Features und Lizenzen für Azure AD Multi-Factor Authentication

Zum Schutz von Benutzerkonten in Ihrer Organisation sollten Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden. Dieses Feature ist insbesondere für Konten wichtig, die privilegierten Zugriff auf Ressourcen haben. Grundlegende Funktionen für die mehrstufige Authentifizierung stehen für globale Administratoren von Microsoft 365 und Azure Active Directory (Azure AD) ohne zusätzliche Kosten zur Verfügung. Wenn Sie für Ihre Administratoren ein Upgrade der Funktionen durchführen oder die mehrstufige Authentifizierung auf die übrigen Benutzer ausweiten möchten, können Sie Azure AD Multi-Factor Authentication auf mehreren Wegen erwerben.

Wichtig

In diesem Artikel werden die verschiedenen Möglichkeiten für die Lizenzierung und Verwendung von Azure AD Multi-Factor Authentication erläutert. Ausführliche Informationen zur Preisgestaltung und Abrechnung finden Sie auf der Seite Azure AD – Preise.

Verfügbare Versionen von Azure AD Multi-Factor Authentication

Azure AD Multi-Factor Authentication kann entsprechend den Anforderungen Ihrer Organisation auf unterschiedliche Weise verwendet und lizenziert werden. Abhängig von der Lizenz für Azure AD, EMS oder Microsoft 365, die Sie zurzeit besitzen, sind Sie möglicherweise bereits berechtigt, Azure AD Multi-Factor Authentication zu verwenden. Beispielsweise können die ersten 50.000 monatlich aktiven Benutzer in Azure AD External Identities MFA und weitere Premium P1- oder P2-Features kostenlos nutzen. Weitere Informationen finden Sie unter Externe Azure Active Directory-Identitäten – Preise.

In der folgenden Tabelle werden die verschiedenen Möglichkeiten zum Erwerb von Azure AD Multi-Factor Authentication erläutert sowie jeweils einige Funktionen und Anwendungsfälle beschrieben.

Benutzer von Funktionen und Anwendungsfälle
Microsoft 365 Business Premium und EMS oder Microsoft 365 E3 und E5 EMS E3, Microsoft 365 E3 und Microsoft 365 Business Premium enthalten Azure AD Premium P1. EMS E5 oder Microsoft 365 E5 umfasst Azure AD Premium P2. Sie können die in den folgenden Abschnitten beschriebenen Funktionen für den bedingten Zugriff auch für die Bereitstellung der mehrstufigen Authentifizierung für Benutzer verwenden.
Azure AD Premium P1 Mit dem bedingten Zugriff von Azure AD können Sie Benutzer bei bestimmten Szenarien oder Ereignissen zur mehrstufigen Authentifizierung auffordern und auf diese Weise Ihre geschäftlichen Anforderungen erfüllen.
Azure AD Premium P2 Bietet die höchste Sicherheitsstufe und eine verbesserte Benutzerumgebung. Erweitert die Funktionen von Azure AD Premium P1 um den risikobasierten bedingten Zugriff, der sich an Benutzermuster anpasst und Eingabeaufforderungen für die mehrstufige Authentifizierung minimiert.
Alle Microsoft 365-Pläne Azure AD Multi-Factor Authentication kann mithilfe der Sicherheitsstandards für alle Benutzer aktiviert werden. Die Verwaltung von Azure AD Multi-Factor Authentication erfolgt über das Microsoft 365-Portal. Führen Sie zugunsten einer optimierten Benutzerumgebung ein Upgrade auf Azure AD Premium P1 oder P2 durch, und verwenden Sie den bedingten Zugriff. Weitere Informationen finden Sie unter Schützen von Microsoft 365-Ressourcen mit der mehrstufigen Authentifizierung.
Kostenlose Office 365-Version
Kostenlose Azure AD-Version
Sie können die Benutzer bei Bedarf mithilfe der Sicherheitsstandards zur Verwendung der mehrstufigen Authentifizierung auffordern. Sie haben keine genaue Kontrolle über aktivierte Benutzer oder Szenarien, aber dieser zusätzliche Sicherheitsschritt wird bereitgestellt.
Auch wenn die Sicherheitsstandards nicht zum Aktivieren der mehrstufigen Authentifizierung für alle Benutzer verwendet werden, können Benutzer mit der Rolle globaler Azure AD-Administrator für die Verwendung der mehrstufigen Authentifizierung konfiguriert werden. Diese Funktion der kostenlosen Version stellt sicher, dass die kritischen Administratorkonten durch die mehrstufige Authentifizierung geschützt sind.

Featurevergleich basierend auf Lizenzen

In der folgenden Tabelle werden die Funktionen aufgeführt, die in den verschiedenen Versionen von Azure AD Multi-Factor Authentication zur Verfügung stehen. Planen Sie Ihre Anforderungen an eine sichere Benutzerauthentifizierung, und legen Sie dann fest, welcher Ansatz diese Anforderungen erfüllt. Beispiel: Obwohl Azure AD Free Azure AD Multi-Factor Authentication über Sicherheitsstandards bereitstellt, kann für Authentifizierungsaufforderungen nur die mobile Authentifikator-App und kein Telefonanruf bzw. keine SMS verwendet werden. Dieser Ansatz kann eine Einschränkung darstellen, wenn Sie nicht gewährleisten können, dass die Authentifikator-App auf dem persönlichen Gerät des Benutzers installiert ist. Ausführlichere Informationen finden Sie im Abschnitt Azure AD Free-Tarif weiter unten in diesem Thema.

