Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine der Hauptfunktionen einer Identitätsplattform ist die Verifizierung bzw. Authentifizierung von Anmeldeinformationen, wenn ein Benutzer sich an einem Gerät, einer Anwendung oder einem Dienst anmeldet. Bei der Microsoft Entra-ID umfasst die Authentifizierung mehr als nur die Überprüfung eines Benutzernamens und Kennworts. Um die Sicherheit zu verbessern und die Notwendigkeit von Helpdesk-Unterstützung zu verringern, umfasst die Microsoft Entra-Authentifizierung die folgenden Komponenten:
- Self-Service-Kennwortzurücksetzung
- Multi-Faktor-Authentifizierung in Microsoft Entra
- Hybridintegration zum Zurückschreiben von Kennwortänderungen in die lokale Umgebung
- Hybridintegration zum Erzwingen von Kennwortschutzrichtlinien für eine lokale Umgebung
- Kennwortlose Authentifizierung
Sehen Sie sich unser kurzes Video an, um mehr über diese Authentifizierungskomponenten zu erfahren.
Verbessern der Endbenutzererfahrung
Die Microsoft Entra-ID trägt dazu bei, die Identität eines Benutzers zu schützen und die Anmeldeerfahrung zu vereinfachen. Mit Features wie der Self-Service-Kennwortzurücksetzung können Benutzer ihre Kennwörter aktualisieren oder ändern, indem Sie auf einem beliebigen Gerät den Webbrowser verwenden. Diese Funktion ist besonders nützlich, wenn der Benutzer sein Kennwort vergessen hat oder sein Konto gesperrt ist. Ohne darauf zu warten, dass ein Helpdesk oder Administrator Support bereitstellt, kann ein Benutzer die Blockierung selbst aufheben und weiterhin arbeiten.
Mit der mehrstufigen Microsoft Entra-Authentifizierung können Benutzer während der Anmeldung eine zusätzliche Authentifizierungsform auswählen, z. B. einen Telefonanruf oder eine Benachrichtigung über mobile Apps. Durch diese Möglichkeit wird die Anforderung für eine einzelne, feste Form der sekundären Authentifizierung wie ein Hardwaretoken reduziert. Wenn der Benutzer derzeit nicht über eine Form der zusätzlichen Authentifizierung verfügt, kann er eine andere Methode auswählen und weiterhin funktionieren.
Die kennwortlose Authentifizierung entfernt die Notwendigkeit, dass der Benutzer überhaupt ein sicheres Kennwort erstellen und speichern kann. Mit Funktionen wie Windows Hello for Business oder FIDO2-Sicherheitsschlüsseln können sich Benutzer ohne Kennwort bei einem Gerät oder einer Anwendung anmelden. Diese Fähigkeit kann die Komplexität der Verwaltung von Kennwörtern in verschiedenen Umgebungen verringern.
Self-Service-Kennwortzurücksetzung
Die Self-Service-Kennwortzurücksetzung bietet Benutzern die Möglichkeit, ihr Kennwort ohne Administrator- oder Helpdesk-Beteiligung zu ändern oder zurückzusetzen. Wenn das Konto eines Benutzers gesperrt ist oder er sein Kennwort vergessen hat, kann er aufforderungen folgen, sich selbst zu entsperren und wieder zur Arbeit zurückzukehren. Dies führt zu weniger Anrufen beim Helpdesk und Produktivitätsverlusten, wenn sich ein Benutzer nicht an seinem Gerät oder einer Anwendung anmelden kann.
Die Self-Service-Kennwortzurücksetzung funktioniert in den folgenden Szenarien:
- Kennwortänderung – wenn ein Benutzer sein Kennwort kennt, es aber in etwas Neues ändern möchte.
- Kennwortzurücksetzung – wenn sich ein Benutzer nicht anmelden kann, z. B. wenn er das Kennwort vergessen hat und sein Kennwort zurücksetzen möchte.
- Kontosperrung – wenn sich ein Benutzer nicht anmelden kann, weil sein Konto gesperrt ist und sein Konto entsperren möchte.
Wenn ein Benutzer sein Kennwort mithilfe der Self-Service-Kennwortzurücksetzung aktualisiert oder zurücksetzt, kann dieses Kennwort auch in eine lokale Active Directory-Umgebung zurückgeschrieben werden. Das Kennwortrückschreiben stellt sicher, dass ein Benutzer seine aktualisierten Anmeldeinformationen sofort mit lokalen Geräten und Anwendungen verwenden kann.
Multi-Faktor-Authentifizierung in Microsoft Entra
Die mehrstufige Authentifizierung ist ein Prozess, bei dem ein Benutzer während des Anmeldevorgangs zur Eingabe einer zusätzlichen Identifikationsform aufgefordert wird, z. B. zum Eingeben eines Codes auf dem Mobiltelefon oder zum Bereitstellen eines Fingerabdruckscans.
Wenn Sie zum Authentifizieren von Benutzern nur ein Kennwort nutzen, kann dies einen Angriffsvektor darstellen und mit Unsicherheit verbunden sein. Wenn das Kennwort schwach ist oder an anderer Stelle verfügbar gemacht wurde, ist es wirklich der Benutzer, der sich mit dem Benutzernamen und Kennwort anmeldet, oder ist es ein Angreifer? Wenn Sie ein zweites Authentifizierungsverfahren erzwingen, wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.
Die mehrstufige Authentifizierung von Microsoft Entra funktioniert, indem zwei oder mehr der folgenden Authentifizierungsmethoden erforderlich sind:
- Etwas, das Sie kennen, in der Regel ein Kennwort.
- Etwas, das Sie haben, z. B. ein vertrauenswürdiges Gerät, das nicht einfach dupliziert wird, z. B. ein Telefon oder einen Hardwareschlüssel.
- Etwas, das Sie sind - Biometrie wie ein Fingerabdruck oder Gesichtsscan.
Benutzer können sich sowohl für die Self-Service-Kennwortzurücksetzung als auch für die mehrstufige Microsoft Entra-Authentifizierung in einem Schritt registrieren, um die Onboarding-Erfahrung zu vereinfachen. Administratoren können definieren, welche Formen der sekundären Authentifizierung verwendet werden können. Die mehrstufige Microsoft Entra-Authentifizierung kann auch erforderlich sein, wenn Benutzer eine Self-Service-Kennwortzurücksetzung durchführen, um diesen Prozess weiter zu sichern.
Kennwortschutz
Standardmäßig blockiert die Microsoft Entra-ID schwache Kennwörter wie "Password1". Eine globale Liste gesperrter Kennwörter wird automatisch aktualisiert und erzwungen, die bekannte schwache Kennwörter enthält. Wenn ein Microsoft Entra-Benutzer versucht, sein Kennwort auf eines dieser schwachen Kennwörter festzulegen, erhält er eine Benachrichtigung, um ein sichereres Kennwort auszuwählen.
Um die Sicherheit zu erhöhen, können Sie benutzerdefinierte Kennwortschutzrichtlinien definieren. Diese Richtlinien können Filter verwenden, um jede Variation eines Kennworts zu blockieren, das einen Namen wie Contoso oder einen Standort wie London enthält.
Für die Hybridsicherheit können Sie den Microsoft Entra-Kennwortschutz in eine lokale Active Directory-Umgebung integrieren. Eine komponente, die in der lokalen Umgebung installiert ist, empfängt die globale gesperrte Kennwortliste und benutzerdefinierte Kennwortschutzrichtlinien von Microsoft Entra ID, und Domänencontroller verwenden sie zum Verarbeiten von Kennwortänderungsereignissen. Dieser Hybridansatz stellt sicher, dass Sie unabhängig davon, wie oder wo ein Benutzer seine Anmeldeinformationen ändert, die Verwendung sicherer Kennwörter erzwingen.
Kennwortlose Authentifizierung
Das Endziel vieler Umgebungen besteht darin, die Verwendung von Kennwörtern als Teil von Anmeldeereignissen zu entfernen. Features wie Azure-Kennwortschutz oder die mehrstufige Microsoft Entra-Authentifizierung verbessern die Sicherheit, aber ein Benutzername und Kennwort bleibt eine schwache Form der Authentifizierung, die offengelegt oder brute-force angegriffen werden kann.
Wenn Sie sich mit einer kennwortlosen Methode anmelden, werden Anmeldeinformationen mithilfe von Methoden wie Biometrie mit Windows Hello for Business oder einem FIDO2-Sicherheitsschlüssel bereitgestellt. Diese Authentifizierungsmethoden können von Angreifern nicht ohne Weiteres dupliziert werden.
Microsoft Entra ID bietet Verfahren für die native Authentifizierung mit kennwortlosen Methoden, um die Anmeldung für Benutzer zu vereinfachen und das Angriffsrisiko zu verringern.
Nächste Schritte
Informationen zum Einstieg finden Sie im Tutorial zur Self-Service-Kennwortzurücksetzung (SSPR) und im Tutorial zur Multi-Faktor-Authentifizierung von Microsoft Entra .
Weitere Informationen zur Self-Service-Kennwortzurücksetzung finden Sie unter Funktionsweise der Microsoft Entra-Self-Service-Kennwortzurücksetzung.
Weitere Informationen zu den Konzepten der Multi-Faktor-Authentifizierung finden Sie unter Funktionsweise der Microsoft Entra-Multi-Faktor-Authentifizierung.