Welche Authentifizierungs- und Prüfmethoden stehen in Azure Active Directory zur Verfügung?

Microsoft empfiehlt kennwortlose Authentifizierungsmethoden wie Windows Hello, FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App, weil sie die sicherste Umgebung für Anmeldungen bieten. Obwohl sich ein Benutzer mit anderen gängigen Methoden wie „Benutzername“ und „Kennwort“ anmelden kann, sollten Kennwörter durch sicherere Authentifizierungsmethoden ersetzt werden.

Tabelle mit den bevorzugten Authentifizierungsmethoden in Azure AD und deren Stärken

Bei der Benutzeranmeldung bietet Azure AD Multi-Factor Authentication (MFA) zusätzliche Sicherheit im Vergleich zur alleinigen Verwendung eines Kennworts. Der Benutzer kann aufgefordert werden, sich zusätzlich in einer anderen Form zu authentifizieren, z. B. durch die Antwort auf eine Pushbenachrichtigung, die Eingabe eines Codes von einem Software- oder Hardwaretoken oder die Beantwortung einer SMS oder eines Telefonanrufs.

Um die Umgebung für das Onboarding von Benutzern zu vereinfachen und diese sowohl für MFA als auch für SSPR (Self-Service Password Reset, Self-Service-Kennwortzurücksetzung) zu registrieren, empfiehlt es sich, die kombinierte Registrierung von Sicherheitsinformationen zu aktivieren. Aus Resilienzgründen ist es empfehlenswert, Benutzer aufzufordern, mehrere Authentifizierungsmethoden zu registrieren. Wenn eine Methode bei der Anmeldung oder bei SSPR für einen Benutzer nicht verfügbar ist, kann er sich wahlweise mit einer anderen Methode authentifizieren. Weitere Informationen finden Sie unter Erstellen einer robusten Verwaltungsstrategie für die Zugriffssteuerung (Azure AD).

Dieses Video soll Sie bei der Wahl der besten Authentifizierungsmethode zum Schutz Ihrer Organisation unterstützen.

Stärke und Sicherheit von Authentifizierungsmethoden

Wenn Sie in Ihrer Organisation Features wie Azure AD Multi-Factor Authentication bereitstellen, überprüfen Sie die verfügbaren Authentifizierungsmethoden. Wählen Sie die Methoden aus, die Ihre Anforderungen im Hinblick auf Sicherheit, Nutzbarkeit und Verfügbarkeit erfüllen oder darüber hinausgehen. Verwenden Sie nach Möglichkeit Authentifizierungsmethoden mit der höchsten Sicherheitsstufe.

In der folgenden Tabelle sind die Sicherheitsaspekte der verfügbaren Authentifizierungsmethoden aufgeführt. Verfügbarkeit ist ein Hinweis darauf, dass der Benutzer die Authentifizierungsmethode verwenden kann, nicht auf die Dienstverfügbarkeit in Azure AD:

Authentifizierungsmethode Sicherheit Benutzerfreundlichkeit Verfügbarkeit
Windows Hello for Business High High High
Microsoft Authenticator-App High High High
FIDO2-Sicherheitsschlüssel High High High
OATH-Hardwaretoken (Vorschau) Medium Medium High
OATH-Softwaretoken Medium Medium High
SMS Medium High Medium
Sprache Medium Medium Medium
Kennwort Niedrig High High

Aktuelle Informationen zur Sicherheit finden Sie in unseren Blogbeiträgen:

Tipp

Aus Gründen der Flexibilität und Benutzerfreundlichkeit empfehlen wir, die Microsoft Authenticator-App zu verwenden. Diese Authentifizierungsmethode bietet die bestmögliche Benutzererfahrung und verfügt über mehrere Modi, z. B. kennwortlose Authentifizierung, MFA-Pushbenachrichtigungen und OATH-Codes.

Funktionsweise der einzelnen Authentifizierungsmethoden

Einige Authentifizierungsmethoden können als primärer Faktor verwendet werden, wenn Sie sich bei einer Anwendung oder einem Gerät anmelden, z. B. mit einem FIDO2-Sicherheitsschlüssel oder einem Kennwort. Andere Authentifizierungsmethoden sind nur als sekundärer Faktor verfügbar, wenn Sie Azure AD Multi-Factor Authentication oder SSPR verwenden.

Aus der folgenden Tabelle geht hervor, wann eine Authentifizierungsmethode bei einem Anmeldeereignis verwendet werden kann:

Methode Primäre Authentifizierung Sekundäre Authentifizierung
Windows Hello for Business Ja MFA
Microsoft Authenticator-App Ja MFA und SSPR
FIDO2-Sicherheitsschlüssel Ja MFA
OATH-Hardwaretoken (Vorschau) Nein MFA und SSPR
OATH-Softwaretoken Nein MFA und SSPR
SMS Ja MFA und SSPR
Anruf Nein MFA und SSPR
Kennwort Ja

All diese Authentifizierungsmethoden können im Azure-Portal und zunehmend auch mithilfe der Microsoft Graph-REST-API konfiguriert werden.

Weitere Informationen zur Funktionsweise der einzelnen Authentifizierungsmethoden finden Sie in den folgenden einzelnen konzeptionellen Artikeln:

Hinweis

In Azure AD wird häufig ein Kennwort als primäre Authentifizierungsmethode verwendet. Die Authentifizierungsmethode über Kennwort kann nicht deaktiviert werden. Wenn Sie ein Kennwort als primären Authentifizierungsfaktor verwenden, sollten Sie die Sicherheit von Anmeldeereignissen mithilfe von Azure AD Multi-Factor Authentication erhöhen.

In bestimmten Szenarien können die folgenden zusätzlichen Überprüfungsmethoden verwendet werden:

  • App-Kennwörter – Werden für alte Anwendungen verwendet, die keine moderne Authentifizierung unterstützen. Können für die benutzerbezogene Azure AD Multi-Factor Authentication konfiguriert werden.
  • Sicherheitsfragen: Werden nur für SSPR verwendet.
  • E-Mail-Adresse: Wird nur für SSPR verwendet.

Nächste Schritte

Informationen zum Einstieg finden Sie im Tutorial zur Self-Service-Kennwortzurücksetzung (SSPR) und im Tutorial zu Azure AD Multi-Factor Authentication.

Weitere Informationen zu SSPR-Konzepten finden Sie unter So funktioniert's: Self-Service-Kennwortzurücksetzung in Azure AD.

Weitere Informationen zu MFA-Konzepten finden Sie unter Funktionsweise von Azure AD Multi-Factor Authentication.

Lernen Sie mehr über die Konfiguration der Authentifizierungsmethoden mithilfe der Microsoft Graph REST-API.

Weitere Informationen zu den verwendeten Authentifizierungsmethoden finden Sie unter Azure AD Multi-Factor Authentication authentication method analysis with PowerShell (Authentifizierungsmethode von Azure AD Multi-Factor Authentication mit PowerShell).