Konfigurieren von Azure Multi-Factor Authentication-EinstellungenConfigure Azure Multi-Factor Authentication settings

Dieser Artikel unterstützt Sie beim Verwalten der Einstellungen der Azure Multi-Factor Authentication im Azure-Portal.This article helps you to manage Multi-Factor Authentication settings in the Azure portal. Der Artikel umfasst eine Vielzahl von Themen, die Ihnen dabei helfen, Azure Multi-Factor Authentication optimal zu nutzen.It covers various topics that help you to get the most out of Azure Multi-Factor Authentication. Nicht alle Funktionen sind in jeder Version von Azure Multi-Factor Authentication verfügbar.Not all of the features are available in every version of Azure Multi-Factor Authentication.

Sie können vom Azure-Portal aus auf Einstellungen für die Azure Multi-Factor Authentication zugreifen, indem Sie zu Azure Active Directory > MFA navigieren.You can access settings related to Azure Multi-Factor Authentication from the Azure portal by browsing to Azure Active Directory > MFA.

Azure-Portal – Einstellungen für Azure AD Multi-Factor Authentication

EinstellungenSettings

Einige dieser Einstellungen gelten für MFA-Server, Azure-MFA oder beide Optionen.Some of these settings apply to MFA Server, Azure MFA, or both.

FeatureFeature BESCHREIBUNGDescription
KontosperrungAccount lockout Hiermit werden Konten im MFA-Dienst temporär gesperrt, wenn zu viele aufeinanderfolgende Authentifizierungsversuche abgelehnt werden.Temporarily lock accounts in the multi-factor authentication service if there are too many denied authentication attempts in a row. Dieses Feature wird nur auf Benutzer angewendet, die zur Authentifizierung eine PIN eingeben.This feature only applies to users who enter a PIN to authenticate. (MFA-Server)(MFA Server)
Benutzer sperren/zulassenBlock/unblock users Wird verwendet, um zu verhindern, dass bestimmte Benutzer Multi-Factor Authentication-Anforderungen empfangen.Used to block specific users from being able to receive Multi-Factor Authentication requests. Authentifizierungsversuche für gesperrte Benutzer werden automatisch abgelehnt.Any authentication attempts for blocked users are automatically denied. Benutzer bleiben ab dem Zeitpunkt der Sperrung 90 Tage lang gesperrt.Users remain blocked for 90 days from the time that they are blocked.
BetrugswarnungFraud alert Konfigurieren Sie Einstellungen, damit Benutzer betrügerische Überprüfungsanforderungen melden können.Configure settings related to users ability to report fraudulent verification requests
NotificationsNotifications Aktivieren Sie Benachrichtigungen für Ereignisse vom MFA-Server.Enable notifications of events from MFA Server.
OATH-TokenOATH tokens Wird in Cloud-basierten Azure MFA-Umgebungen verwendet, um OATH-Token für Benutzer zu verwalten.Used in cloud-based Azure MFA environments to manage OATH tokens for users.
Einstellungen für TelefonanrufPhone call settings Konfigurieren Sie Einstellungen für Telefonanrufe und Ansagen für Cloud- und lokale Umgebungen.Configure settings related to phone calls and greetings for cloud and on-premises environments.
AnbieterProviders Hier werden alle vorhandenen Authentifizierungsanbieter angezeigt, die Sie möglicherweise mit Ihrem Konto verknüpft haben.This will show any existing authentication providers that you may have associated with your account. Neue Authentifizierungsanbieter können ab 1. September 2018 nicht mehr erstellt werden.New authentication providers may not be created as of September 1, 2018

Verwalten von MFA-ServerManage MFA Server

Die Einstellungen in diesem Abschnitt gelten nur für MFA-Server.Settings in this section are for MFA Server only.

FeatureFeature BESCHREIBUNGDescription
ServereinstellungenServer settings Laden Sie MFA-Server herunter und generieren Sie Aktivierungsdaten, um Ihre Umgebung zu initialisieren.Download MFA Server and generate activation credentials to initialize your environment
EinmalumgehungOne-time bypass Ermöglichen Sie einem Benutzer für eine begrenzte Zeit, die Authentifizierung, ohne eine zweistufige Überprüfung durchzuführen.Allow a user to authenticate without performing two-step verification for a limited time.
CacheregelnCaching rules Das Zwischenspeichern wird hauptsächlich verwendet, wenn lokale Systeme, z.B. VPNs, mehrere Überprüfungsanforderungen senden, während die erste Anforderung noch verarbeitet wird.Caching is primarily used when on-premises systems, such as VPN, send multiple verification requests while the first request is still in progress. Mit diesem Feature werden die nachfolgenden Anforderungen automatisch erfolgreich ausgeführt, nachdem die erste laufende Überprüfungsanforderung für den Benutzer erfolgreich ausgeführt wurde.This feature allows the subsequent requests to succeed automatically, after the user succeeds the first verification in progress.
ServerstatusServer status Zeigen Sie den Status Ihrer lokalen MFA-Server an, einschließlich Version, Status, IP und Uhrzeit und Datum der letzten Kommunikation.See the status of your on-premises MFA servers including version, status, IP, and last communication time and date.

AktivitätsberichtActivity report

Diese Berichterstellung ist nur für den MFA-Server (lokal) verfügbar.The reporting available here is specific to MFA Server (on-premises). Lesen Sie für die Azure MFA (Cloud)-Berichte die Anmeldeberichte in Azure AD.For Azure MFA (cloud) reports see the sign-ins report in Azure AD.

Benutzer sperren/zulassenBlock and unblock users

Verwenden Sie das Feature Benutzer sperren/zulassen, um zu verhindern, dass Benutzer Authentifizierungsanforderungen erhalten.Use the block and unblock users feature to prevent users from receiving authentication requests. Authentifizierungsversuche für gesperrte Benutzer werden automatisch abgelehnt.Any authentication attempts for blocked users are automatically denied. Benutzer bleiben ab dem Zeitpunkt der Sperrung 90 Tage lang gesperrt.Users remain blocked for 90 days from the time that they are blocked.

Sperren eines BenutzersBlock a user

  1. Melden Sie sich beim Azure-Portal als Administrator an.Sign in to the Azure portal as an administrator.
  2. Navigieren Sie zu Azure Active Directory > MFA > Benutzer sperren/zulassen.Browse to Azure Active Directory > MFA > Block/unblock users.
  3. Wählen Sie Hinzufügen aus, um einen Benutzer zu sperren.Select Add to block a user.
  4. Wählen Sie die Replikationsgruppe aus.Select the Replication Group. Geben Sie den Benutzernamen für den gesperrten Benutzer im Format username@domain.com ein.Enter the username for the blocked user as username@domain.com. Geben Sie im Feld Grund einen Kommentar ein.Enter a comment in the Reason field.
  5. Wählen Sie Hinzufügen aus, um das Sperren des Benutzers abzuschließen.Select Add to finish blocking the user.

Zulassen eines BenutzersUnblock a user

  1. Melden Sie sich beim Azure-Portal als Administrator an.Sign in to the Azure portal as an administrator.
  2. Navigieren Sie zu Azure Active Directory > MFA > Benutzer sperren/zulassen.Browse to Azure Active Directory > MFA > Block/unblock users.
  3. Wählen Sie neben dem zu entsperrenden Benutzer in der Spalte Aktion die Option Zulassen aus.Select Unblock in the Action column next to the user to unblock.
  4. Geben Sie im Feld Grund für Entsperren einen Kommentar ein.Enter a comment in the Reason for unblocking field.
  5. Wählen Sie Zulassen aus, um das Entsperren des Benutzers abzuschließen.Select Unblock to finish unblocking the user.

BetrugswarnungFraud alert

Konfigurieren Sie das Feature Betrugswarnung, damit Ihre Benutzer betrügerische Versuche, auf ihre Ressourcen zuzugreifen, melden können.Configure the fraud alert feature so that your users can report fraudulent attempts to access their resources. Benutzer können betrügerische Versuche mit der mobilen App oder per Telefon melden.Users can report fraud attempts by using the mobile app or through their phone.

Aktivieren von BetrugswarnungenTurn on fraud alerts

  1. Melden Sie sich beim Azure-Portal als Administrator an.Sign in to the Azure portal as an administrator.
  2. Navigieren Sie zu Azure Active Directory > MFA > Betrugswarnung.Browse to Azure Active Directory > MFA > Fraud alert.
  3. Legen Sie die Einstellung Benutzern die Ausgabe von Betrugswarnungen erlauben auf Ein fest.Set the Allow users to submit fraud alerts setting to On.
  4. Wählen Sie Speichern aus.Select Save.

KonfigurationsoptionenConfiguration options

  • Benutzer bei Betrugsmeldung sperren: Wenn ein Benutzer einen Betrug meldet, wird sein Konto 90 Tage lang oder so lange gesperrt, bis ein Administrator die Sperre für das Konto aufhebt.Block user when fraud is reported: If a user reports fraud, their account is blocked for 90 days or until an administrator unblocks their account. Ein Administrator kann anhand des Anmeldeberichts Anmeldungen überprüfen und entsprechende Maßnahmen ergreifen, um weiterem Betrug vorzubeugen.An administrator can review sign-ins by using the sign-in report, and take appropriate action to prevent future fraud. Ein Administrator kann dann die Sperre für das Konto des Benutzers aufheben.An administrator can then unblock the user's account.

  • Code zum Melden von Betrugsversuchen während der Begrüßung: Wenn Benutzer einen Telefonanruf zur Ausführung der zweistufigen Überprüfung empfangen, drücken sie normalerweise die # -Taste, um ihre Anmeldung zu bestätigen.Code to report fraud during initial greeting: When users receive a phone call to perform two-step verification, they normally press # to confirm their sign-in. Wenn sie einen Betrug melden möchten, geben sie vor dem Drücken der # -Taste einen Code ein.To report fraud, the user enters a code before pressing #. Dieser Code ist standardmäßig 0, Sie können ihn jedoch anpassen.This code is 0 by default, but you can customize it.

    Hinweis

    In der Standardansage von Microsoft wird der Benutzer aufgefordert, zum Senden einer Betrugswarnung die Zeichenfolge 0# einzugeben.The default voice greetings from Microsoft instruct users to press 0# to submit a fraud alert. Wenn Sie einen anderen Code als 0 verwenden möchten, sollten Sie eine benutzerdefinierte Ansage mit den passenden Anweisungen für Ihre Benutzer aufnehmen und hochladen.If you want to use a code other than 0, record and upload your own custom voice greetings with appropriate instructions for your users.

Anzeigen von BetrugsberichtenView fraud reports

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Wählen Sie Azure Active Directory > Anmeldungen aus. Der Betrugsbericht ist damit Teil des standardmäßigen Azure AD-Berichts zu Anmeldungen.Select Azure Active Directory > Sign-ins. The fraud report is now part of the standard Azure AD Sign-ins report.

BenachrichtigungenNotifications

Konfigurieren Sie hier E-Mail-Adressen für Benutzer, die E-Mails mit Betrugswarnungen erhalten.Configure email addresses here for users who will receive fraud alert emails.

Benachrichtigungsbeispiel für eine E-Mail mit Betrugswarnung

Einstellungen für TelefonanrufPhone call settings

Anrufer-IDCaller ID

MFA-Anrufer-ID – Dies ist die Nummer, die Ihrem Benutzer auf dem Telefon angezeigt wird.MFA caller ID number - This is the number your users will see on their phone. Es sind nur Nummern aus den USA zulässig.Only US-based numbers are allowed.

Hinweis

Wenn Multi-Factor Authentication-Anrufe über das öffentliche Telefonnetz geleitet werden, laufen sie manchmal über einen Betreiber, der Anrufer-IDs nicht unterstützt.When Multi-Factor Authentication calls are placed through the public telephone network, sometimes they are routed through a carrier that doesn't support caller ID. Aus diesem Grund ist die Anrufer-ID nicht garantiert, obwohl das Multi-Factor Authentication-System sie immer sendet.Because of this, caller ID is not guaranteed, even though the Multi-Factor Authentication system always sends it.

Wenn Sie in den USA nicht die MFA-Anrufer-ID konfiguriert haben, stammen Anrufe von Microsoft von folgenden Telefonnummern: + 1 (866) 539 4191, + 1 (855) 330 8653 und + 1 (877) 668 6536.In the United States, if you haven't configured MFA Caller ID, voice calls from Microsoft come from the following numbers: +1 (866) 539 4191, +1 (855) 330 8653, and +1 (877) 668 6536. Wenn Sie Spamfilter verwenden, stellen Sie sicher, dass diese Nummern ausgeschlossen werden.If using spam filters, make sure to exclude these numbers.

Benutzerdefinierte SprachnachrichtenCustom voice messages

Mit dem Feature für benutzerdefinierte Sprachnachrichten können Sie Ihre eigenen Aufzeichnungen oder Begrüßungen für die zweistufige Überprüfung verwenden.You can use your own recordings or greetings for two-step verification with the custom voice messages feature. Diese Nachrichten können zusätzlich zu den Microsoft-Aufzeichnungen verwendet werden oder diese ersetzen.These messages can be used in addition to or to replace the Microsoft recordings.

Bevor Sie beginnen, sollten Sie die folgenden Einschränkungen beachten:Before you begin, be aware of the following restrictions:

  • Die unterstützten Dateiformate sind WAV und MP3.The supported file formats are .wav and .mp3.
  • Die maximale Dateigröße beträgt 5 MB.The file size limit is 5 MB.
  • Authentifizierungsnachrichten sollten kürzer als 20 Sekunden sein.Authentication messages should be shorter than 20 seconds. Bei Nachrichten mit einer Länge von mehr als 20 Sekunden ist die Überprüfung unter Umständen nicht erfolgreich.Messages that are longer than 20 seconds can cause the verification to fail. Der Benutzer reagiert möglicherweise erst dann, wenn die Nachricht zu Ende ist, sodass bei der Überprüfung ein Timeout auftritt.The user might not respond before the message finishes and the verification times out.

Benutzerdefiniertes NachrichtensprachenverhaltenCustom message language behavior

Wenn für den Benutzer eine benutzerdefinierte Sprachnachricht wiedergegeben wird, hängt die Sprache der Meldung von diesen Faktoren ab:When a custom voice message is played to the user, the language of the message depends on these factors:

  • Sprache des aktuellen Benutzers.The language of the current user.
    • Vom Browser des Benutzers erkannte Sprache.The language detected by the user's browser.
    • Andere Authentifizierungsszenarios verhalten sich möglicherweise anders.Other authentication scenarios may behave differently.
  • Die Sprache jeglicher verfügbarer benutzerdefinierter Nachrichten.The language of any available custom messages.
    • Diese Sprache wird vom Administrator ausgewählt, wenn eine benutzerdefinierte Nachricht hinzugefügt wird.This language is chosen by the administrator, when a custom message is added.

Wenn beispielsweise nur eine benutzerdefinierte Nachricht in der Sprache Deutsch vorhanden ist:For example, if there is only one custom message, with a language of German:

  • Ein Benutzer, der sich in deutscher Sprache authentifiziert, hört dann die benutzerdefinierte deutsche Nachricht.A user who authenticates in the German language will hear the custom German message.
  • Ein Benutzer, der sich in Englisch authentifiziert, hört dann die englische Standardnachricht.A user who authenticates in English will hear the standard English message.

Einrichten einer benutzerdefinierten NachrichtSet up a custom message

  1. Melden Sie sich beim Azure-Portal als Administrator an.Sign in to the Azure portal as an administrator.
  2. Navigieren Sie zu Azure Active Directory > MFA > Einstellungen für Telefonanruf.Browse to Azure Active Directory > MFA > Phone call settings.
  3. Wählen Sie Begrüßung hinzufügen.Select Add greeting.
  4. Wählen Sie den Begrüßungstyp aus.Choose the type of greeting.
  5. Wählen Sie die Sprache aus.Choose the language.
  6. Wählen Sie eine MP3- oder WAV-Audiodatei zum Hochladen aus.Select an .mp3 or .wav sound file to upload.
  7. Wählen Sie Hinzufügen.Select Add.

Benutzerdefinierte StandardsprachnachrichtenCustom voice message defaults

Beispielskripts zum Erstellen von benutzerdefinierten Nachrichten.Sample scripts for creating custom messages.

NachrichtennameMessage name SkriptScript
Authentifizierung erfolgreichAuthentication successful Ihre Anmeldung wurde erfolgreich überprüft.Your sign in was successfully verified. Auf Wiedersehen.Goodbye.
Grußformel bei DurchwahlExtension prompt Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Drücken Sie #, um Ihre Anmeldung abzuschließen.Please press pound key to continue.
Betrugsmeldung bestätigenFraud Confirmation Eine Betrugswarnung wurde ausgegeben.A fraud alert has been submitted. Wenden Sie sich an den IT-Helpdesk Ihres Unternehmens, um die Sperrung Ihres Kontos aufzuheben.To unblock your account, please contact your company's IT help desk.
Betrug – Grußformel (Standardmodus)Fraud greeting (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification. Wenn Sie diese Überprüfung nicht initiiert haben, versucht möglicherweise jemand, auf Ihr Konto zuzugreifen.If you did not initiate this verification, someone may be trying to access your account. Drücken Sie die Taste 0 (null), um eine Betrugswarnung abzusenden.Please press zero pound to submit a fraud alert. So benachrichtigen Sie das IT-Team Ihres Unternehmens und blockieren weitere Überprüfungsversuche.This will notify your company's IT team and block further verification attempts.
Betrug wurde gemeldet. Eine Betrugswarnung wurde ausgegeben.Fraud reported A fraud alert has been submitted. Wenden Sie sich an den IT-Helpdesk Ihres Unternehmens, um die Sperrung Ihres Kontos aufzuheben.To unblock your account, please contact your company's IT help desk.
AktivierungActivation Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Authentifizierung abgelehnt. Erneut versuchen.Authentication denied retry Überprüfung abgelehnt.Verification denied.
Erneut versuchen (Standardmodus)Retry (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Grußformel (Standardmodus)Greeting (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Grußformel (PIN-Modus)Greeting (PIN) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.Please enter your PIN followed by the pound key to finish your verification.
Betrug – Grußformel (PIN-Modus)Fraud greeting (PIN) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.Please enter your PIN followed by the pound key to finish your verification. Wenn Sie diese Überprüfung nicht initiiert haben, versucht möglicherweise jemand, auf Ihr Konto zuzugreifen.If you did not initiate this verification, someone may be trying to access your account. Drücken Sie die Taste 0 (null), um eine Betrugswarnung abzusenden.Please press zero pound to submit a fraud alert. So benachrichtigen Sie das IT-Team Ihres Unternehmens und blockieren weitere Überprüfungsversuche.This will notify your company's IT team and block further verification attempts.
Erneut versuchen (PIN-Modus)Retry(PIN) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.Please enter your PIN followed by the pound key to finish your verification.
Grußformel nach Ansage der DurchwahlziffernExtension prompt after digits Wenn Sie bereits bei dieser Durchwahl sind, drücken Sie zum Fortfahren das Nummernzeichen.If already at this extension, press the pound key to continue.
Authentifizierung abgelehntAuthentication denied Sie können zurzeit leider nicht angemeldet werden.I'm sorry, we cannot sign you in at this time. Versuchen Sie es später noch mal.Please try again later.
Grußformel bei der Aktivierung (Standardmodus)Activation greeting (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Aktivierung erneut versuchen (Standardmodus)Activation retry (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Grußformel bei der Aktivierung (PIN-Modus)Activation greeting (PIN) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.Please enter your PIN followed by the pound key to finish your verification.
Grußformel vor Ansage der DurchwahlziffernExtension prompt before digits Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Übertragen Sie diesen Anruf an Durchwahl ...Please transfer this call to extension …

EinmalumgehungOne-time bypass

Mit dem Feature Einmalumgehung kann sich ein Benutzer ein einziges Mal authentifizieren, ohne die zweistufige Überprüfung durchzuführen.The one-time bypass feature allows a user to authenticate a single time without performing two-step verification. Die Umgehung ist vorübergehend und läuft nach einer angegebenen Anzahl von Sekunden ab.The bypass is temporary and expires after a specified number of seconds. Falls die Mobilanwendung oder das Telefon keine Benachrichtigung bzw. keinen Telefonanruf empfängt, können Sie eine Einmalumgehung aktivieren, damit der Benutzer auf die gewünschte Ressource zugreifen kann.In situations where the mobile app or phone is not receiving a notification or phone call, you can allow a one-time bypass so the user can access the desired resource.

Erstellen einer EinmalumgehungCreate a one-time bypass

  1. Melden Sie sich beim Azure-Portal als Administrator an.Sign in to the Azure portal as an administrator.
  2. Navigieren Sie zu Azure Active Directory > MFA > Einmalumgehung.Browse to Azure Active Directory > MFA > One-time bypass.
  3. Wählen Sie Hinzufügen.Select Add.
  4. Wählen Sie bei Bedarf die Replikationsgruppe für die Umgehung aus.If necessary, select the replication group for the bypass.
  5. Geben Sie den Benutzernamen im Format username@domain.com ein.Enter the username as username@domain.com. Geben Sie die Dauer der Umgehung in Sekunden ein.Enter the number of seconds that the bypass should last. Geben Sie den Grund für die Umgehung ein.Enter the reason for the bypass.
  6. Wählen Sie Hinzufügen.Select Add. Das Zeitlimit gilt sofort.The time limit goes into effect immediately. Der Benutzer muss sich anmelden, bevor die Einmalumgehung abläuft.The user needs to sign in before the one-time bypass expires.

Anzeigen des Berichts für die EinmalumgehungView the one-time bypass report

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Navigieren Sie zu Azure Active Directory > MFA > Einmalumgehung.Browse to Azure Active Directory > MFA > One-time bypass.

