, falls Benutzer als deaktiviert angezeigt werden. Der Status wird durch bedingten Zugriff nicht geändert.

Aktivieren oder erzwingen Sie keine benutzerabhängige Microsoft Entra-Multi-Faktor-Authentifizierung, wenn Sie Richtlinien für bedingten Zugriff verwenden.

Benutzerstatus für die Microsoft Entra-Multi-Faktor-Authentifizierung

Der Benutzerstatus gibt an, ob die betreffenden Benutzer von einem Authentifizierungsadministrator für die benutzerabhängige Microsoft Entra-Multi-Faktor-Authentifizierung registriert wurden. Es gibt für Benutzerkonten bei der Microsoft Entra-Multi-Faktor-Authentifizierung drei verschiedene Status:

Staat Beschreibung Legacyauthentifizierung betroffen Browser-Apps betroffen Moderne Authentifizierung betroffen
Arbeitsunfähig Der Standardstatus von Benutzer*innen, die nicht für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung registriert wurden. Nein Nein Nein
Aktiviert Der bzw. die jeweilige Benutzer*in ist für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung registriert, kann jedoch für die Legacyauthentifizierung weiterhin sein/ihr Kennwort verwenden. Wenn für die betreffenden Benutzer noch keine MFA-Authentifizierungsmethoden registriert sind, werden sie beim nächsten Anmelden mit moderner Authentifizierung (z. B. über einen Webbrowser) zur Registrierung aufgefordert. Nein. Legacyauthentifizierung wird weiterhin ausgeführt, bis die Registrierung abgeschlossen ist. Ja. Nach Ablauf der Sitzung ist eine Registrierung für die Microsoft Entra-Multi-Faktor-Authentifizierung erforderlich. Ja. Nach Ablauf des Tokens ist eine Registrierung für die Microsoft Entra-Multi-Faktor-Authentifizierung erforderlich.
Erzwungen Der bzw. die Benutzer*in wird für die benutzerspezifische Microsoft Entra-Multi-Faktor-Authentifizierung registriert. Wenn für die betreffenden Benutzer noch keine Authentifizierungsmethoden registriert sind, werden sie beim nächsten Anmelden mit moderner Authentifizierung (z. B. über einen Webbrowser) zur Registrierung aufgefordert. Benutzer, die die Registrierung abschließen, während sie aktiviert sind, werden automatisch in den Erzwungenen Zustand verschoben. Ja. Für Apps sind App-Kennwörter erforderlich. Ja. Bei der Anmeldung ist eine Microsoft Entra-Multi-Faktor-Authentifizierung erforderlich. Ja. Bei der Anmeldung ist eine Microsoft Entra-Multi-Faktor-Authentifizierung erforderlich.

Der Anfangsstatus aller Benutzer lautet Deaktiviert. Wenn Sie Benutzer bei der mehrstufigen Microsoft Entra-Authentifizierung registrieren, ändert sich der Status in "Aktiviert". Wenn sich aktivierte Benutzer anmelden und den Registrierungsprozess abschließen, ändert sich der Status in "Erzwungen". Administratoren können Benutzer zwischen Zuständen verschieben, einschließlich von "Erzwungen " in "Aktiviert" oder "Deaktiviert".

Hinweis

Wenn die MFA pro Benutzer für einen Benutzer erneut aktiviert ist und der Benutzer nicht erneut registriert wird, wechselt der MFA-Zustand nicht von "Aktiviert" auf " Erzwungen " in der MFA-Verwaltungsbenutzeroberfläche. Der Administrator muss dem Benutzer Erzwungen direkt zuweisen.

Anzeigen des Status eines Benutzers

Die benutzerabhängige MFA-Verwaltungserfahrung im Microsoft Entra-Administratorcenter wurde vor Kurzem verbessert. Um Benutzerstatus anzuzeigen und zu verwalten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Identität>Benutzer>Alle Benutzer.

  3. Wählen Sie ein Benutzerkonto und dann die Benutzer-MFA-Einstellungen aus.

  4. Nachdem Sie Änderungen vorgenommen haben, wählen Sie "Speichern" aus.

    Screenshot eines Beispiels für MFA-Einstellungen für einen Benutzer.

