So funktioniert's: Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

Die Sicherheit der zweistufigen Überprüfung liegt im Ebenenansatz.The security of two-step verification lies in its layered approach. Die Faktoren der mehrfachen Authentifizierung zu überwinden stellt eine große Herausforderung für Angreifer dar.Compromising multiple authentication factors presents a significant challenge for attackers. Selbst wenn ein Angreifer das Kennwort des Benutzers herausfinden kann, ist dies nutzlos, wenn er nicht auch die zusätzliche Authentifizierungsmethode beherrscht.Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. Dies funktioniert durch das Anfordern von mindestens zwei der folgenden Authentifizierungsmethoden:It works by requiring two or more of the following authentication methods:

  • Etwas, das Sie wissen (normalerweise ein Kennwort)Something you know (typically a password)
  • Etwas, das Sie haben (ein vertrautes Gerät, das nicht leicht dupliziert werden kann, wie ein Telefon)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Etwas, das Sie sind (biometrisch)Something you are (biometrics)

Bild konzeptioneller Authentifizierungsmethoden

Conceptual authentication methods image

Azure Multi-Factor Authentication (MFA) trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei und ist dabei für den Benutzer unkompliziert.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. Indem eine zweite Form der Authentifizierung verlangt wird, bietet das Verfahren zusätzliche Sicherheit und eine zuverlässige Authentifizierung über verschiedene einfache Authentifizierungsmethoden.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Benutzer können auf der Grundlage von Konfigurationsentscheidungen, die ein Administrator trifft, zur MFA aufgefordert werden oder auch nicht.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Beziehen von Multi-Factor AuthenticationHow to get Multi-Factor Authentication?

Multi-Factor Authentication ist Teil der folgenden Angebote:Multi-Factor Authentication comes as part of the following offerings:

  • Azure Active Directory Premium oder Microsoft 365 Business – Nutzung der Azure Multi-Factor Authentication in vollem Umfang, einschließlich Richtlinien für bedingten Zugriff, die die Multi-Factor Authentication erforderlich machen.Azure Active Directory Premium or Microsoft 365 Business - Full featured use of Azure Multi-Factor Authentication using Conditional Access policies to require multi-factor authentication.

  • Azure AD Free- oder eigenständige Office 365-Lizenzen – Nutzung vorab erstellter Richtlinien für bedingten Zugriff für den Baselineschutz, die die Multi-Factor Authentication für Benutzer und Administratoren erforderlich machenAzure AD Free or standalone Office 365 licenses - Use pre-created Conditional Access baseline protection policies to require multi-factor authentication for your users and administrators.

  • Azure Active Directory – Globale Administratoren: Eine Teilmenge der Azure Multi-Factor Authentication-Funktionen ist als Mittel zum Schutz globaler Administratorkonten verfügbar.Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

Hinweis

Ab dem 1. September 2018 können Neukunden Azure Multi-Factor Authentication nicht mehr als eigenständiges Angebot erwerben.New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. Multi-Factor Authentication ist in Azure AD Premium-Lizenzen weiterhin ein verfügbares Feature.Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

UnterstützungsmöglichkeitenSupportability

Die meisten Benutzer sind daran gewöhnt, für die Authentifizierung lediglich Kennwörter zu verwenden. Daher ist es wichtig, dass Ihre Organisation das Bewusstsein für diesen Prozess bei sämtlichen Benutzern fördert.Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. So lassen sich Anrufe beim Helpdesk aufgrund kleinerer Probleme im Zusammenhang mit MFA reduzieren.Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. In einigen Szenarien muss MFA jedoch vorübergehend deaktiviert werden.However, there are some scenarios where temporarily disabling MFA is necessary. Befolgen Sie die unten stehenden Richtlinien für den Umgang mit diesen Szenarien:Use the following guidelines to understand how to handle those scenarios:

  • Schulen Sie Ihre Supportmitarbeiter für Szenarien, in denen Benutzer sich nicht anmelden können, da sie keinen Zugriff auf ihre Authentifizierungsmethoden haben, oder diese nicht ordnungsgemäß funktionieren.Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • Mit Richtlinien für bedingten Zugriff für den Azure MFA-Dienst können Ihre Supportmitarbeiter einen Benutzer einer Gruppe hinzufügen, die von einer MFA erfordernden Richtlinie ausgeschlossen ist.Using Conditional Access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
  • Sie können benannte Standorte für den bedingten Zugriff verwenden, um Aufforderungen zur zweistufigen Überprüfung zu minimieren.Consider using Conditional Access named locations as a way to minimize two-step verification prompts. Mithilfe dieser Funktion können Administratoren die zweistufige Überprüfung für Benutzer umgehen, die sich über ein sicheres vertrauenswürdiges Netzwerk anmelden, z. B. ein Netzwerksegment, das für das Onboarding neuer Benutzer verwendet wird.With this functionality, administrators can bypass two-step verification for users that are signing in from a secure trusted network location such as a network segment used for new user onboarding.
  • Stellen Sie Azure AD Identity Protection bereit, und lösen Sie die zweistufige Überprüfung basierend auf Risikoerkennungen aus.Deploy Azure AD Identity Protection and trigger two-step verification based on risk detections.

Nächste SchritteNext steps