So funktioniert's: Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

Multi-Factor Authentication (mehrstufige Authentifizierung) ist ein Prozess, bei dem Benutzer während des Anmeldevorgangs zur Durchführung eines weiteren Identifizierungsverfahrens aufgefordert werden, z. B. per Eingabe eines Codes auf dem Smartphone oder per Fingerabdruckscan.Multi-factor authentication is a process where a user is prompted during the sign-in process for an additional form of identification, such as to enter a code on their cellphone or to provide a fingerprint scan.

Wenn Sie zum Authentifizieren von Benutzern nur ein Kennwort nutzen, kann dies einen Angriffsvektor darstellen und mit Unsicherheit verbunden sein.If you only use a password to authenticate a user, it leaves an insecure vector for attack. Falls das Kennwort nicht sicher ist oder offengelegt wurde, können Sie nicht sicher sein, ob es wirklich der Benutzer ist, der sich mit dem Benutzernamen und dem Kennwort anmeldet, oder ein Angreifer.If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password, or is it an attacker? Wenn Sie ein zweites Authentifizierungsverfahren erzwingen, wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Abbildung zum Konzept der unterschiedlichen Arten von mehrstufiger Authentifizierung

Für Azure Multi-Factor Authentication sind mindestens zwei der folgenden Authentifizierungsverfahren obligatorisch:Azure Multi-Factor Authentication works by requiring two or more of the following authentication methods:

  • Eine dem Benutzer bekannte Information (meist ein Kennwort).Something you know, typically a password.
  • Ein im Besitz des Benutzers befindliches Objekt, z. B. ein vertrauenswürdiges Gerät, das nicht ohne Weiteres dupliziert werden kann (Telefon oder Hardwareschlüssel).Something you have, such as a trusted device that is not easily duplicated, like a phone or hardware key.
  • Ein biometrisches Merkmal des Benutzers (Fingerabdruck- oder Gesichtsscan).Something you are - biometrics like a fingerprint or face scan.

Um das Onboarding zu vereinfachen, können sich Benutzer mit nur einem Schritt sowohl für die Self-Service-Kennwortzurücksetzung als auch für Azure Multi-Factor Authentication registrieren.Users can register themselves for both self-service password reset and Azure Multi-Factor Authentication in one step to simplify the on-boarding experience. Administratoren können definieren, welche Verfahren für die sekundäre Authentifizierung genutzt werden können.Administrators can define what forms of secondary authentication can be used. Azure Multi-Factor Authentication kann auch erzwungen werden, wenn Benutzer eine Self-Service-Kennwortzurücksetzung durchführen, um diesen Prozess noch sicherer zu machen.Azure Multi-Factor Authentication can also be required when users perform a self-service password reset to further secure that process.

Verwendete Authentifizierungsmethoden auf dem Anmeldebildschirm

Azure Multi-Factor Authentication trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei und ist dabei für den Benutzer unkompliziert.Azure Multi-Factor Authentication helps safeguard access to data and applications while maintaining simplicity for users. Indem eine zweite Form der Authentifizierung verlangt wird, bietet das Verfahren zusätzliche Sicherheit und eine zuverlässige Authentifizierung über verschiedene einfache Authentifizierungsmethoden.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Benutzer können auf der Grundlage von Konfigurationsentscheidungen, die ein Administrator trifft, zur MFA aufgefordert werden oder auch nicht.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Ihre Anwendungen oder Dienste erfordern keine Änderungen, um Azure Multi-Factor Authentication zu verwenden.Your applications or services don't need to make any changes to use Azure Multi-Factor Authentication. Die Überprüfungsaufforderungen sind Teil der Azure AD-Anmeldung, bei der die MFA-Abfrage ggf. automatisch angefordert und verarbeitet wird.The verification prompts are part of the Azure AD sign-in event, which automatically requests and processes the MFA challenge when required.

Verfügbare ÜberprüfungsmethodenAvailable verification methods

Wenn ein Benutzer sich bei einer Anwendung oder einem Dienst anmeldet und eine MFA-Aufforderung erhält, kann er eine der registrierten Formen der zusätzlichen Überprüfung wählen.When a user signs in to an application or service and receive an MFA prompt, they can choose from one of their registered forms of additional verification. Ein Administrator kann die Registrierung der Azure Multi-Factor Authentication-Überprüfungsmethoden verlangen, oder der Benutzer kann unter Eigenes Profil Überprüfungsmethoden bearbeiten oder hinzuzufügen.An administrator could require registration of these Azure Multi-Factor Authentication verification methods, or the user can access their own My Profile to edit or add verification methods.

Die folgenden zusätzlichen Formen der Überprüfung können mit Azure-Multi-Factor Authentication verwendet werden:The following additional forms of verification can be used with Azure Multi-Factor Authentication:

  • Microsoft Authenticator-AppMicrosoft Authenticator app
  • OATH-HardwaretokenOATH Hardware token
  • smsSMS
  • AnrufVoice call

Aktivieren und Verwenden von Azure Multi-Factor AuthenticationHow to enable and use Azure Multi-Factor Authentication

Für Benutzer und Gruppen kann Azure Multi-Factor Authentication aktiviert werden, damit sie während der Anmeldung zur weiteren Überprüfung aufgefordert werden.Users and groups can be enabled for Azure Multi-Factor Authentication to prompt for additional verification during the sign-in event. Für alle Azure AD-Mandanten sind Sicherheitsstandards verfügbar, damit die Microsoft Authenticator-App schnell von allen Benutzern verwendet werden kann.Security defaults are available for all Azure AD tenants to quickly enable the use of the Microsoft Authenticator app for all users.

Für die genauere Steuerung können Richtlinien für den bedingten Zugriff verwendet werden, um Ereignisse oder Anwendungen zu definieren, die MFA erfordern.For more granular controls, Conditional Access policies can be used to define events or applications that require MFA. Diese Richtlinien können reguläre Anmeldungsereignisse zulassen, wenn sich der Benutzer im Unternehmensnetzwerk befindet oder ein registriertes Gerät verwendet, jedoch zusätzliche Überprüfungsfaktoren anfordern, wenn der Benutzer remote arbeitet oder ein persönliches Gerät verwendet.These policies can allow regular sign-in events when the user is on the corporate network or a registered device, but prompt for additional verification factors when remote or on a personal device.

Übersichtsdiagramm: Funktionsweise des bedingten Zugriffs zum Schutz des Anmeldevorgangs

Nächste SchritteNext steps

Informationen zur Lizenzierung finden Sie unter Features und Lizenzen für Azure Multi-Factor Authentication.To learn about licensing, see Features and licenses for Azure Multi-Factor Authentication.

Um MFA in Aktion zu erleben, aktivieren Sie im folgenden Tutorial Azure Multi-Factor Authentication für eine Reihe von Testbenutzern:To see MFA in action, enable Azure Multi-Factor Authentication for a set of test users in the following tutorial: