Konfigurieren von Azure Multi-Factor Authentication-EinstellungenConfigure Azure Multi-Factor Authentication settings

Zum Anpassen der Endbenutzerfunktionen für Azure Multi-Factor Authentication können Sie Optionen für Einstellungen wie die Schwellenwerte für die Kontosperrung oder Betrugswarnungen und -benachrichtigungen konfigurieren.To customize the end-user experience for Azure Multi-Factor Authentication, you can configure options for settings like the account lockout thresholds or fraud alerts and notifications. Einige Einstellungen befinden sich direkt im Azure-Portal für Azure Active Directory, während sich einige andere Einstellungen in einem separaten Portal für Azure Multi-Factor Authentication (Azure MFA) befinden.Some settings are directly in the Azure portal for Azure Active Directory (Azure AD), and some in a separate Azure Multi-Factor Authentication portal.]

Die folgenden Azure MFA-Einstellungen sind im Azure-Portal verfügbar:The following Azure Multi-Factor Authentication settings are available in the Azure portal:

FunktionFeature BESCHREIBUNGDescription
KontosperrungAccount lockout Hiermit werden Konten vorübergehend für die Verwendung von Azure MFA gesperrt, wenn zu viele aufeinanderfolgende Authentifizierungsversuche abgelehnt werden.Temporarily lock accounts from using Azure Multi-Factor Authentication if there are too many denied authentication attempts in a row. Dieses Feature wird nur auf Benutzer angewendet, die zur Authentifizierung eine PIN eingeben.This feature only applies to users who enter a PIN to authenticate. (MFA-Server)(MFA Server)
Benutzer sperren/zulassenBlock/unblock users Hiermit werden spezifische Benutzer daran gehindert, Azure MFA-Anforderungen zu empfangen.Block specific users from being able to receive Azure Multi-Factor Authentication requests. Authentifizierungsversuche für gesperrte Benutzer werden automatisch abgelehnt.Any authentication attempts for blocked users are automatically denied. Benutzer bleiben ab dem Zeitpunkt der Sperrung 90 Tage lang gesperrt, es sei denn, sie werden manuell entsperrt.Users remain blocked for 90 days from the time that they are blocked or they're manually unblocked.
BetrugswarnungFraud alert Hiermit können Einstellungen konfiguriert werden, die es Benutzern ermöglichen, betrügerische Identitätsprüfungsanforderungen zu melden.Configure settings that allow users to report fraudulent verification requests.
BenachrichtigungenNotifications Aktivieren Sie Benachrichtigungen für Ereignisse vom MFA-Server.Enable notifications of events from MFA Server.
OATH-TokenOATH tokens Wird in Cloud-basierten Azure MFA-Umgebungen verwendet, um OATH-Token für Benutzer zu verwalten.Used in cloud-based Azure MFA environments to manage OATH tokens for users.
Einstellungen für TelefonanrufPhone call settings Konfigurieren Sie Einstellungen für Telefonanrufe und Ansagen für Cloud- und lokale Umgebungen.Configure settings related to phone calls and greetings for cloud and on-premises environments.
AnbieterProviders Hier werden alle vorhandenen Authentifizierungsanbieter angezeigt, die Sie möglicherweise mit Ihrem Konto verknüpft haben.This will show any existing authentication providers that you may have associated with your account. Neue Authentifizierungsanbieter können ab 1. September 2018 nicht mehr erstellt werden.New authentication providers may not be created as of September 1, 2018

Azure-Portal – Einstellungen für Azure AD Multi-Factor Authentication

KontosperrungAccount lockout

Mithilfe der Kontosperreinstellungen können Sie festlegen, wie viele fehlgeschlagene Versuche zugelassen werden, bevor das Konto vorübergehend gesperrt wird, um wiederholte MFA-Versuche im Rahmen eines Angriffs zu verhindern.To prevent repeated MFA attempts as part of an attack, the account lockout settings let you specify how many failed attempts to allow before the account becomes locked out for a period of time. Die Kontosperreinstellungen werden nur angewendet, wenn ein PIN-Code für die MFA-Eingabeaufforderung eingegeben wird.The account lockout settings are only applied when a pin code is entered for the MFA prompt.

