Authentifizierungsmethoden in Microsoft Entra ID – Microsoft Authenticator-App

Die Microsoft Authenticator-App bietet eine zusätzliche Sicherheitsstufe für Ihr Microsoft Entra-Geschäfts-, Schul- oder Uni-Konto bzw. Ihr Microsoft-Konto und ist verfügbar für Android und iOS. Mit der Microsoft Authenticator-App können sich Benutzer bei der Anmeldung ohne Kennwort authentifizieren. Alternativ können Sie die App bei der Self-Service-Kennwortzurücksetzung (SSPR) oder bei Multi-Faktor-Authentifizierungsereignissen als zusätzliche Prüfoption verwenden.

Benutzer erhalten dann eine Benachrichtigung über die mobile App und können den Vorgang genehmigen oder ablehnen. Sie können aber auch mit der Microsoft Authenticator-App einen OATH-Prüfcode generieren und auf einem Anmeldebildschirm eingeben. Wenn Sie sowohl die Benachrichtigung als auch den Prüfcode aktivieren, können Benutzer, die die Microsoft Authenticator-App registrieren, ihre Identität anhand von beiden Methoden bestätigen.

Hinweis

Bei der Vorbereitung der Hauptschlüssel-Unterstützung in Microsoft Authenticator können Benutzer Authenticator als Hauptschlüsselanbieter auf iOS- und Android-Geräten sehen. Hauptschlüssel werden derzeit nicht in Authenticator unterstützt, werden aber in einer bevorstehenden Version unterstützt.

Informationen zur Verwendung der Authenticator-App an einer Anmeldeaufforderung anstelle der Kombination aus Benutzername und Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.

Hinweis

  • Wenn Benutzer SSPR aktivieren, haben sie keine Möglichkeit, die mobile App zu registrieren. Stattdessen können sie die mobile App auf https://aka.ms/mfasetup oder im Rahmen der kombinierten Registrierung von Sicherheitsinformationen auf https://aka.ms/setupsecurityinfo registrieren.
  • Die Authenticator-App wird auf Betaversionen von iOS und Android möglicherweise nicht unterstützt. Darüber hinaus unterstützt die Authenticator-Anwendung auf Android ab dem 20. Oktober 2023 keine älteren Versionen des Android-Unternehmensportals mehr. Android-Benutzer mit Unternehmensportalversionen unter 2111 (5.0.5333.0) können sich nicht erneut registrieren oder neue Instanzen von Authenticator registrieren, bis sie ihre Unternehmensportalanwendung auf eine neuere Version aktualisieren.

Anmeldung ohne Kennwort

Benutzer, die die Anmeldung per Smartphone über die Authenticator-App aktiviert haben, wird nach dem Eingeben des Benutzernamens keine Aufforderung zur Eingabe eines Kennworts angezeigt, sondern eine Meldung, in der sie dazu aufgefordert werden, in der App eine Zahl einzugeben. Nach der Auswahl der richtigen Nummer ist der Anmeldevorgang abgeschlossen.

Example of a browser sign-in asking for user to approve the sign-in.

Diese Authentifizierungsmethode bietet ein hohes Maß an Sicherheit. Zudem muss der Benutzer bei der Anmeldung kein Kennwort mehr eingeben.

Informationen zu den ersten Schritten mit der Anmeldung ohne Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.

Benachrichtigung über mobile App

Die Microsoft Authenticator-App kann dazu beitragen, nicht autorisierten Zugriff auf Konten zu verhindern und betrügerische Transaktionen zu stoppen, indem sie eine Benachrichtigung an Ihr Smartphone oder Tablet sendet. Benutzer sehen die Benachrichtigung und wählen Bestätigen aus, wenn der Vorgang rechtmäßig ist. Andernfalls können sie Verweigern auswählen.

Hinweis

Ab August 2023 werden bei anomalen Anmeldungen ähnlich wie Anmeldungen von unbekannten Standorten aus keine Benachrichtigungen mehr generiert. Um eine anomale Anmeldung zu genehmigen, können Benutzer*innen Microsoft Authenticator oder Authenticator Lite in einer relevanten Begleit-App wie Outlook öffnen. Anschließend können sie zur Aktualisierung entweder nach unten ziehen oder auf Aktualisieren tippen und dann die Anforderung genehmigen.

Screenshot of example web browser prompt for Authenticator app notification to complete sign-in process.

In China funktioniert die Methode Benachrichtigung durch mobile App auf Android-Geräten nicht, weil die Google Play-Dienste (einschließlich der Pushbenachrichtigungen) in dieser Region gesperrt sind. iOS-Benachrichtigungen funktionieren jedoch. Daher sollten Benutzer*innen von Android-Geräten alternative Authentifizierungsmethoden zur Verfügung gestellt werden.

Prüfcode über die mobile App

Die Microsoft Authenticator-App kann als Softwaretoken zum Generieren eines OATH-Prüfcodes verwendet werden. Nachdem Sie Benutzernamen und Kennwort eingegeben haben, geben Sie im Anmeldebildschirm den in der Authenticator-App generierten Code ein. Der Überprüfungscode kann als zweite Authentifizierungsmethode eingegeben werden.

Hinweis

Von Authenticator generierte OATH-Prüfcodes werden für die zertifikatbasierte Authentifizierung nicht unterstützt.

Benutzer verfügen möglicherweise über eine Kombination aus bis zu fünf OATH-Hardwaretoken oder Authentifizierungsanwendungen wie die Authenticator-App, die für die jederzeitige Verwendung konfiguriert sind.

FIPS 140-konform für Microsoft Entra-Authentifizierung

In Übereinstimmung mit den in NIST SP 800-63B beschriebenen Richtlinien sind die von den US-Regierungsbehörden verwendeten Authentifikatoren zum Verwenden validierter FIPS 140-Kryptografie erforderlich. Dies hilft US-Regierungsbehörden dabei, die Anforderungen des Executive Order (EO) 14028 zu erfüllen. Darüber hinaus hilft dies anderen regulierten Branchen wie Organisationen im Gesundheitswesen, die mit elektronischen Verschreibungen für kontrollierte Stoffe (EPCS) arbeiten, ihre gesetzlichen Anforderungen zu erfüllen.

Der FIPS 140 ist ein Standard für US-Bundesbehörden, der Mindestsicherheitsanforderungen für kryptografische Module in IT-Produkten und -Systemen definiert. Tests gemäß FIPS 140-Standard werden vom Cryptographic Module Validation Program (CMVP) verwaltet.

Microsoft Authenticator für iOS

Ab Version 6.6.8 verwendet Microsoft Authenticator for iOS das native Apple CoreCrypto-Modul für FIPS-validierte Kryptografie auf Apple iOS FIPS 140-kompatiblen Geräten. Alle Microsoft Entra-Authentifizierungen unter Verwendung von phishingresistenten gerätegebundenen Hauptschlüsseln, Push-Multi-Faktor-Authentifizierungen (MFA), kennwortloser Telefonanmeldung (PSI) und zeitbasierten Einmal-Passcodes (TOTP) nutzen die FIPS-Kryptografie.

Weitere Informationen zu den verwendeten FIPS 140-validierten kryptografischen Modulen und kompatiblen iOS-Geräten finden Sie unter Apple iOS-Sicherheitszertifizierungen.

Hinweis

In neuen Updates aus der vorherigen Version dieses Artikels: Microsoft Authenticator ist unter Android noch nicht FIPS 140-konform. Microsoft Authenticator für Android ist derzeit zur FIPS-Zertifizierung angemeldet, um unsere Kunden zu unterstützen, die eine FIPS-validierte Kryptografie benötigen.

Bestimmen des Microsoft Authenticator-Registrierungstyps in meinen Sicherheitsinformationen

Das Verwalten und Hinzufügen zusätzlicher Microsoft Authenticator-Registrierungen kann von Benutzer*innen durchgeführt werden, indem sie auf MySecurityInfo (siehe die URLs im nächsten Abschnitt) zugreifen oder „Sicherheitsinformationen“ unter „Mein Konto“ auswählen. Bestimmte Symbole werden verwendet, um zu unterscheiden, ob es sich bei der Microsoft Authenticator-Registrierung um eine kennwortlose Telefonanmeldung oder um MFA handelt.

Authentificator-Registrierungstyp Symbol
Microsoft Authenticator: kennwortlose Anmeldung per Telefon Microsoft Authenticator passwordless sign-in Capable
Microsoft Authenticator (Benachrichtigung/Code) Microsoft Authenticator MFA Capable
Cloud MySecurityInfo-URL
Azure Commercial (einschließlich GCC) https://aka.ms/MySecurityInfo
Azure für US Government (umfasst GCC High und DoD) https://aka.ms/MySecurityInfo-us

Nächste Schritte