So funktioniert's: Azure AD Multi-Factor AuthenticationHow it works: Azure AD Multi-Factor Authentication

Multi-Factor Authentication (mehrstufige Authentifizierung) ist ein Prozess, bei dem Benutzer während des Anmeldevorgangs zur Durchführung eines weiteren Identifizierungsverfahrens aufgefordert werden, z. B. per Eingabe eines Codes auf dem Smartphone oder per Fingerabdruckscan.Multi-factor authentication is a process where a user is prompted during the sign-in process for an additional form of identification, such as to enter a code on their cellphone or to provide a fingerprint scan.

Wenn Sie zum Authentifizieren von Benutzern nur ein Kennwort nutzen, kann dies einen Angriffsvektor darstellen und mit Unsicherheit verbunden sein.If you only use a password to authenticate a user, it leaves an insecure vector for attack. Falls das Kennwort nicht sicher ist oder offengelegt wurde, können Sie nicht sicher sein, ob es wirklich der Benutzer ist, der sich mit dem Benutzernamen und dem Kennwort anmeldet, oder ein Angreifer.If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password, or is it an attacker? Wenn Sie ein zweites Authentifizierungsverfahren erzwingen, wird die Sicherheit erhöht, weil dieses zusätzliche Verfahren von einem Angreifer nicht ohne Weiteres nachvollzogen bzw. dupliziert werden kann.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Abbildung zum Konzept der unterschiedlichen Arten von mehrstufiger Authentifizierung

Für Azure AD Multi-Factor Authentication sind mindestens zwei der folgenden Authentifizierungsverfahren obligatorisch:Azure AD Multi-Factor Authentication works by requiring two or more of the following authentication methods:

  • Eine dem Benutzer bekannte Information (meist ein Kennwort).Something you know, typically a password.
  • Ein im Besitz des Benutzers befindliches Objekt, z. B. ein vertrauenswürdiges Gerät, das nicht ohne Weiteres dupliziert werden kann (Telefon oder Hardwareschlüssel).Something you have, such as a trusted device that is not easily duplicated, like a phone or hardware key.
  • Ein biometrisches Merkmal des Benutzers (Fingerabdruck- oder Gesichtsscan).Something you are - biometrics like a fingerprint or face scan.

Um das Onboarding zu vereinfachen, können sich Benutzer mit nur einem Schritt sowohl für die Self-Service-Kennwortzurücksetzung als auch für Azure AD Multi-Factor Authentication registrieren.Users can register themselves for both self-service password reset and Azure AD Multi-Factor Authentication in one step to simplify the on-boarding experience. Administratoren können definieren, welche Verfahren für die sekundäre Authentifizierung genutzt werden können.Administrators can define what forms of secondary authentication can be used. Azure AD Multi-Factor Authentication kann auch erzwungen werden, wenn Benutzer eine Self-Service-Kennwortzurücksetzung durchführen, um diesen Prozess noch sicherer zu machen.Azure AD Multi-Factor Authentication can also be required when users perform a self-service password reset to further secure that process.

Verwendete Authentifizierungsmethoden auf dem Anmeldebildschirm

Azure AD Multi-Factor Authentication trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei und ist gleichzeitig für Benutzer unkompliziert.Azure AD Multi-Factor Authentication helps safeguard access to data and applications while maintaining simplicity for users. Indem eine zweite Form der Authentifizierung verlangt wird, bietet das Verfahren zusätzliche Sicherheit und eine zuverlässige Authentifizierung über verschiedene einfache Authentifizierungsmethoden.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Benutzer können auf der Grundlage von Konfigurationsentscheidungen, die ein Administrator trifft, zur MFA aufgefordert werden oder auch nicht.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Ihre Anwendungen oder Dienste erfordern keine Änderungen, um Azure AD Multi-Factor Authentication verwenden zu können.Your applications or services don't need to make any changes to use Azure AD Multi-Factor Authentication. Die Überprüfungsaufforderungen sind Teil der Azure AD-Anmeldung, bei der die MFA-Abfrage ggf. automatisch angefordert und verarbeitet wird.The verification prompts are part of the Azure AD sign-in event, which automatically requests and processes the MFA challenge when required.

Verfügbare ÜberprüfungsmethodenAvailable verification methods

Wenn ein Benutzer sich bei einer Anwendung oder einem Dienst anmeldet und eine MFA-Aufforderung erhält, kann er eine der registrierten Formen der zusätzlichen Überprüfung wählen.When a user signs in to an application or service and receive an MFA prompt, they can choose from one of their registered forms of additional verification. Ein Administrator könnte die Registrierung dieser Azure AD Multi-Factor Authentication-Überprüfungsmethoden verlangen, oder der Benutzer kann Überprüfungsmethoden unter Eigenes Profil bearbeiten oder hinzufügen.An administrator could require registration of these Azure AD Multi-Factor Authentication verification methods, or the user can access their own My Profile to edit or add verification methods.

Die folgenden zusätzlichen Formen der Überprüfung können bei Azure AD Multi-Factor Authentication verwendet werden:The following additional forms of verification can be used with Azure AD Multi-Factor Authentication:

  • Microsoft Authenticator-AppMicrosoft Authenticator app
  • OATH-HardwaretokenOATH Hardware token
  • smsSMS
  • AnrufVoice call

Aktivieren und Verwenden von Azure AD Multi-Factor AuthenticationHow to enable and use Azure AD Multi-Factor Authentication

Für Benutzer und Gruppen kann Azure AD Multi-Factor Authentication aktiviert werden, damit sie während der Anmeldung zur weiteren Überprüfung aufgefordert werden.Users and groups can be enabled for Azure AD Multi-Factor Authentication to prompt for additional verification during the sign-in event. Für alle Azure AD-Mandanten sind Sicherheitsstandards verfügbar, damit die Microsoft Authenticator-App schnell von allen Benutzern verwendet werden kann.Security defaults are available for all Azure AD tenants to quickly enable the use of the Microsoft Authenticator app for all users.

Für die genauere Steuerung können Richtlinien für den bedingten Zugriff verwendet werden, um Ereignisse oder Anwendungen zu definieren, die MFA erfordern.For more granular controls, Conditional Access policies can be used to define events or applications that require MFA. Diese Richtlinien können reguläre Anmeldungsereignisse zulassen, wenn sich der Benutzer im Unternehmensnetzwerk befindet oder ein registriertes Gerät verwendet, jedoch zusätzliche Überprüfungsfaktoren anfordern, wenn der Benutzer remote arbeitet oder ein persönliches Gerät verwendet.These policies can allow regular sign-in events when the user is on the corporate network or a registered device, but prompt for additional verification factors when remote or on a personal device.

Übersichtsdiagramm: Funktionsweise des bedingten Zugriffs zum Schutz des Anmeldevorgangs

Nächste SchritteNext steps

Informationen zur Lizenzierung finden Sie unter Features und Lizenzen für Azure AD Multi-Factor Authentication.To learn about licensing, see Features and licenses for Azure AD Multi-Factor Authentication.

Wenn Sie MFA in Aktion erleben möchten, aktivieren Sie im folgenden Tutorial Azure AD Multi-Factor Authentication für eine Reihe von Testbenutzern:To see MFA in action, enable Azure AD Multi-Factor Authentication for a set of test users in the following tutorial: