Freigeben über

MFA kann nicht eingerichtet werden, da bereits fünf Geräte für die Verwendung einer Authentifikator-App registriert sind.

In diesem Artikel wird erläutert, wie Sie ein Szenario auflösen, in dem Sie keine mehrstufige Authentifizierung (MFA) einrichten können, da Sie bereits fünf Geräte registriert haben, um Authentifikator-Apps zu verwenden.

Symptome

Wenn Sie versuchen, MFA einzurichten, wird die folgende Fehlermeldung angezeigt:

Sie können nicht über mehr als fünf Hardwaretoken oder Authentifikator-Apps verfügen. Löschen Sie eine oder mehrere Ihrer Authentifikator-Apps, und fügen Sie dann eine neue Authentifikator-App hinzu. Wenn Sie Ihr Hardwaretoken löschen müssen, wenden Sie sich an den Administrator. Durch das Deaktivieren eines Hardwaretokens können Sie keine neue Authentifikator-App hinzufügen.

Sie haben zu viele Geräte registriert.

Ursache

Sie haben zuvor fünf verschiedene Telefone oder andere Geräte eingerichtet, die mit einer Authentifikator-App für MFA registriert werden sollen. Daher werden die maximal zulässige Anzahl von Gerätetoken (5) bereits in der StrongAuthenticationPhoneAppDetail Eigenschaft Ihres Verzeichnisbenutzerobjekts gespeichert.

Lösung 1: Löschen der Anmeldemethoden direkt in einem Webbrowser

Um die Gerätetoken zu löschen, können Sie die Anmeldemethoden direkt in einem Webbrowser aus Ihren Sicherheitseinstellungen löschen. Wenn Sie jedoch kein Administrator sind oder nicht der einzige Administrator für Ihre Microsoft Entra-ID sind, müssen Sie zuerst eine andere Person (der Administrator oder ein anderer Administratorbenutzer) die Anforderung für die erneute Registrierung von MFA im Verfahren im folgenden Abschnitt festlegen.

Teil 1: Lassen Sie Ihren Administrator oder einen anderen Administratorbenutzer die MFA-Neuregistrierungsanforderung festlegen

Notiz

Dieses Verfahren ist nicht erforderlich, wenn Sie der einzige Administrator für Ihre Microsoft Entra-ID sind.

  1. Suchen Sie im Azure Portal nach Microsoft Entra ID und wählen Sie diese aus.

  2. Suchen Sie im Microsoft Entra-Navigationsbereich die Überschrift "Verwalten", und wählen Sie dann "Benutzer" aus.

  3. Wählen Sie in der Liste der Microsoft Entra-Benutzer den Anzeigenamen des Benutzers aus.

  4. Suchen Sie im Navigationsbereich für den Microsoft Entra-Benutzer die Überschrift "Verwalten", und wählen Sie dann Authentifizierungsmethoden aus.

  5. Wählen Sie im Microsoft Entra-Benutzermenü die Option "Mehrstufige Authentifizierung erneut registrieren" aus.

Teil 2: Löschen einiger oder aller Ihrer Anmeldemethoden

Sie können die Gerätetoken löschen, indem Sie die entsprechenden Anmeldemethoden löschen. Führen Sie folgende Schritte aus:

  1. Um Ihre Anmeldemethoden anzuzeigen, wechseln Sie zu https://aka.ms/mysecurityinfo.

    Beispielsweise kann die Anmeldemethodenliste eine Telefonmethode enthalten, die einer Telefonnummer zugeordnet ist, und eine Authentifikator-App-Methode, die einem bestimmten Gerät zugeordnet ist. Weitere Informationen finden Sie unter Welche Authentifizierungs- und Überprüfungsmethoden sind in Microsoft Entra ID verfügbar?

  2. Löschen Sie alle fünf der aufgelisteten Anmeldemethoden.

    Warnung

    Wenn Sie versuchen, eine kennwortlose Anmeldemethode zu löschen, erhalten Sie die folgende Fehlermeldung in einem Dialogfeld, das die Schaltflächen "Anmelden " und "Abbrechen " enthält:

    Authentifikator-App löschen

    Um diese Authentifikator-App zu löschen, müssen Sie sich mit zweistufiger Authentifizierung anmelden.

    Um die Kennwortlose Anmeldemethode löschen zu können, richten Sie zuvor eine weitere zweistufige Authentifizierungsmethode (z. B. einen Telefonanruf oder eine SMS-Sms) ein. Wenn Sie dann versuchen, die kennwortlose Anmeldemethode zu löschen, verwenden Sie diese zweistufige Authentifizierungsmethode, um sich anzumelden.

Lösung 2: Löschen der Authentifikator-Apps mithilfe von Microsoft Graph

Globale Administratoren können die Authentifikator-App eines Benutzers mithilfe der Microsoft Graph-API löschen. In einigen Fällen ist die Microsoft Graph-API die einzige verfügbare Lösung (z. B. wenn Sie die Sicherheitsstandardwerte verwenden). Um diese Lösung zu verwenden, sollten Sie oder Ihr globaler Administrator sich beim Graph-Explorer als globaler Administrator anmelden und dann die folgenden Schritte ausführen:

  1. Führen Sie im Abfragebereich des Graph-Explorers die folgenden Aktionen aus:

    1. Wählen Sie in der Liste der HTTP-Methoden GET aus.

    2. Geben Sie im Abfragefeld die Zeichenfolge https://graph.microsoft.com/beta/users/<user-principal-name>/authentication/microsoftAuthenticatorMethodsein. Ersetzen Sie den Platzhalter des Benutzerprinzipalnamens (UPN) durch den UPN des Benutzers, dessen Authentifizierungs-App gelöscht werden muss.

    3. Wählen Sie die Schaltfläche "Abfrage ausführen" aus .

      Warnung

      Wenn beim Ausführen der Abfrage ein Berechtigungsfehler auftritt, führen Sie die folgenden Schritte aus, um die erforderliche Berechtigung zu erhalten:

      1. Wählen Sie die Registerkarte "Berechtigungen ändern" aus.

      2. Wählen Sie den Link "Berechtigungsbereich öffnen" aus .

      3. Erweitern Sie im Berechtigungsbereich den Knoten UserAuthenticationMethod , und wählen Sie dann die Berechtigung UserAuthenticationMethod.ReadWrite.All aus.

      4. Wählen Sie die Schaltfläche "Zustimmung" aus .

      Nachdem Sie diese Schritte ausgeführt haben, versuchen Sie es erneut, um die Abfrage auszuführen.

      Im Antwortbereich zeigt die Registerkarte "Antwortheader " JSON-Code an, der die Informationen zur Authentifikatormethode anzeigt. Im folgenden Beispielcodeausschnitt wird der Benutzer insgesamt einer Authentifikatormethode zugeordnet:

    {
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#users('user%40contoso.com')/authentication/microsoftAuthenticatorMethods",
  "value": [
    {
      "id": "01234567-89ab-cdef-0123-456789abcdef",
      "displayName": "SM-G973F",
      "deviceTag": "SoftwareTokenActivated",
      "phoneAppVersion": "6.2102.0762",
      "createdDateTime": null
    }
  ]
}

  2. Kopieren Sie auf der Registerkarte "Antwortkopfzeile" der Antwortbereich die id Eigenschaft (eine GUID) jeder Authentifikatormethode, die Sie löschen möchten, und speichern Sie sie.

  3. Legen Sie im Abfragebereich HTTP-Methoden auf DELETE fest, und legen Sie das Abfragefeld auf https://graph.microsoft.com/beta/users/<user-principal-name>/authentication/microsoftAuthenticatorMethods/<authenticator-id-guid>. Geben Sie die UPN- und Authentifikator-GUID ein, um die Platzhalterwerte zu ersetzen.

  4. Wählen Sie die Schaltfläche "Abfrage ausführen" aus . Wenn diese Löschabfrage die Authentifikator-App erfolgreich löscht, wird die Statusmeldung "Kein Inhalt - 204 – <Abfrageausführungszeit>" angezeigt.

  5. Wiederholen Sie die Schritte 2 bis 4 für jede der Authentifikator-Apps, die Sie löschen möchten.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.