CacheregelnCaching rules

Mit dem Feature Zwischenspeichern können Sie einen Zeitraum festlegen, sodass Authentifizierungsversuche zulässig sind, nachdem ein Benutzer authentifiziert wurde.You can set a time period to allow authentication attempts after a user is authenticated by using the caching feature. Nachfolgende Authentifizierungsversuche des Benutzers innerhalb des angegebenen Zeitraums sind automatisch erfolgreich.Subsequent authentication attempts for the user within the specified time period succeed automatically. Das Zwischenspeichern wird hauptsächlich verwendet, wenn lokale Systeme, z.B. VPNs, mehrere Überprüfungsanforderungen senden, während die erste Anforderung noch verarbeitet wird.Caching is primarily used when on-premises systems, such as VPN, send multiple verification requests while the first request is still in progress. Mit diesem Feature werden die nachfolgenden Anforderungen automatisch erfolgreich ausgeführt, nachdem die erste laufende Überprüfungsanforderung für den Benutzer erfolgreich ausgeführt wurde.This feature allows the subsequent requests to succeed automatically, after the user succeeds the first verification in progress.

Hinweis

Die Zwischenspeicherung ist nicht für Anmeldungen bei Azure Active Directory (Azure AD) vorgesehen.The caching feature is not intended to be used for sign-ins to Azure Active Directory (Azure AD).

Einrichten der ZwischenspeicherungSet up caching

  1. Melden Sie sich beim Azure-Portal als Administrator an.Sign in to the Azure portal as an administrator.
  2. Navigieren Sie zu Azure Active Directory > MFA > Cacheregeln.Browse to Azure Active Directory > MFA > Caching rules.
  3. Wählen Sie Hinzufügen.Select Add.
  4. Wählen Sie den Cachetyp in der Dropdownliste aus.Select the cache type from the drop-down list. Geben Sie die maximale Cacheaufbewahrungsdauer (Sek.) ein.Enter the maximum number of cache seconds.
  5. Wählen Sie bei Bedarf einen Authentifizierungstyp aus, und geben Sie eine Anwendung an.If necessary, select an authentication type and specify an application.
  6. Wählen Sie Hinzufügen.Select Add.

MFA-DiensteinstellungenMFA service settings

Einstellungen für App-Kennwörter, vertrauenswürdige IPs, Überprüfungsoptionen und das Speichern von Multi-Factor Authentication für die Azure Multi-Factor Authentication finden Sie in den Diensteinstellungen.Settings for app passwords, trusted IPs, verification options, and remember multi-factor authentication for Azure Multi-Factor Authentication can be found in service settings. Auf die Diensteinstellungen kann über das Azure-Portal zugegriffen werden, indem Sie zu Azure Active Directory > MFA > Erste Schritte > Konfigurieren > Zusätzliche Cloud-basierte MFA-Einstellungen navigieren.Service settings can be accessed from the Azure portal by browsing to Azure Active Directory > MFA > Getting started > Configure > Additional cloud-based MFA settings.

Diensteinstellung für Azure Multi-Factor Authentication

App-KennwörterApp passwords

Einige Anwendungen wie Office 2010 oder frühere Versionen und Apple Mail vor iOS 11unterstützen die zweistufige Überprüfung nicht.Some applications, like Office 2010 or earlier and Apple Mail before iOS 11, don't support two-step verification. Diese Anwendungen sind nicht für die Annahme einer zweiten Überprüfung konfiguriert.The apps aren't configured to accept a second verification. Um diese Anwendungen zu verwenden, können Sie das Feature für App-Kennwörter nutzen.To use these applications, take advantage of the app passwords feature. Sie können anstelle des herkömmlichen Kennworts ein App-Kennwort verwenden, sodass eine Anwendung die zweistufige Überprüfung umgehen und weiter ausgeführt werden kann.You can use an app password in place of your traditional password to allow an app to bypass two-step verification and continue working.

Die moderne Authentifizierung für Microsoft Office 2013-Clients und neuere Clients wird unterstützt.Modern authentication is supported for the Microsoft Office 2013 clients and later. Office 2013-Clients (einschließlich Outlook) unterstützen moderne Authentifizierungsprotokolle und können für die zweistufige Überprüfung aktiviert werden.Office 2013 clients including Outlook, support modern authentication protocols and can be enabled to work with two-step verification. Nach der Aktivierung sind für diese Clients keine App-Kennwörter erforderlich.After the client is enabled, app passwords aren't required for the client.

Hinweis

App-Kennwörter funktionieren nicht mit auf bedingtem Zugriff basierenden Multi-Factor Authentication-Richtlinien und moderner Authentifizierung.App passwords do not work with Conditional Access based multi-factor authentication policies and modern authentication.

Informationen zu App-KennwörternConsiderations about app passwords

Bei der Verwendung von App-Kennwörtern sollten die folgenden wichtigen Punkte beachtet werden:When using app passwords, consider the following important points:

  • App-Kennwörter werden pro Anwendung nur einmal eingegeben.App passwords are only entered once per application. So müssen sich Benutzer Kennwörter nicht merken und jedes Mal erneut eingeben.Users don't have to keep track of the passwords or enter them every time.
  • Das eigentliche Kennwort wird automatisch erzeugt und nicht vom Benutzer festgelegt.The actual password is automatically generated and is not supplied by the user. Automatisch generierte Kennwörter sind sicherer und für einen Angreifer schwerer zu erraten.The automatically generated password is harder for an attacker to guess and is more secure.
  • Pro Benutzer können maximal 40 Kennwörter festgelegt werden.There is a limit of 40 passwords per user.
  • Bei Anwendungen, die Kennwörter zwischenspeichern und in lokalen Szenarien nutzen, können Fehler auftreten, da das App-Kennwort außerhalb des Geschäfts-, Schul- oder Unikontos nicht bekannt ist.Applications that cache passwords and use them in on-premises scenarios can start to fail because the app password isn't known outside the work or school account. Ein Beispiel dafür sind Exchange-E-Mails, die lokal vorhanden sind, bei denen sich die archivierten Nachrichten jedoch in der Cloud befinden.An example of this scenario is Exchange emails that are on-premises, but the archived mail is in the cloud. Das gleiche Kennwort funktioniert in diesem Fall nicht.In this scenario, the same password doesn't work.
  • Nachdem Multi-Factor Authentication für ein Benutzerkonto aktiviert wurde, können für die meisten Nicht-Browserclients, z.B. Outlook oder Microsoft Skype for Business, App-Kennwörter verwendet werden.After Multi-Factor Authentication is enabled on a user's account, app passwords can be used with most non-browser clients like Outlook and Microsoft Skype for Business. Administrative Aufgaben können über Nicht-Browseranwendungen wie z.B. Windows PowerShell nicht mit App-Kennwörtern durchgeführt werden.Administrative actions can't be performed by using app passwords through non-browser applications, such as Windows PowerShell. Die Aufgaben können selbst dann nicht durchgeführt werden, wenn der betreffende Benutzer über ein administratives Konto verfügt.The actions can't be performed even when the user has an administrative account. Erstellen Sie zum Ausführen von PowerShell-Skripts ein Dienstkonto mit einem sicheren Kennwort, und aktivieren Sie für das Konto nicht die zweistufige Überprüfung.To run PowerShell scripts, create a service account with a strong password and don't enable the account for two-step verification.

Warnung

App-Kennwörter funktionieren nicht in Hybridumgebungen, in denen Clients sowohl mit lokalen AutoErmittlung-Endpunkten als auch mit solchen in der Cloud kommunizieren.App passwords don't work in hybrid environments where clients communicate with both on-premises and cloud auto-discover endpoints. Für die lokale Authentifizierung werden Domänenkennwörter benötigt.Domain passwords are required to authenticate on-premises. Für die Authentifizierung in der Cloud sind App-Kennwörter erforderlich.App passwords are required to authenticate with the cloud.

Richtlinien für die Benennung von App-KennwörternGuidance for app password names

Die Namen der App-Kennwörter sollten auf das Gerät hinweisen, auf dem sie verwendet werden.App password names should reflect the device on which they're used. Für einen Laptop, der über Nicht-Browseranwendungen wie Outlook, Word und Excel verfügt, erstellen Sie ein App-Kennwort mit dem Namen Laptop für diese Anwendungen.If you have a laptop that has non-browser applications like Outlook, Word, and Excel, create one app password named Laptop for these apps. Erstellen Sie ein weiteres App-Kennwort namens Desktop für die gleichen auf dem Desktopcomputer ausgeführten Anwendungen.Create another app password named Desktop for the same applications that run on your desktop computer.

Hinweis

Es empfiehlt sich, Sie jeweils ein App-Kennwort pro Gerät (und nicht pro Anwendung) zu erstellen.We recommend that you create one app password per device, rather than one app password per application.

App-Kennwörter im Verbund oder mit einmaligem AnmeldenFederated or single sign-on app passwords

Azure AD unterstützt den Verbund oder das einmalige Anmelden (SSO) mit lokalen Windows Server Active Directory Domain Services (AD DS).Azure AD supports federation, or single sign-on (SSO), with on-premises Windows Server Active Directory Domain Services (AD DS). Wenn Ihre Organisation im Verbund mit Azure AD besteht und Sie Azure Multi-Factor Authentication verwenden, sind die folgenden Punkte zu App-Kennwörtern zu beachten.If your organization is federated with Azure AD and you're using Azure Multi-Factor Authentication, consider the following points about app passwords.

Hinweis

Die folgenden Punkte gelten nur für Verbundkunden (SSO).The following points apply only to federated (SSO) customers.

  • App-Kennwörter werden von Azure AD überprüft, sodass der Verbund umgangen wird.App passwords are verified by Azure AD, and therefore, bypass federation. Der Verbund wird nur beim Einrichten von App-Kennwörtern aktiv verwendet.Federation is actively used only when setting up app passwords.

  • Im Gegensatz zum passiven Ablauf erfolgt für Verbundbenutzer (SSO) keine Kontaktaufnahme mit dem Identitätsanbieter (Identity Provider, IdP).The Identity Provider (IdP) is not contacted for federated (SSO) users, unlike the passive flow. Die App-Kennwörter werden im Geschäfts-, Schul- oder Unikonto gespeichert.The app passwords are stored in the work or school account. Wenn ein Benutzer das Unternehmen verlässt, werden die Benutzerinformationen mithilfe von DirSync in Echtzeit in das Geschäfts-, Schul- oder Unikonto übertragen.If a user leaves the company, the user's information flows to the work or school account by using DirSync in real time. Die Synchronisierung nach dem Deaktivieren oder Löschen des Kontos kann bis zu drei Stunden dauern, sodass das Deaktivieren bzw. Löschen des App-Kennworts in Azure AD sich verzögern kann.The disable/deletion of the account can take up to three hours to synchronize, which can delay the disable/deletion of the app password in Azure AD.

  • Lokale Einstellungen für die Clientzugriffssteuerung werden vom Feature für App-Kennwörter nicht berücksichtigt.On-premises client Access Control settings aren't honored by the app passwords feature.

  • Zur Verwendung des Features für App-Kennwörter ist keine lokale Funktion zur Protokollierung oder Überwachung der Authentifizierung verfügbar.No on-premises authentication logging/auditing capability is available for use with the app passwords feature.

  • In bestimmten erweiterten Architekturen ist für die zweistufige Überprüfung mit Clients eine Kombination aus Anmeldeinformationen erforderlich.Some advanced architectures require a combination of credentials for two-step verification with clients. Diese Anmeldeinformationen können den Benutzernamen und Kennwörter eines Geschäfts-, Schul- oder Unikontos und App-Kennwörter umfassen.These credentials can include a work or school account username and passwords, and app passwords. Die jeweiligen Anforderungen hängen davon ab, wie die Authentifizierung durchgeführt wird.The requirements depend on how the authentication is performed. Bei Clients, die sich bei einer lokalen Infrastruktur authentifizieren, sind der Benutzername und das Kennwort eines Geschäfts-, Schul- oder Unikontos erforderlich.For clients that authenticate against an on-premises infrastructure, a work or school account username and password a required. Für Clients, die sich bei Azure AD authentifizieren, wird ein App-Kennwort benötigt.For clients that authenticate against Azure AD, an app password is required.

    Angenommen, Sie verfügen über die folgende Architektur:For example, suppose you have the following architecture:

    • Ihre lokale Instanz von Active Directory bildet einen Verbund mit Azure AD.Your on-premises instance of Active Directory is federated with Azure AD.
    • Sie verwenden Exchange Online.You're using Exchange online.
    • Sie verwenden Skype for Business lokal.You're using Skype for Business on-premises.
    • Sie verwenden Azure Multi-Factor Authentication.You're using Azure Multi-Factor Authentication.

    In diesem Szenario verwenden Sie die folgenden Anmeldeinformationen:In this scenario, you use the following credentials:

    • Verwenden Sie für die Anmeldung bei Skype for Business den Benutzernamen und das Kennwort für Ihr Geschäfts-, Schul- oder Unikonto.To sign in to Skype for Business, use your work or school account username and password.
    • Verwenden Sie ein App-Kennwort für den Zugriff auf das Adressbuch über einen Outlook-Client, der die Verbindung mit Exchange Online herstellt.To access the address book from an Outlook client that connects to Exchange online, use an app password.

Zulassen der Erstellung von App-Kennwörtern durch BenutzerAllow users to create app passwords

Standardmäßig können Benutzer keine App-Kennwörter erstellen.By default, users can't create app passwords. Das Feature für App-Kennwörter muss aktiviert werden.The app passwords feature must be enabled. Gehen Sie wie folgt vor, um Benutzern die Erstellung von App-Kennwörtern zu ermöglichen:To give users the ability to create app passwords, use the following procedure:

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Wählen Sie im linken Bereich Azure Active Directory > Benutzer aus.On the left, select Azure Active Directory > Users.
  3. Wählen Sie Multi-Factor Authentication aus.Select Multi-Factor Authentication.
  4. Klicken Sie unter „Multi-Factor Authentication“ auf Diensteinstellungen.Under Multi-Factor Authentication, select service settings.
  5. Wählen Sie auf der Seite Diensteinstellungen die Option Benutzern das Erstellen von App-Kennwörtern zum Anmelden bei nicht browserbasierten Apps gestatten aus.On the Service Settings page, select the Allow users to create app passwords to sign in to non-browser apps option.

Erstellen von App-KennwörterCreate app passwords

Benutzer können App-Kennwörter während ihrer ersten Registrierung erstellen.Users can create app passwords during their initial registration. Am Ende des Registrierungsvorgangs haben Benutzer die Möglichkeit, App-Kennwörter zu erstellen.The user has the option to create app passwords at the end of the registration process.

Benutzer können auch App-Kennwörter nach der Registrierung erstellen.Users can also create app passwords after registration. Weitere Informationen und detaillierte Schritte für Ihre Benutzer finden Sie unter Welchen Zweck erfüllen App-Kennwörter bei Azure Multi-Factor Authentication?For more information and detailed steps for your users, see What are app passwords in Azure Multi-Factor Authentication?

Vertrauenswürdige IP-AdressenTrusted IPs

Das Feature Vertrauenswürdige IPs von Azure Multi-Factor Authentication wird von Administratoren eines verwalteten Mandanten oder Verbundmandanten verwendet.The Trusted IPs feature of Azure Multi-Factor Authentication is used by administrators of a managed or federated tenant. Mit dem Feature wird die zweistufige Überprüfung für Benutzer umgangen, die sich über das Intranet des Unternehmens anmelden.The feature bypasses two-step verification for users who sign in from the company intranet. Das Feature ist in der Vollversion von Azure Multi-Factor Authentication, aber nicht in der kostenlosen Version für Administratoren verfügbar.The feature is available with the full version of Azure Multi-Factor Authentication, and not the free version for administrators. Weitere Informationen zum Beziehen der Vollversion von Azure Multi-Factor Authentication finden Sie unter Azure Multi-Factor Authentication.For details on how to get the full version of Azure Multi-Factor Authentication, see Azure Multi-Factor Authentication.

Hinweis

Für MFA vertrauenswürdige IPs und benannte Orte mit bedingtem Zugriff funktionieren nur mit IPV4-Adressen.MFA trusted IPs and Conditional Access named locations only work with IPV4 addresses.

Wenn Ihre Organisation die NPS-Erweiterung bereitstellt, um MFA für lokale Anwendungen bereitzustellen, beachten Sie, dass als Quell-IP-Adresse immer die des NPS-Servers angezeigt wird, über den der Authentifizierungsversuch verläuft.If your organization deploys the NPS extension to provide MFA to on-premises applications note the source IP address will always appear to be the NPS server the authentication attempt flows through.

Azure AD-MandantentypAzure AD tenant type Optionen des Features „Vertrauenswürdige IPs“Trusted IPs feature options
VerwaltetManaged Bestimmter Bereich von IP-Adressen: Administratoren geben einen Bereich von IP-Adressen an, die die zweistufige Überprüfung für Benutzer, die sich über das Intranet des Unternehmens anmelden, umgehen können.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet. Es können maximal 50 vertrauenswürdige IP-Adressbereiche konfiguriert werden.A maximum of 50 Trusted IP ranges can be configured.
Im VerbundFederated Alle Verbundbenutzer: Alle Verbundbenutzer, die sich von innerhalb der Organisation aus anmelden, können die zweistufige Überprüfung umgehen.All Federated Users: All federated users who sign in from inside of the organization can bypass two-step verification. Die Benutzer umgehen die Überprüfung mithilfe eines durch Active Directory-Verbunddienste (AD FS) ausgestellten Anspruchs.The users bypass verification by using a claim that is issued by Active Directory Federation Services (AD FS).
Bestimmter Bereich von IP-Adressen: Administratoren geben einen Bereich von IP-Adressen an, die die zweistufige Überprüfung für Benutzer, die sich über das Intranet des Unternehmens anmelden, umgehen können.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet.

Die Umgehung über vertrauenswürdige IPs funktioniert nur innerhalb des Intranets eines Unternehmens.The Trusted IPs bypass works only from inside of the company intranet. Wenn Sie die Option Alle Verbundbenutzer ausgewählt haben und sich ein Benutzer von außerhalb des Unternehmensintranets anmeldet, muss sich der Benutzer mit der zweistufigen Überprüfung authentifizieren.If you select the All Federated Users option and a user signs in from outside the company intranet, the user has to authenticate by using two-step verification. Dies ist auch der Fall, wenn der Benutzer einen AD FS-Anspruch vorweisen kann.The process is the same even if the user presents an AD FS claim.

Endbenutzererfahrung innerhalb des UnternehmensnetzwerksEnd-user experience inside of corpnet

Wenn das Feature „Vertrauenswürdige IPs“ deaktiviert ist, ist die zweistufige Überprüfung für Browserabläufe erforderlich.When the Trusted IPs feature is disabled, two-step verification is required for browser flows. Für ältere Rich Client-Anwendungen werden App-Kennwörter benötigt.App passwords are required for older rich client applications.

Wenn das Feature „Vertrauenswürdige IPs“ aktiviert ist, ist die zweistufige Überprüfung für Browserabläufe nicht erforderlich.When the Trusted IPs feature is enabled, two-step verification is not required for browser flows. App-Kennwörter sind für ältere Rich Client-Anwendungen nicht erforderlich, sofern der Benutzer nicht bereits ein App-Kennwort erstellt hat.App passwords are not required for older rich client applications, provided that the user hasn't created an app password. Sobald ein App-Kennwort verwendet wird, ist es erforderlich.After an app password is in use, the password remains required.

Endbenutzererfahrung außerhalb des UnternehmensnetzwerksEnd-user experience outside corpnet

Unabhängig davon, ob das Feature „Vertrauenswürdige IPs“ aktiviert ist, ist die zweistufige Überprüfung für Browserabläufe erforderlich.Regardless of whether the Trusted IPs feature is enabled, two-step verification is required for browser flows. Für ältere Rich Client-Anwendungen werden App-Kennwörter benötigt.App passwords are required for older rich client applications.

Aktivieren benannter Orte mit bedingtem ZugriffEnable named locations by using Conditional Access

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Wählen Sie auf der linken Seite die Optionen Azure Active Directory > Sicherheit > Bedingter Zugriff > Benannte Orte aus.On the left, select Azure Active Directory > Security > Conditional Access > Named locations.
  3. Wählen Sie Neuer Ort aus.Select New location.
  4. Geben Sie einen Namen für den Standort ein.Enter a name for the location.
  5. Wählen Sie Als vertrauenswürdigen Standort markieren aus.Select Mark as trusted location.
  6. Geben Sie den IP-Adressbereich in CIDR-Notation (z.B. 192.168.1.1/24) ein.Enter the IP Range in CIDR notation like 192.168.1.1/24.
  7. Klicken Sie auf Erstellen.Select Create.

Aktivieren des Features „Vertrauenswürdige IPs“ mit bedingtem ZugriffEnable the Trusted IPs feature by using Conditional Access

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Wählen Sie auf der linken Seite die Optionen Azure Active Directory > Sicherheit > Bedingter Zugriff > Benannte Orte aus.On the left, select Azure Active Directory > Security > Conditional Access > Named locations.

  3. Wählen Sie Durch MFA bestätigte IPs konfigurieren aus.Select Configure MFA trusted IPs.

  4. Wählen Sie auf der Seite Diensteinstellungen unter Vertrauenswürdige IPs eine der folgenden beiden Optionen aus:On the Service Settings page, under Trusted IPs, choose from any of the following two options:

    • Für Anforderungen von Verbundbenutzern, die aus meinem Intranet stammen: Aktivieren Sie das Kontrollkästchen, um diese Option auszuwählen.For requests from federated users originating from my intranet: To choose this option, select the check box. Alle Verbundbenutzer, die sich vom Unternehmensnetzwerk aus anmelden, umgehen die zweistufige Überprüfung mithilfe eines von AD FS ausgestellten Anspruchs.All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. Stellen Sie sicher, dass AD FS über eine Regel zum Hinzufügen des Intranetanspruchs zum entsprechenden Datenverkehr verfügt.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Wenn die Regel nicht vorhanden ist, erstellen Sie die folgende Regel in AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Für Anforderungen aus einem bestimmten Bereich öffentlicher IPs: Geben Sie zum Auswählen dieser Option die IP-Adressen in der CIDR-Notation im Textfeld ein.For requests from a specific range of public IPs: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Verwenden Sie für IP-Adressen im Bereich xxx.xxx.xxx.1 bis xxx.xxx.xxx.254 die Notation xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Verwenden Sie für eine einzelne IP-Adresse die Notation xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Sie können bis zu 50 IP-Adressbereiche eingeben.Enter up to 50 IP address ranges. Benutzer, die sich über diese IP-Adressen anmelden, umgehen die zweistufige Überprüfung.Users who sign in from these IP addresses bypass two-step verification.
  5. Wählen Sie Speichern aus.Select Save.

Aktivieren des Features „Vertrauenswürdige IPs“ mit DiensteinstellungenEnable the Trusted IPs feature by using service settings

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Wählen Sie im linken Bereich Azure Active Directory > Benutzer aus.On the left, select Azure Active Directory > Users.

  3. Wählen Sie Multi-Factor Authentication aus.Select Multi-Factor Authentication.

  4. Klicken Sie unter „Multi-Factor Authentication“ auf Diensteinstellungen.Under Multi-Factor Authentication, select service settings.

  5. Wählen Sie auf der Seite Diensteinstellungen unter Vertrauenswürdige IPs eine (oder beide) der folgenden zwei Optionen aus:On the Service Settings page, under Trusted IPs, choose one (or both) of the following two options:

    • Für Anforderungen von Verbundbenutzern in meinem Intranet: Aktivieren Sie das Kontrollkästchen, um diese Option auszuwählen.For requests from federated users on my intranet: To choose this option, select the check box. Alle Verbundbenutzer, die sich vom Unternehmensnetzwerk aus anmelden, umgehen die zweistufige Überprüfung mithilfe eines von AD FS ausgestellten Anspruchs.All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. Stellen Sie sicher, dass AD FS über eine Regel zum Hinzufügen des Intranetanspruchs zum entsprechenden Datenverkehr verfügt.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Wenn die Regel nicht vorhanden ist, erstellen Sie die folgende Regel in AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Für Anforderungen aus einem angegebenen Bereich von IP-Adresssubnetzen: Geben Sie zum Auswählen dieser Option die IP-Adressen in der CIDR-Notation im Textfeld ein.For requests from a specified range of IP address subnets: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Verwenden Sie für IP-Adressen im Bereich xxx.xxx.xxx.1 bis xxx.xxx.xxx.254 die Notation xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Verwenden Sie für eine einzelne IP-Adresse die Notation xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Sie können bis zu 50 IP-Adressbereiche eingeben.Enter up to 50 IP address ranges. Benutzer, die sich über diese IP-Adressen anmelden, umgehen die zweistufige Überprüfung.Users who sign in from these IP addresses bypass two-step verification.
  6. Wählen Sie Speichern aus.Select Save.

ÜberprüfungsmethodenVerification methods

Sie können auswählen, welche Überprüfungsmethoden für Ihre Benutzer verfügbar sind.You can choose the verification methods that are available for your users. In der folgenden Tabelle finden Sie eine kurze Übersicht über die einzelnen Methoden.The following table provides a brief overview of the methods.

Wenn Ihre Benutzer ihre Konten für Azure Multi-Factor Authentication registrieren, wählen sie ihre bevorzugte Überprüfungsmethode aus den Optionen aus, die Sie aktiviert haben.When your users enroll their accounts for Azure Multi-Factor Authentication, they choose their preferred verification method from the options that you have enabled. Anleitungen zum Benutzerregistrierungsprozess finden Sie unter Einrichten meines Kontos für die zweistufige Überprüfung.Guidance for the user enrollment process is provided in Set up my account for two-step verification.

MethodeMethod BESCHREIBUNGDescription
Auf Telefon anrufenCall to phone Startet einen automatisierten Sprachanruf.Places an automated voice call. Der Benutzer nimmt den Anruf an und drückt die #-Taste auf der Telefontastatur, um sich zu authentifizieren.The user answers the call and presses # in the phone keypad to authenticate. Die Telefonnummer wird nicht mit dem lokalen Active Directory synchronisiert.The phone number is not synchronized to on-premises Active Directory.
Textnachricht an TelefonText message to phone Sendet eine Textnachricht mit einem Überprüfungscode.Sends a text message that contains a verification code. Der Benutzer wird über die Anmeldeoberfläche zur Eingabe des Prüfcodes aufgefordert.The user is prompted to enter the verification code into the sign-in interface. Dieser Vorgang wird als „unidirektionale SMS“ bezeichnet.This process is called one-way SMS. Bei einer bidirektionalen SMS muss der Benutzer einen bestimmten Code per SMS zurücksenden.Two-way SMS means that the user must text back a particular code. Die Funktion für bidirektionale SMS ist veraltet und wird ab dem 14. November 2018 nicht mehr unterstützt.Two-way SMS is deprecated and not supported after November 14, 2018. Benutzer, die für die Verwendung bidirektionaler SMS konfiguriert sind, werden dann automatisch auf die Überprüfungsoption Auf Telefon anrufen umgestellt.Users who are configured for two-way SMS are automatically switched to call to phone verification at that time.
Benachrichtigung über mobile AppNotification through mobile app Sendet eine Pushbenachrichtigung an Ihr Telefon oder registriertes Gerät.Sends a push notification to your phone or registered device. Der Benutzer zeigt die Benachrichtigung an und wählt Überprüfen, um die Überprüfung abzuschließen.The user views the notification and selects Verify to complete verification. Die Microsoft Authenticator-App ist für Windows Phone, Android und iOS verfügbar.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.
Prüfcode aus mobiler App oder HardwaretokenVerification code from mobile app or hardware token Die Microsoft Authenticator-App generiert alle 30 Sekunden einen neuen OATH-Überprüfungscode.The Microsoft Authenticator app generates a new OATH verification code every 30 seconds. Der Benutzer gibt den Überprüfungscode auf der Anmeldeoberfläche ein.The user enters the verification code into the sign-in interface. Die Microsoft Authenticator-App ist für Windows Phone, Android und iOS verfügbar.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.

Aktivieren und Deaktivieren von ÜberprüfungsmethodenEnable and disable verification methods

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Wählen Sie im linken Bereich Azure Active Directory > Benutzer aus.On the left, select Azure Active Directory > Users.
  3. Wählen Sie Multi-Factor Authentication aus.Select Multi-Factor Authentication.
  4. Klicken Sie unter „Multi-Factor Authentication“ auf Diensteinstellungen.Under Multi-Factor Authentication, select service settings.
  5. Aktivieren oder deaktivieren Sie auf der Seite Diensteinstellungen unter Überprüfungsoptionen die Methoden, die den Benutzern zur Verfügung gestellt werden.On the Service Settings page, under verification options, select/unselect the methods to provide to your users.
  6. Klicken Sie auf Speichern.Click Save.

Weitere Informationen zur Verwendung von Authentifizierungsmethoden und finden Sie im Artikel Was sind Authentifizierungsmethoden?.Additional details about the use of authentication methods can be found in the article What are authentication methods.

Speichern der Multi-Factor AuthenticationRemember Multi-Factor Authentication

Das Feature Multi-Factor Authentication speichern für Geräte und Browser, die Benutzer als vertrauenswürdig einstufen, ist ein kostenloses Feature für alle Benutzer von Multi-Factor Authentication.The remember Multi-Factor Authentication feature for devices and browsers that are trusted by the user is a free feature for all Multi-Factor Authentication users. Benutzer können nachfolgende Überprüfungen für eine angegebene Anzahl von Tagen umgehen, nachdem sie sich mithilfe von Multi-Factor Authentication erfolgreich bei einem Gerät angemeldet haben.Users can bypass subsequent verifications for a specified number of days, after they've successfully signed-in to a device by using Multi-Factor Authentication. Bei Verwendung dieses Features wird die Benutzerfreundlichkeit verbessert, indem der Benutzer auf einem Gerät seltener eine zweistufige Überprüfung durchführen muss.The feature enhances usability by minimizing the number of times a user has to perform two-step verification on the same device.

Wichtig

Wenn ein Konto oder Gerät gefährdet ist, kann das Speichern von Multi-Factor Authentication für vertrauenswürdige Geräte die Sicherheit beeinträchtigen.If an account or device is compromised, remembering Multi-Factor Authentication for trusted devices can affect security. Wenn ein Unternehmenskonto kompromittiert oder ein vertrauenswürdiges Gerät verloren geht oder gestohlen wird, sollten Sie MFA-Sitzungen widerrufen.If a corporate account becomes compromised or a trusted device is lost or stolen, you should Revoke MFA Sessions.

Durch die Wiederherstellungsaktion wird der vertrauenswürdige Status aller Geräte widerrufen, und der Benutzer muss wieder die zweistufige Überprüfung ausführen.The restore action revokes the trusted status from all devices, and the user is required to perform two-step verification again. Sie können Ihre Benutzer auch anweisen, Multi-Factor Authentication auf ihren eigenen Geräten anhand der Anweisungen unter Verwalten der Einstellungen für die zweistufige Überprüfung wiederherzustellen.You can also instruct your users to restore Multi-Factor Authentication on their own devices with the instructions in Manage your settings for two-step verification.

Funktionsweise des FeaturesHow the feature works

Durch das Feature „Multi-Factor Authentication speichern“ wird ein permanentes Cookie im Browser festgelegt, wenn ein Benutzer die Option Die nächsten X Tage nicht erneut fragen auswählt.The remember Multi-Factor Authentication feature sets a persistent cookie on the browser when a user selects the Don't ask again for X days option at sign-in. Der Benutzer wird von diesem Browser bis zum Ablauf des Cookies nicht erneut zur Multi-Factor Authentication aufgefordert.The user isn't prompted again for Multi-Factor Authentication from that same browser until the cookie expires. Wenn der Benutzer einen anderen Browser auf dem gleichen Gerät öffnet oder seine Cookies löscht, wird er wieder zur Überprüfung aufgefordert.If the user opens a different browser on the same device or clears their cookies, they're prompted again to verify.

Die Option Die nächsten X Tage nicht erneut fragen wird in Nicht-Browseranwendungen nicht angezeigt, unabhängig davon, ob diese die moderne Authentifizierung unterstützen.The Don't ask again for X days option isn't shown on non-browser applications, regardless of whether the app supports modern authentication. Diese Apps verwenden Aktualisierungstoken, die jede Stunde neue Zugriffstoken bereitstellen.These apps use refresh tokens that provide new access tokens every hour. Bei der Überprüfung eines Aktualisierungstokens überprüft Azure AD, ob die letzte zweistufige Überprüfung innerhalb der angegebenen Anzahl von Tagen durchgeführt wurde.When a refresh token is validated, Azure AD checks that the last two-step verification occurred within the specified number of days.

Mit dem Feature reduziert sich die Anzahl der Authentifizierungen für Web-Apps, die normalerweise jedes Mal dazu auffordern.The feature reduces the number of authentications on web apps, which normally prompt every time. Das Feature erhöht die Anzahl der Authentifizierungen für Clients mit moderner Authentifizierung, die normalerweise alle 90 Tage zur Authentifizierung auffordern.The feature increases the number of authentications for modern authentication clients that normally prompt every 90 days. Die Anzahl der Authentifizierungen kann sich auch erhöhen, wenn mit bedingten Zugriffsrichtlinien kombiniert wird.May also increase the number of authentications when combined with Conditional Access policies.

Wichtig

Die Funktion Multi-Factor Authentication speichern ist nicht kompatibel mit dem AD FS-Feature Angemeldet bleiben, bei dem Benutzer die zweistufige Überprüfung für AD FS über Azure Multi-Factor Authentication Server oder eine Lösung zur mehrstufigen Authentifizierung von Drittanbietern ausführen.The remember Multi-Factor Authentication feature is not compatible with the keep me signed in feature of AD FS, when users perform two-step verification for AD FS through Azure Multi-Factor Authentication Server or a third-party multi-factor authentication solution.

Wenn Ihre Benutzer in AD FS Angemeldet bleiben auswählen und ihr Gerät außerdem als für Multi-Factor Authentication vertrauenswürdig markieren, werden sie nach Ablauf der Anzahl von Tagen, die unter Multi-Factor Authentication speichern angegeben wurde, nicht automatisch überprüft.If your users select keep me signed in on AD FS and also mark their device as trusted for Multi-Factor Authentication, the user isn't automatically verified after the remember multi-factor authentication number of days expires. Azure AD fordert eine neue zweistufige Überprüfung an, aber AD FS gibt ein Token mit dem ursprünglichen Multi-Factor Authentication-Anspruch und Datum zurück, statt die zweistufige Überprüfung erneut durchzuführen.Azure AD requests a fresh two-step verification, but AD FS returns a token with the original Multi-Factor Authentication claim and date, rather than performing two-step verification again. Durch diese Reaktion entsteht eine Schleife bei der Überprüfung zwischen Azure AD und AD FS.This reaction sets off a verification loop between Azure AD and AD FS.

Das Feature Multi-Factor Authentication speichern ist nicht mit B2B-Benutzern kompatibel und wird B2B-Benutzer nicht angezeigt, wenn sie sich bei den eingeladenen Mandanten anmelden.The remember Multi-Factor Authentication feature is not compatible with B2B users and will not be visible for B2B users when signing into the invited tenants.

Aktivieren der Speicherung von Multi-Factor AuthenticationEnable remember Multi-Factor Authentication

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Wählen Sie im linken Bereich Azure Active Directory > Benutzer aus.On the left, select Azure Active Directory > Users.
  3. Wählen Sie Multi-Factor Authentication aus.Select Multi-Factor Authentication.
  4. Klicken Sie unter „Multi-Factor Authentication“ auf Diensteinstellungen.Under Multi-Factor Authentication, select service settings.
  5. Wählen Sie auf der Seite Diensteinstellungen unter Multi-Factor Authentication speichern die Option Benutzern das Speichern der mehrstufigen Authentifizierung auf vertrauenswürdigen Geräten ermöglichen aus.On the Service Settings page, manage remember multi-factor authentication, select the Allow users to remember multi-factor authentication on devices they trust option.
  6. Legen Sie fest, für wie viele Tage die vertrauenswürdigen Geräte die zweistufige Überprüfung umgehen können.Set the number of days to allow trusted devices to bypass two-step verification. Der Standardwert ist 14 Tage.The default is 14 days.
  7. Wählen Sie Speichern aus.Select Save.

Markieren eines Geräts als vertrauenswürdigMark a device as trusted

Nachdem Sie das Feature „Multi-Factor Authentication speichern“ aktiviert haben, können Benutzer bei der Anmeldung ein Gerät als vertrauenswürdig markieren, indem sie Nicht erneut nachfragen auswählen.After you enable the remember Multi-Factor Authentication feature, users can mark a device as trusted when they sign in by selecting Don't ask again.

Nächste SchritteNext steps

Ändern des Brandings der Azure AD-AnmeldeseiteModify Azure AD sign-in page branding