Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?

Microsoft empfiehlt kennwortlose Authentifizierungsmethoden wie Windows Hello, FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App, weil sie die sicherste Umgebung für Anmeldungen bieten. Obwohl sich ein Benutzer mit anderen gängigen Methoden wie „Benutzername“ und „Kennwort“ anmelden kann, sollten Kennwörter durch sicherere Authentifizierungsmethoden ersetzt werden.

Illustration of the strengths and preferred authentication methods in Microsoft Entra ID.

Bei der Benutzeranmeldung bietet die Multi-Faktor-Authentifizierung von Micrrosoft Entra zusätzliche Sicherheit im Vergleich zur alleinigen Verwendung eines Kennworts. Der Benutzer oder die Benutzerin kann aufgefordert werden, sich zusätzlich in einer anderen Form zu authentifizieren, z. B. durch die Antwort auf eine Pushbenachrichtigung, die Eingabe eines Codes von einem Software- oder Hardwaretoken oder die Beantwortung einer SMS oder eines Telefonanrufs.

Um die Umgebung für das Onboarding von Benutzern zu vereinfachen und diese sowohl für MFA als auch für SSPR (Self-Service Password Reset, Self-Service-Kennwortzurücksetzung) zu registrieren, empfiehlt es sich, die kombinierte Registrierung von Sicherheitsinformationen zu aktivieren. Aus Resilienzgründen ist es empfehlenswert, Benutzer aufzufordern, mehrere Authentifizierungsmethoden zu registrieren. Wenn eine Methode bei der Anmeldung oder bei SSPR für einen Benutzer nicht verfügbar ist, kann er sich wahlweise mit einer anderen Methode authentifizieren. Weitere Informationen finden Sie unter Erstellen einer robusten Verwaltungsstrategie für die Zugriffssteuerung in Microsoft Entra ID.

Dieses Video soll Sie bei der Wahl der besten Authentifizierungsmethode zum Schutz Ihrer Organisation unterstützen.

Stärke und Sicherheit von Authentifizierungsmethoden

Wenn Sie in Ihrer Organisation Features wie die Multi-Faktor-Authentifizierung von Microsoft Entra bereitstellen, überprüfen Sie die verfügbaren Authentifizierungsmethoden. Wählen Sie die Methoden aus, die Ihre Anforderungen im Hinblick auf Sicherheit, Nutzbarkeit und Verfügbarkeit erfüllen oder darüber hinausgehen. Verwenden Sie nach Möglichkeit Authentifizierungsmethoden mit der höchsten Sicherheitsstufe.

In der folgenden Tabelle sind die Sicherheitsaspekte der verfügbaren Authentifizierungsmethoden aufgeführt. Verfügbarkeit ist ein Hinweis darauf, dass der Benutzer die Authentifizierungsmethode verwenden kann, nicht auf die Dienstverfügbarkeit in Microsoft Entra ID:

Authentifizierungsmethode Sicherheit Benutzerfreundlichkeit Verfügbarkeit
Windows Hello for Business High High High
Microsoft Authenticator High High High
Authenticator Lite High High High
FIDO2-Sicherheitsschlüssel High High High
Zertifikatbasierte Authentifizierung High High High
OATH-Hardwaretoken (Vorschau) Medium Medium High
OATH-Softwaretoken Medium Medium Hoch
Befristeter Zugriffspass (TAP) Medium High High
SMS Medium High Medium
Sprache Medium Medium Medium
Kennwort Niedrig High High

Aktuelle Informationen zur Sicherheit finden Sie in unseren Blogbeiträgen:

Tipp

Aus Gründen der Flexibilität und Benutzerfreundlichkeit empfehlen wir, die Microsoft Authenticator-App zu verwenden. Diese Authentifizierungsmethode bietet die bestmögliche Benutzererfahrung und verfügt über mehrere Modi, z. B. kennwortlose Authentifizierung, MFA-Pushbenachrichtigungen und OATH-Codes.

Funktionsweise der einzelnen Authentifizierungsmethoden

Einige Authentifizierungsmethoden können als primärer Faktor verwendet werden, wenn Sie sich bei einer Anwendung oder einem Gerät anmelden, z. B. mit einem FIDO2-Sicherheitsschlüssel oder einem Kennwort. Andere Authentifizierungsmethoden sind nur als sekundärer Faktor verfügbar, wenn Sie die Multi-Faktor-Authentifizierung oder SSPR mit Microsoft Entra verwenden.

Aus der folgenden Tabelle geht hervor, wann eine Authentifizierungsmethode bei einem Anmeldeereignis verwendet werden kann:

Methode Primäre Authentifizierung Sekundäre Authentifizierung
Windows Hello for Business Ja MFA*
Microsoft Authenticator (Push) Nein MFA und SSPR
Microsoft Authenticator (kennwortlos) Ja Nein*
Authenticator Lite Nein MFA
FIDO2-Sicherheitsschlüssel Ja MFA
Zertifikatbasierte Authentifizierung Ja MFA
OATH-Hardwaretoken (Vorschau) Nein MFA und SSPR
OATH-Softwaretoken Nein MFA und SSPR
Befristeter Zugriffspass (TAP) Ja MFA
SMS Ja MFA und SSPR
Anruf Nein MFA und SSPR
Kennwort Ja Nein

* Windows Hello for Business selbst dient nicht als Step-Up-MFA-Anmeldeinformation. Beispiel: MFA-Herausforderung aufgrund der Anmeldehäufigkeit oder einer SAML-Anforderung mit forceAuthn=true. Windows Hello for Business kann durch Verwendung in der FIDO2-Authentifizierung als Step-Up-MFA-Anmeldeinformation dienen. Damit dies erfolgreich funktioniert, muss die FIDO2-Authentifizierung für Benutzer aktiviert werden.

* Die kennwortlose Anmeldung kann nur für die sekundäre Authentifizierung verwendet werden, wenn die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) für die primäre Authentifizierung verwendet wird. Weitere Informationen finden Sie unter Zertifikatsbasierte Microsoft Entra-Authentifizierung – technischer Deep-Dive.

All diese Authentifizierungsmethoden können im Microsoft Entra Admin Center und zunehmend auch mithilfe der Microsoft Graph-REST-API konfiguriert werden.

Weitere Informationen zur Funktionsweise der einzelnen Authentifizierungsmethoden finden Sie in den folgenden einzelnen konzeptionellen Artikeln:

Hinweis

In Microsoft Entra ID wird häufig ein Kennwort als primäre Authentifizierungsmethode verwendet. Die Authentifizierungsmethode über Kennwort kann nicht deaktiviert werden. Wenn Sie ein Kennwort als primären Authentifizierungsfaktor verwenden, sollten Sie die Sicherheit von Anmeldeereignissen mit der Multi-Faktor-Authentifizierung von Microsoft Entra erhöhen.

In bestimmten Szenarien können die folgenden zusätzlichen Überprüfungsmethoden verwendet werden:

  • App-Kennwörter – Werden für alte Anwendungen verwendet, die keine moderne Authentifizierung unterstützen. Können für die benutzerbezogene Multi-Faktor-Authentifizierung von Microsoft Entra konfiguriert werden.
  • Sicherheitsfragen: Werden nur für SSPR verwendet.
  • E-Mail-Adresse: Wird nur für SSPR verwendet.

Verwendbare und nicht verwendbare Methoden

Administratoren können die Methoden der Benutzerauthentifizierung im Microsoft Entra Admin Center anzeigen. Verwendbare Methoden werden zuerst aufgeführt, gefolgt von nicht verwendbaren Methoden.

Jede Authentifizierungsmethode kann aus unterschiedlichen Gründen nicht mehr verwendet werden. Beispielsweise läuft ein befristeter Zugriffspass ab, oder der FIDO2-Sicherheitsschlüssel schlägt möglicherweise fehl. Das Portal wird aktualisiert, um den Grund anzugeben, warum die Methode nicht verwendbar ist.

Hier werden auch Authentifizierungsmethoden angezeigt, die aufgrund von „Erneute Registrierung der Multi-Faktor-Authentifizierung erfordern“ nicht mehr verfügbar sind.

Screenshot of non-usable authentication methods.

Nächste Schritte

Informationen zum Einstieg finden Sie im Tutorial zur Self-Service-Kennwortzurücksetzung (SSPR) und im Tutorial zur Multi-Faktor-Authentifizierung von Microsoft Entra .

Weitere Informationen zu SSPR-Konzepten finden Sie unter Funktionsweise der Self-Service-Kennwortzurücksetzung in Microsoft Entra.

Weitere Informationen zu den MFA-Konzepten finden Sie unter Funktionsweise der Multi-Faktor-Authentifizierung in Microsoft Entra.

Lernen Sie mehr über die Konfiguration der Authentifizierungsmethoden mithilfe der Microsoft Graph REST-API.

Weitere Informationen zu den verwendeten Authentifizierungsmethoden finden Sie unter Azure AD Multi-Factor Authentication authentication method analysis with PowerShell (Analyse der Multi-Faktor-Authentifizierungsmethode von Microsoft Entra mit PowerShell).