Funktion Azure AD Free – Sicherheitsstandards (für alle Benutzer aktiviert) Azure AD Free – nur globale Administratoren Office 365 Azure AD Premium P1 Azure AD Premium P2
Schutz von Azure AD-Administratorkonten eines Mandanten mit MFA ● (gilt nur für globale Azure AD-Administratorkonten)
Mobile App als zweiter Faktor
Telefonanruf als zweiter Faktor
SMS als zweiter Faktor
Administrative Kontrolle über Überprüfungsmethoden
Betrugswarnung
MFA-Berichte
Benutzerdefinierte Begrüßungen für Telefonanrufe
Benutzerdefinierte Anrufer-ID für Telefonanrufe
Vertrauenswürdige IP-Adressen
Speichern der MFA für vertrauenswürdige Geräte
MFA für lokale Anwendungen
Bedingter Zugriff
Risikobasierte Zugangskontrolle
Identitätsschutz (riskante Anmeldungen, riskante Benutzer)
Zugriffsüberprüfungen
Berechtigungsverwaltung
Privilegierte Identitätsverwaltung (PIM), Just-in-Time-Zugriff

Vergleichen von Richtlinien für die mehrstufige Authentifizierung

Unser empfohlener Ansatz zum Erzwingen von MFA ist das Verwenden des bedingten Zugriffs. Prüfen Sie die folgende Tabelle, um zu ermitteln, welche Funktionen in Ihren Lizenzen enthalten sind.

-Richtlinie Standardwerte für die Sicherheit Bedingter Zugriff Benutzerbasierte MFA
Verwaltung
Standardgruppe von Sicherheitsregeln, um die Sicherheit Ihres Unternehmens zu gewährleisten
Ein-/Ausschalten mit einem Klick
In Office 365-Lizenzierung enthalten (siehe Verfügbare Versionen von Azure AD Multi-Factor Authentication)
Vorkonfigurierte Vorlagen im Microsoft 365 Admin Center-Assistenten
Konfigurationsflexibilität
Funktion
Ausschließen von Benutzer*innen von der Richtlinie
Authentifizieren per Telefonanruf oder SMS
Authentifizieren durch Microsoft Authenticator und Softwaretoken
Authentifizieren durch FIDO2- und Windows Hello for Business-Token sowie durch Hardwaretoken
Blockieren von Legacyauthentifizierungsprotokollen
Automatischer Schutz für neue Mitarbeiter
Dynamische MFA-Trigger basierend auf Risikoereignissen
Richtlinien für die Authentifizierung und Autorisierung
Konfigurierbarkeit basierend auf Standort und Gerätestatus
Unterstützung für den Modus „Nur Bericht“
Möglichkeit zum vollständigen Blockieren von Benutzer*innen/Diensten

Erwerben und Aktivieren von Azure AD Multi-Factor Authentication

Registrieren Sie sich für einen berechtigten Azure AD-Tarif (oder erwerben Sie einen solchen Tarif), um Azure AD Multi-Factor Authentication verwenden zu können. Azure AD ist in vier Editionen erhältlich: Free, Office 365, Premium P1 und Premium P2.

Die kostenlose Version (Free) ist im Azure-Abonnement enthalten. Im folgenden Abschnitt finden Sie Informationen zur Verwendung der Sicherheitsstandards bzw. zum Schutz von Konten mit der Rolle globaler Azure AD-Administrator.

Die Azure AD Premium-Editionen sind über Ihren Microsoft-Vertreter, das Open Volume License-Programm und das Cloud Solution Providers-Programm erhältlich. Azure- und Microsoft 365-Abonnenten können Azure Active Directory Premium P1 und P2 auch online erwerben. Für einen Kauf müssen Sie sich anmelden.

Nachdem Sie den erforderlichen Azure AD-Tarif erworben haben, müssen Sie Azure AD Multi-Factor Authentication planen und bereitstellen.

Tarif „Azure AD Free“

Alle Benutzer in einem Mandanten der Edition „Azure AD Free“ können mithilfe der Sicherheitsstandards Azure Multi-Factor Authentication nutzen. Bei Verwendung der Sicherheitsstandards der Edition „Azure AD Free“ kann nur die mobile Authentifikator-App für Azure AD Multi-Factor Authentication verwendet werden.

Wenn Sie Azure AD Multi-Factor Authentication nicht für alle Benutzer aktivieren möchten, können Sie stattdessen Benutzerkonten nur mit der Rolle globaler Azure AD-Administrator schützen. Bei diesem Ansatz werden zusätzliche Authentifizierungsaufforderungen für kritische Administratorkonten bereitgestellt. Sie können Azure AD Multi-Factor Authentication je nach verwendetem Kontotyp mit einer der folgenden Methoden aktivieren:

Nächste Schritte