Die folgenden Einstellungen sind verfügbar:The following settings are available:

  • Anzahl von MFA-Verweigerungen zum Auslösen einer KontosperrungNumber of MFA denials to trigger account lockout
  • Zeitraum in Minuten, bis der Zähler für die Kontosperrung zurückgesetzt wirdMinutes until account lockout counter is reset
  • Zeitraum in Minuten, bis das Konto automatisch entsperrt wirdMinutes until account is automatically unblocked

Nehmen Sie die Einstellungen vor, um die Kontosperreinstellungen zu konfigurieren:To configure account lockout settings, complete the following settings:

  1. Melden Sie sich beim Azure-Portal als Administrator an.Sign in to the Azure portal as an administrator.

  2. Navigieren Sie zu Azure Active Directory > Sicherheit > MFA > Kontosperrung.Browse to Azure Active Directory > Security > MFA > Account lockout.

  3. Geben Sie die erforderlichen Werte für Ihre Umgebung ein, und klicken Sie dann auf Speichern.Enter the require values for your environment, then select Save.

    Screenshot: Kontosperreinstellungen im Azure-Portal

Benutzer sperren/zulassenBlock and unblock users

Wenn das Gerät eines Benutzers verloren geht oder gestohlen wird, können Sie Authentifizierungsversuche für das zugeordnete Konto blockieren.If a user's device has been lost or stolen, you can block authentication attempts for the associated account. Authentifizierungsversuche für gesperrte Benutzer werden automatisch abgelehnt.Any authentication attempts for blocked users are automatically denied. Benutzer bleiben ab dem Zeitpunkt der Sperrung 90 Tage lang gesperrt.Users remain blocked for 90 days from the time that they are blocked.

Sperren eines BenutzersBlock a user

Führen Sie die folgenden Schritte aus, um einen Benutzer zu sperren:To block a user, complete the following steps:

  1. Navigieren Sie zu Azure Active Directory > Sicherheit > MFA > Benutzer sperren/zulassen.Browse to Azure Active Directory > Security > MFA > Block/unblock users.

  2. Wählen Sie Hinzufügen aus, um einen Benutzer zu sperren.Select Add to block a user.

  3. Wählen Sie die Replikationsgruppe aus, und wählen Sie dann die Option Azure Standard aus.Select the Replication Group, then choose Azure Default.

    Geben Sie den Benutzernamen des zu sperrenden Benutzers im Format username\@domain.com ein, und geben Sie dann einen Kommentar im Feld Grund ein.Enter the username for the blocked user as username\@domain.com, then provide a comment in the Reason field.

  4. Wenn Sie fertig sind, klicken Sie auf OK, um den Benutzer zu sperren.When ready, select OK to block the user.

Zulassen eines BenutzersUnblock a user

Führen Sie zum Entsperren eines Benutzers die folgenden Schritte aus:To unblock a user, complete the following steps:

  1. Navigieren Sie zu Azure Active Directory > Sicherheit > MFA > Benutzer sperren/zulassen.Browse to Azure Active Directory > Security > MFA > Block/unblock users.
  2. Klicken Sie in der Spalte Aktion neben dem gewünschten Benutzer auf Entsperren.In the Action column next to the desired user, select Unblock.
  3. Geben Sie im Feld Grund für Entsperren einen Kommentar ein.Enter a comment in the Reason for unblocking field.
  4. Wenn Sie fertig sind, klicken Sie auf OK, um den Benutzer zu entsperren.When ready, select OK to unblock the user.

BetrugswarnungFraud alert

Mithilfe des Features für Betrugswarnungen können Benutzer betrügerische Versuche für den Zugriff auf ihre Ressourcen melden.The fraud alert feature lets users report fraudulent attempts to access their resources. Wenn eine unbekannte und verdächtige MFA-Eingabeaufforderung eingeht, können Benutzer den betrügerischen Versuch mit der Microsoft Authenticator-App oder über ihr Smartphone melden.When an unknown and suspicious MFA prompt is received, users can report the fraud attempt using the Microsoft Authenticator app or through their phone.

Die folgenden Konfigurationsoptionen stehen für Warnungen zur Verfügung:The following fraud alert configuration options are available:

  • Benutzer, die Betrugsversuche melden, automatisch blockieren: Wenn ein Benutzer einen Betrug meldet, wird sein Konto 90 Tage lang oder so lange gesperrt, bis ein Administrator die Sperre für das Konto aufhebt.Automatically block users who report fraud: If a user reports fraud, their account is blocked for 90 days or until an administrator unblocks their account. Ein Administrator kann anhand des Anmeldeberichts Anmeldungen überprüfen und entsprechende Maßnahmen ergreifen, um weiterem Betrug vorzubeugen.An administrator can review sign-ins by using the sign-in report, and take appropriate action to prevent future fraud. Ein Administrator kann dann die Sperre für das Konto des Benutzers aufheben.An administrator can then unblock the user's account.

  • Code zum Melden von Betrugsversuchen während der Begrüßung: Wenn Benutzer einen Telefonanruf zur Ausführung der mehrstufigen Authentifizierung empfangen, drücken sie normalerweise die # -Taste, um ihre Anmeldung zu bestätigen.Code to report fraud during initial greeting: When users receive a phone call to perform multi-factor authentication, they normally press # to confirm their sign-in. Wenn sie einen Betrug melden möchten, geben sie vor dem Drücken der # -Taste einen Code ein.To report fraud, the user enters a code before pressing #. Dieser Code ist standardmäßig 0, Sie können ihn jedoch anpassen.This code is 0 by default, but you can customize it.

    Hinweis

    In der Standardansage von Microsoft wird der Benutzer aufgefordert, zum Senden einer Betrugswarnung die Zeichenfolge 0# einzugeben.The default voice greetings from Microsoft instruct users to press 0# to submit a fraud alert. Wenn Sie einen anderen Code als 0 verwenden möchten, sollten Sie eine benutzerdefinierte Ansage mit den passenden Anweisungen für Ihre Benutzer aufnehmen und hochladen.If you want to use a code other than 0, record and upload your own custom voice greetings with appropriate instructions for your users.

Führen Sie die folgenden Schritte aus, um Betrugswarnungen zu aktivieren und zu konfigurieren:To enable and configure fraud alerts, complete the following steps:

  1. Navigieren Sie zu Azure Active Directory > Sicherheit > MFA > Betrugswarnung.Browse to Azure Active Directory > Security > MFA > Fraud alert.
  2. Legen Sie die Einstellung Benutzern die Ausgabe von Betrugswarnungen erlauben auf Ein fest.Set the Allow users to submit fraud alerts setting to On.
  3. Konfigurieren Sie die Einstellungen Benutzer, die Betrugsversuche melden, automatisch blockieren oder Code zum Melden von Betrugsversuchen während der Begrüßung nach Bedarf.Configure the Automatically block users who report fraud or Code to report fraud during initial greeting setting as desired.
  4. Wählen Sie Speichern aus, wenn Sie so weit sind.When ready, select Save.

Anzeigen von BetrugsberichtenView fraud reports

Klicken Sie auf Azure Active Directory > Anmeldungen > Details zur Authentifizierung.Select Azure Active Directory > Sign-ins > Authentication Details. Der Betrugsbericht ist nun Bestandteil des Azure AD-Standardanmeldungsberichts und wird unter Ergebnisdetails angezeigt, da die mehrstufige Authentifizierung verweigert und Betrugscode eingegeben wurde.The fraud report is now part of the standard Azure AD Sign-ins report and it will show in the "Result Detail" as MFA denied, Fraud Code Entered.

BenachrichtigungenNotifications

E-Mail-Benachrichtigungen können dafür konfiguriert werden, wenn Benutzer Betrugswarnungen melden.Email notifications can be configured when users report fraud alerts. Diese Benachrichtigungen werden in der Regel an Identitätsadministratoren gesendet, da die Anmeldeinformationen für das Benutzerkonto wahrscheinlich kompromittiert sind.These notifications are typically sent to identity administrators, as the user's account credentials are likely compromised. Im folgenden Beispiel wird gezeigt, wie eine E-Mail-Benachrichtigung für Betrugswarnungen aussieht:The following example shows what a fraud alert notification email looks like:

Beispiel für eine Benachrichtigungs-E-Mail für eine Betrugswarnung

Nehmen Sie die folgenden Einstellungen vor, um Benachrichtigungen für Betrugswarnungen zu konfigurieren:To configure fraud alert notifications, complete the following settings:

  1. Navigieren Sie zu Azure Active Directory > Sicherheit > Multi-Factor Authentication > Benachrichtigungen.Browse to Azure Active Directory > Security > Multi-Factor Authentication > Notifications.
  2. Geben Sie die E-Mail-Adresse ein, die zum nächsten Feld hinzugefügt werden soll.Enter the email address to add into the next box.
  3. Zum Entfernen einer vorhandenen E-Mail-Adresse klicken Sie auf die Option ... neben der E-Mail-Adresse, und wählen Sie dann Löschen aus.To remove an existing email address, select the ... option next to the desired email address, then select Delete.
  4. Wählen Sie Speichern aus, wenn Sie so weit sind.When ready, select Save.

OATH-TokenOATH tokens

Azure AD unterstützt die Verwendung von OATH TOTP SHA-1-Token, die den Code alle 30 oder 60 Sekunden aktualisieren.Azure AD supports the use of OATH-TOTP SHA-1 tokens that refresh codes every 30 or 60 seconds. Kunden können diese Token beim Anbieter ihrer Wahl erwerben.Customers can purchase these tokens from the vendor of their choice.

OATH TOTP-Hardwaretoken sind in der Regel mit einem geheimen, im Token vorprogrammierten Schlüssel oder Anfangswert versehen.OATH TOTP hardware tokens typically come with a secret key, or seed, pre-programmed in the token. Diese Schlüssel müssen entsprechend der Beschreibung in den folgenden Schritten in Azure AD eingegeben werden.These keys must be input into Azure AD as described in the following steps. Geheime Schlüssel sind auf 128 Zeichen beschränkt, was möglicherweise nicht mit allen Token kompatibel ist.Secret keys are limited to 128 characters, which may not be compatible with all tokens. Der geheime Schlüssel darf nur die Zeichen a-z oder A-Z und die Ziffern 1-7 enthalten und muss in Base32 codiert sein.The secret key can only contain the characters a-z or A-Z and digits 1-7, and must be encoded in Base32.

Programmierbare OATH TOTP-Hardwaretoken, die mit einem neuen Ausgangswert versehen werden können, können ebenfalls im Softwaretoken-Setupflow mit Azure AD eingerichtet werden.Programmable OATH TOTP hardware tokens that can be reseeded can also be set up with Azure AD in the software token setup flow.

OATH-Hardwaretoken werden in der öffentlichen Vorschau unterstützt.OATH hardware tokens are supported as part of a public preview. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Hochladen von OATH-Token auf das Blatt „MFA > OATH-Token“

Sobald Sie Token erworben haben, müssen Sie diese in einem Format mit kommagetrennten Werten (CSV) einschließlich UPN, Seriennummer, geheimem Schlüssel, Zeitintervall, Hersteller und Modell hochladen, wie im folgenden Beispiel gezeigt:Once tokens are acquired they must be uploaded in a comma-separated values (CSV) file format including the UPN, serial number, secret key, time interval, manufacturer, and model as shown in the following example:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Hinweis

Stellen Sie sicher, dass Sie die Kopfzeile in Ihre CSV-Datei einschließen.Make sure you include the header row in your CSV file.

Nach der ordnungsgemäßen Formatierung als CSV-Datei kann sich ein Administrator im Azure-Portal anmelden, zu Azure Active Directory > Sicherheit > MFA > OATH-Token navigieren und die resultierende CSV-Datei hochladen.Once properly formatted as a CSV file, an administrator can then sign in to the Azure portal, navigate to Azure Active Directory > Security > MFA > OATH tokens, and upload the resulting CSV file.

Je nach Größe der CSV-Datei kann die Verarbeitung ein paar Minuten dauern.Depending on the size of the CSV file, it may take a few minutes to process. Wählen Sie die Schaltfläche Aktualisieren aus, um den aktuellen Status abzurufen.Select the Refresh button to get the current status. Wenn die Datei Fehler enthält, können Sie eine CSV-Datei herunterladen, in der alle zu behebenden Fehler aufgeführt sind.If there are any errors in the file, you can download a CSV file that lists any errors for you to resolve. Die Feldnamen in der heruntergeladenen CSV-Datei unterscheiden sich von der hochgeladenen Version.The field names in the downloaded CSV file are different than the uploaded version.

Sobald alle Fehler behoben sind, kann der Administrator die einzelnen Schlüssel aktivieren, indem er für das Token Aktivieren auswählt und das in dem Token angezeigte Einmalkennwort eingibt.Once any errors have been addressed, the administrator then can activate each key by selecting Activate for the token and entering the OTP displayed on the token.

Benutzer verfügen möglicherweise über eine Kombination aus bis zu fünf OATH-Hardwaretoken oder Authentifizierungsanwendungen wie die Microsoft Authenticator-App, die für die jederzeitige Verwendung konfiguriert sind.Users may have a combination of up to five OATH hardware tokens or authenticator applications, such as the Microsoft Authenticator app, configured for use at any time.

Einstellungen für TelefonanrufPhone call settings

Wenn Benutzer Anrufe für MFA-Eingabeaufforderungen empfangen, können Sie die Anrufer-ID oder die Begrüßung konfigurieren.If users receive phone calls for MFA prompts, you can configure their experience, such as caller ID or voice greeting they hear.

Wenn Sie in den USA nicht die MFA-Anrufer-ID konfiguriert haben, stammen Anrufe von Microsoft von folgenden Telefonnummern.In the United States, if you haven't configured MFA Caller ID, voice calls from Microsoft come from the following numbers. Wenn Sie Spamfilter verwenden, stellen Sie sicher, dass diese Nummern nicht gefiltert werden:If using spam filters, make sure to exclude these numbers:

  • +1 (866) 539 4191+1 (866) 539 4191
  • +1 (855) 330 8653+1 (855) 330 8653
  • +1 (877) 668 6536+1 (877) 668 6536

Hinweis

Wenn Azure Multi-Factor Authentication-Anrufe über das öffentliche Telefonnetz geleitet werden, laufen sie manchmal über einen Betreiber, der Anrufer-IDs nicht unterstützt.When Azure Multi-Factor Authentication calls are placed through the public telephone network, sometimes they are routed through a carrier that doesn't support caller ID. Aus diesem Grund ist die Anrufer-ID nicht garantiert, obwohl Azure Multi-Factor Authentication sie immer sendet.Because of this, caller ID is not guaranteed, even though Azure Multi-Factor Authentication always sends it.

Führen Sie die folgenden Schritte aus, um Ihre eigene Anrufer-ID-Nummer zu konfigurieren:To configure your own caller ID number, complete the following steps:

  1. Navigieren Sie zu Azure Active Directory > Sicherheit > MFA > Einstellungen für Telefonanruf.Browse to Azure Active Directory > Security > MFA > Phone call settings.
  2. Legen Sie für die MFA-Anrufer-ID die Nummer fest, die Ihren Benutzern auf dem Telefon angezeigt werden soll.Set the MFA caller ID number to the number you wish users to see on their phone. Es sind nur Nummern aus den USA zulässig.Only US-based numbers are allowed.
  3. Wählen Sie Speichern aus, wenn Sie so weit sind.When ready, select Save.

Benutzerdefinierte SprachnachrichtenCustom voice messages

Mit dem Feature für benutzerdefinierte Sprachnachrichten können Sie Ihre eigenen Aufzeichnungen oder Begrüßungen für Azure MFA verwenden.You can use your own recordings or greetings for Azure Multi-Factor Authentication with the custom voice messages feature. Diese Nachrichten können zusätzlich zu den Standardaufzeichnungen von Microsoft verwendet werden oder diese ersetzen.These messages can be used in addition to or to replace the default Microsoft recordings.

Bevor Sie beginnen, sollten Sie die folgenden Einschränkungen beachten:Before you begin, be aware of the following restrictions:

  • Die unterstützten Dateiformate sind WAV und MP3.The supported file formats are .wav and .mp3.
  • Die maximale Dateigröße beträgt 1 MB.The file size limit is 1 MB.
  • Authentifizierungsnachrichten sollten kürzer als 20 Sekunden sein.Authentication messages should be shorter than 20 seconds. Bei Nachrichten mit einer Länge von mehr als 20 Sekunden ist die Überprüfung unter Umständen nicht erfolgreich.Messages that are longer than 20 seconds can cause the verification to fail. Der Benutzer reagiert möglicherweise erst dann, wenn die Nachricht zu Ende ist, sodass bei der Überprüfung ein Timeout auftritt.The user might not respond before the message finishes and the verification times out.

Benutzerdefiniertes NachrichtensprachenverhaltenCustom message language behavior

Wenn für den Benutzer eine benutzerdefinierte Sprachnachricht wiedergegeben wird, hängt die Sprache der Nachricht von den folgenden Faktoren ab:When a custom voice message is played to the user, the language of the message depends on the following factors:

  • Sprache des aktuellen Benutzers.The language of the current user.
    • Vom Browser des Benutzers erkannte Sprache.The language detected by the user's browser.
    • Andere Authentifizierungsszenarios verhalten sich möglicherweise anders.Other authentication scenarios may behave differently.
  • Die Sprache jeglicher verfügbarer benutzerdefinierter Nachrichten.The language of any available custom messages.
    • Diese Sprache wird vom Administrator ausgewählt, wenn eine benutzerdefinierte Nachricht hinzugefügt wird.This language is chosen by the administrator, when a custom message is added.

Wenn beispielsweise nur eine benutzerdefinierte Nachricht in der Sprache Deutsch vorhanden ist:For example, if there is only one custom message, with a language of German:

  • Ein Benutzer, der sich in deutscher Sprache authentifiziert, hört dann die benutzerdefinierte deutsche Nachricht.A user who authenticates in the German language will hear the custom German message.
  • Ein Benutzer, der sich in Englisch authentifiziert, hört dann die englische Standardnachricht.A user who authenticates in English will hear the standard English message.

Benutzerdefinierte StandardsprachnachrichtenCustom voice message defaults

Die folgenden Beispielskripts können zum Erstellen Ihrer eigenen benutzerdefinierten Nachrichten verwendet werden.The following sample scripts can be used to create your own custom messages. Die folgenden Standardphrasen werden verwendet, wenn Sie keine eigenen benutzerdefinierten Nachrichten konfigurieren:These phrases are the defaults if you don't configure your own custom messages:

NachrichtennameMessage name SkriptScript
Authentifizierung erfolgreichAuthentication successful Ihre Anmeldung wurde erfolgreich überprüft.Your sign in was successfully verified. Auf Wiedersehen.Goodbye.
Grußformel bei DurchwahlExtension prompt Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Drücken Sie #, um Ihre Anmeldung abzuschließen.Please press pound key to continue.
Betrugsmeldung bestätigenFraud Confirmation Eine Betrugswarnung wurde ausgegeben.A fraud alert has been submitted. Wenden Sie sich an den IT-Helpdesk Ihres Unternehmens, um die Sperrung Ihres Kontos aufzuheben.To unblock your account, please contact your company's IT help desk.
Betrug – Grußformel (Standardmodus)Fraud greeting (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification. Wenn Sie diese Überprüfung nicht initiiert haben, versucht möglicherweise jemand, auf Ihr Konto zuzugreifen.If you did not initiate this verification, someone may be trying to access your account. Drücken Sie nacheinander die Tasten 0 und # um eine Betrugswarnung abzusenden.Please press zero pound to submit a fraud alert. So benachrichtigen Sie das IT-Team Ihres Unternehmens und blockieren weitere Überprüfungsversuche.This will notify your company's IT team and block further verification attempts.
Betrug wurde gemeldet. Eine Betrugswarnung wurde ausgegeben.Fraud reported A fraud alert has been submitted. Wenden Sie sich an den IT-Helpdesk Ihres Unternehmens, um die Sperrung Ihres Kontos aufzuheben.To unblock your account, please contact your company's IT help desk.
AktivierungActivation Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Authentifizierung abgelehnt. Erneut versuchen.Authentication denied retry Überprüfung abgelehnt.Verification denied.
Erneut versuchen (Standardmodus)Retry (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Grußformel (Standardmodus)Greeting (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Grußformel (PIN-Modus)Greeting (PIN) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.Please enter your PIN followed by the pound key to finish your verification.
Betrug – Grußformel (PIN-Modus)Fraud greeting (PIN) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.Please enter your PIN followed by the pound key to finish your verification. Wenn Sie diese Überprüfung nicht initiiert haben, versucht möglicherweise jemand, auf Ihr Konto zuzugreifen.If you did not initiate this verification, someone may be trying to access your account. Drücken Sie nacheinander die Tasten 0 und # um eine Betrugswarnung abzusenden.Please press zero pound to submit a fraud alert. So benachrichtigen Sie das IT-Team Ihres Unternehmens und blockieren weitere Überprüfungsversuche.This will notify your company's IT team and block further verification attempts.
Erneut versuchen (PIN-Modus)Retry(PIN) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.Please enter your PIN followed by the pound key to finish your verification.
Grußformel nach Ansage der DurchwahlziffernExtension prompt after digits Wenn Sie bereits bei dieser Durchwahl sind, drücken Sie zum Fortfahren das Nummernzeichen.If already at this extension, press the pound key to continue.
Authentifizierung abgelehntAuthentication denied Sie können zurzeit leider nicht angemeldet werden.I'm sorry, we cannot sign you in at this time. Versuchen Sie es später noch mal.Please try again later.
Grußformel bei der Aktivierung (Standardmodus)Activation greeting (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Aktivierung erneut versuchen (Standardmodus)Activation retry (Standard) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using the Microsoft's sign-in verification system. Drücken Sie das Nummernzeichen, um die Überprüfung abzuschließen.Please press the pound key to finish your verification.
Grußformel bei der Aktivierung (PIN-Modus)Activation greeting (PIN) Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Geben Sie Ihre PIN ein, und drücken Sie danach das Nummernzeichen, um die Überprüfung abzuschließen.Please enter your PIN followed by the pound key to finish your verification.
Grußformel vor Ansage der DurchwahlziffernExtension prompt before digits Vielen Dank, dass Sie das Anmeldungsüberprüfungssystem von Microsoft verwenden.Thank you for using Microsoft's sign-in verification system. Übertragen Sie diesen Anruf an Durchwahl ...Please transfer this call to extension …

Einrichten einer benutzerdefinierten NachrichtSet up a custom message

Führen Sie die folgenden Schritte aus, um Ihre eigenen benutzerdefinierten Nachrichten zu verwenden:To use your own custom messages, complete the following steps:

  1. Navigieren Sie zu Azure Active Directory > Sicherheit > MFA > Einstellungen für Telefonanruf.Browse to Azure Active Directory > Security > MFA > Phone call settings.
  2. Wählen Sie Begrüßung hinzufügen.Select Add greeting.
  3. Wählen Sie den Typ der Begrüßung aus, z. B. Grußformel (Standardmodus) oder Authentifizierung erfolgreich.Choose the Type of greeting, such as Greeting (standard) or Authentication successful.
  4. Wählen Sie die Sprache basierend auf dem vorherigen Abschnitt Benutzerdefiniertes Nachrichtensprachenverhalten aus.Select the Language, based on the previous section on custom message language behavior.
  5. Wählen Sie eine MP3- oder WAV-Audiodatei zum Hochladen aus.Browse for and select an .mp3 or .wav sound file to upload.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Speichern.When ready, select Add, then Save.

