Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?

Microsoft empfiehlt kennwortlose Authentifizierungsmethoden wie Windows Hello, Passkeys (FIDO2) und die Microsoft Authenticator-App, weil sie die sicherste Umgebung für Anmeldungen bieten. Obwohl sich ein Benutzer mit anderen gängigen Methoden wie „Benutzername“ und „Kennwort“ anmelden kann, sollten Kennwörter durch sicherere Authentifizierungsmethoden ersetzt werden.

Darstellung der bevorzugten Authentifizierungsmethoden in Microsoft Entra ID und deren Stärken.

Bei der Benutzeranmeldung bietet die Multi-Faktor-Authentifizierung von Micrrosoft Entra zusätzliche Sicherheit im Vergleich zur alleinigen Verwendung eines Kennworts. Der Benutzer oder die Benutzerin kann aufgefordert werden, sich zusätzlich in einer anderen Form zu authentifizieren, z. B. durch die Antwort auf eine Pushbenachrichtigung, die Eingabe eines Codes von einem Software- oder Hardwaretoken oder die Beantwortung einer SMS oder eines Telefonanrufs.

Um die Umgebung für das Onboarding von Benutzern zu vereinfachen und diese sowohl für MFA als auch für SSPR (Self-Service Password Reset, Self-Service-Kennwortzurücksetzung) zu registrieren, empfiehlt es sich, die kombinierte Registrierung von Sicherheitsinformationen zu aktivieren. Aus Resilienzgründen ist es empfehlenswert, Benutzer aufzufordern, mehrere Authentifizierungsmethoden zu registrieren. Wenn eine Methode bei der Anmeldung oder bei SSPR für einen Benutzer nicht verfügbar ist, kann er sich wahlweise mit einer anderen Methode authentifizieren. Weitere Informationen finden Sie unter Erstellen einer robusten Verwaltungsstrategie für die Zugriffssteuerung in Microsoft Entra ID.

Funktionsweise der einzelnen Authentifizierungsmethoden

Einige Authentifizierungsmethoden können als primärer Faktor verwendet werden, wenn Sie sich bei einer Anwendung oder einem Gerät anmelden, z. B. mit einem FIDO2-Sicherheitsschlüssel oder einem Kennwort. Andere Authentifizierungsmethoden sind nur als sekundärer Faktor verfügbar, wenn Sie die Multi-Faktor-Authentifizierung oder SSPR mit Microsoft Entra verwenden.

Aus der folgenden Tabelle geht hervor, wann eine Authentifizierungsmethode bei einem Anmeldeereignis verwendet werden kann:

Methode Primäre Authentifizierung Sekundäre Authentifizierung
Windows Hello for Business Ja MFA*
Microsoft Authenticator (Push) No MFA und SSPR
Microsoft Authenticator (kennwortlos) Ja Nein*
Microsoft Authenticator-Hauptschlüssel Ja MFA
Authenticator Lite Nein MFA
Passkey (FIDO2) Ja MFA
Zertifikatbasierte Authentifizierung Ja MFA
OATH-Hardwaretoken (Vorschau) Nein MFA und SSPR
OATH-Softwaretoken Nein MFA und SSPR
Externe Authentifizierungsmethoden (Vorschau) No MFA
Befristeter Zugriffspass (TAP) Ja MFA
SMS Ja MFA und SSPR
Anruf Nein MFA und SSPR
Kennwort Ja Nein

* Windows Hello for Business selbst dient nicht als Step-Up-MFA-Anmeldeinformation. Beispiel: MFA-Herausforderung aufgrund der Anmeldehäufigkeit oder einer SAML-Anforderung mit forceAuthn=true. Windows Hello for Business kann durch Verwendung in der FIDO2-Authentifizierung als Step-Up-MFA-Anmeldeinformation dienen. Damit die FIDO2-Authentifizierung erfolgreich funktioniert, müssen Benutzer für die FIDO2-Authentifizierung registriert sein.

* Die kennwortlose Anmeldung kann nur für die sekundäre Authentifizierung verwendet werden, wenn die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) für die primäre Authentifizierung verwendet wird. Weitere Informationen finden Sie unter Zertifikatsbasierte Microsoft Entra-Authentifizierung – technischer Deep-Dive.

All diese Authentifizierungsmethoden können im Microsoft Entra Admin Center und zunehmend auch mithilfe der Microsoft Graph-REST-API konfiguriert werden.

Weitere Informationen zur Funktionsweise der einzelnen Authentifizierungsmethoden finden Sie in den folgenden einzelnen konzeptionellen Artikeln:

Hinweis

In Microsoft Entra ID wird häufig ein Kennwort als primäre Authentifizierungsmethode verwendet. Die Authentifizierungsmethode über Kennwort kann nicht deaktiviert werden. Wenn Sie ein Kennwort als primären Authentifizierungsfaktor verwenden, sollten Sie die Sicherheit von Anmeldeereignissen mit der Multi-Faktor-Authentifizierung von Microsoft Entra erhöhen.

In bestimmten Szenarien können die folgenden zusätzlichen Überprüfungsmethoden verwendet werden:

  • App-Kennwörter – Werden für alte Anwendungen verwendet, die keine moderne Authentifizierung unterstützen. Können für die benutzerbezogene Multi-Faktor-Authentifizierung von Microsoft Entra konfiguriert werden.
  • Sicherheitsfragen: Werden nur für SSPR verwendet.
  • E-Mail-Adresse: Wird nur für SSPR verwendet.

Verwendbare und nicht verwendbare Methoden

Administratoren können die Methoden der Benutzerauthentifizierung im Microsoft Entra Admin Center anzeigen. Verwendbare Methoden werden zuerst aufgeführt, gefolgt von nicht verwendbaren Methoden.

Jede Authentifizierungsmethode kann aus unterschiedlichen Gründen nicht mehr verwendet werden. Beispielsweise läuft ein befristeter Zugriffspass ab, oder der FIDO2-Sicherheitsschlüssel schlägt möglicherweise fehl. Das Portal wird aktualisiert, um den Grund anzugeben, warum die Methode nicht verwendbar ist.

Hier werden auch Authentifizierungsmethoden angezeigt, die aufgrund von „Erneute Registrierung der Multi-Faktor-Authentifizierung erfordern“ nicht mehr verfügbar sind.

Screenshot der nicht verwendbaren Authentifizierungsmethoden.

Nächste Schritte

Informationen zum Einstieg finden Sie im Tutorial zur Self-Service-Kennwortzurücksetzung (SSPR) und im Tutorial zur Multi-Faktor-Authentifizierung von Microsoft Entra .

Weitere Informationen zu SSPR-Konzepten finden Sie unter Funktionsweise der Self-Service-Kennwortzurücksetzung in Microsoft Entra.

Weitere Informationen zu den MFA-Konzepten finden Sie unter Funktionsweise der Multi-Faktor-Authentifizierung in Microsoft Entra.

Lernen Sie mehr über die Konfiguration der Authentifizierungsmethoden mithilfe der Microsoft Graph REST-API.

Weitere Informationen zu den verwendeten Authentifizierungsmethoden finden Sie unter Azure AD Multi-Factor Authentication authentication method analysis with PowerShell (Analyse der Multi-Faktor-Authentifizierungsmethode von Microsoft Entra mit PowerShell).