    Wenn Sie versuchen, Tausende von Benutzern zu sortieren, kann das Ergebnis möglicherweise problemlos Es gibt keine Benutzer anzuzeigen zurückgeben. Versuchen Sie, spezifischere Suchkriterien einzugeben, um die Suche einzugrenzen oder bestimmte Status - oder Ansichtsfilter anzuwenden.

    Screenshot, der ein Beispiel zeigt, wie eine große Benutzersortierung gefiltert wird.

Ändern des Status eines Benutzers

Führen Sie die folgenden Schritte aus, um den Status der benutzerspezifischen Microsoft Entra-Multi-Faktor-Authentifizierung für eine*n Benutzer*in zu ändern:

  1. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Benutzer.

  3. Wählen Sie ein Benutzerkonto und dann "MFA aktivieren" aus. Screenshot, der zeigt, wie ein Benutzer für die mehrstufige Microsoft Entra-Authentifizierung aktiviert wird.

    Tipp

    Aktivierte Benutzer werden automatisch zu "Erzwungen " umgestellt, wenn sie sich für die mehrstufige Microsoft Entra-Authentifizierung registrieren. Ändern Sie den Benutzerstatus nicht manuell in "Erzwungen" , es sei denn, der Benutzer ist bereits registriert, oder wenn es für den Benutzer akzeptabel ist, Unterbrechungen bei Verbindungen mit älteren Authentifizierungsprotokollen zu erleben.

  4. Bestätigen Sie Ihre Auswahl im Popupfenster, das geöffnet wird.

Benachrichtigen Sie die betreffenden Benutzer per E-Mail über die Aktivierung. Teilen Sie den Benutzern mit, dass eine Aufforderung angezeigt wird, sich bei der nächsten Anmeldung zu registrieren. Wenn Ihre Organisation Anwendungen verwendet, die nicht in einem Browser ausgeführt werden können oder die moderne Authentifizierung nicht unterstützen, können Sie Anwendungskennwörter erstellen. Weitere Informationen finden Sie unter Erzwingen der mehrstufigen Microsoft Entra-Authentifizierung mit älteren Anwendungen mit App-Kennwörtern.

Verwenden von Microsoft Graph zum Verwalten von der benutzerbasierten MFA

Sie können benutzerbasierte MFA-Einstellungen mithilfe der Beta-REST-API von Microsoft Graph verwalten. Sie können den Authentifizierungsressourcentyp verwenden, um Authentifizierungsmethodenzustände für Benutzer verfügbar zu machen.

Um die benutzerbasierte MFA zu verwalten, verwenden Sie die perUserMfaState-Eigenschaft unter users/id/authentication/requirements. Weitere Informationen finden Sie unter strongAuthenticationRequirements-Ressourcentyp.

Anzeigen des benutzerbasierten MFA-Status

So rufen Sie den benutzerbasierten Multi-Faktor-Authentifizierungsstatus für einen Benutzer ab:

GET /users/{id | userPrincipalName}/authentication/requirements

Zum Beispiel:

GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements

Wenn der Benutzer für die benutzerbasierte MFA aktiviert ist, lautet die Antwort folgendermaßen:

HTTP/1.1 200 OK
Content-Type: application/json

{
  "perUserMfaState": "enforced"
}

Weitere Informationen finden Sie unter Status der Authentifizierungsmethoden abrufen.

Ändern des MFA-Status für einen Benutzer

Um den Multi-Faktor-Authentifizierungsstatus für einen Benutzer zu ändern, verwenden Sie den Ressourcentyp „strongAuthenticationRequirements“ des Benutzers. Zum Beispiel:

PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json

{
  "perUserMfaState": "disabled"
}

Wenn dies erfolgreich ist, lautet die Antwort folgendermaßen:

HTTP/1.1 204 No Content

Weitere Informationen finden Sie unter Status der Update-Authentifizierungsmethode.

Nächste Schritte

Informationen zum Konfigurieren der mehrstufigen Authentifizierungseinstellungen von Microsoft Entra finden Sie unter Konfigurieren von Microsoft Entra-Authentifizierungseinstellungen.

Informationen zum Verwalten von Benutzereinstellungen für die mehrstufige Microsoft Entra-Authentifizierung finden Sie unter "Verwalten von Benutzereinstellungen mit mehrstufiger Microsoft Entra-Authentifizierung".

Informationen dazu, warum ein Benutzer zur Durchführung von MFA aufgefordert oder nicht aufgefordert wurde, finden Sie unter Microsoft Entra Multifactor Authentication Reports.