MFA-DiensteinstellungenMFA service settings

Einstellungen für App-Kennwörter, vertrauenswürdige IPs, Überprüfungsoptionen und das Speichern von Multi-Factor Authentication für die Azure Multi-Factor Authentication finden Sie in den Diensteinstellungen.Settings for app passwords, trusted IPs, verification options, and remember multi-factor authentication for Azure Multi-Factor Authentication can be found in service settings. Dabei handelt es sich um ein Legacyportal, das nicht Teil des herkömmlichen Azure AD-Portals ist.This is more of a legacy portal, and isn't part of the regular Azure AD portal.

Auf die Diensteinstellungen kann über das Azure-Portal zugegriffen werden, indem Sie zu Azure Active Directory > Sicherheit > MFA > Erste Schritte > Konfigurieren > Zusätzliche Cloud-basierte MFA-Einstellungen navigieren.Service settings can be accessed from the Azure portal by browsing to Azure Active Directory > Security > MFA > Getting started > Configure > Additional cloud-based MFA settings. Ein neues Fenster oder eine neue Registerkarte wird mit zusätzlichen Diensteinstellungen geöffnet.A new window or tab opens with additional service settings options.

Vertrauenswürdige IP-AdressenTrusted IPs

Das Feature Vertrauenswürdige IPs von Azure MFA umgeht MFA-Eingabeaufforderungen für Benutzer, die sich über einen definierten IP-Adressbereich anmelden.The Trusted IPs feature of Azure Multi-Factor Authentication bypasses multi-factor authentication prompts for users who sign in from a defined IP address range. Sie können vertrauenswürdige IP-Adressbereiche für Ihre lokalen Umgebungen festlegen, damit Benutzer, die sich an diesen Standorten befinden, keine Azure MFA-Eingabeaufforderung erhalten.You can set trusted IP ranges for your on-premises environments to when users are in one of those locations, there's no Azure Multi-Factor Authentication prompt.

Hinweis

Private IP-Adressbereiche können nur als vertrauenswürdige IPs festgelegt werden, wenn Sie MFA-Server verwenden.The trusted IPs can include private IP ranges only when you use MFA Server. Für cloudbasierte Azure MFA können Sie nur öffentliche IP-Adressbereiche verwenden.For cloud-based Azure Multi-Factor Authentication, you can only use public IP address ranges.

IPv6-Bereiche werden nur in der Schnittstelle Benannter Standort (Vorschau) unterstützt.IPv6 ranges are only supported in the Named location (preview) interface.

Wenn Ihre Organisation die NPS-Erweiterung bereitstellt, um MFA für lokale Anwendungen bereitzustellen, beachten Sie, dass als Quell-IP-Adresse immer die des NPS-Servers angezeigt wird, über den der Authentifizierungsversuch verläuft.If your organization deploys the NPS extension to provide MFA to on-premises applications note the source IP address will always appear to be the NPS server the authentication attempt flows through.

Azure AD-MandantentypAzure AD tenant type Optionen des Features „Vertrauenswürdige IPs“Trusted IP feature options
VerwaltetManaged Bestimmter Bereich von IP-Adressen: Administratoren geben einen Bereich von IP-Adressen an, die die zweistufige Überprüfung für Benutzer, die sich über das Intranet des Unternehmens anmelden, umgehen können.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet. Es können maximal 50 vertrauenswürdige IP-Adressbereiche konfiguriert werden.A maximum of 50 trusted IP ranges can be configured.
Im VerbundFederated Alle Verbundbenutzer: Alle Verbundbenutzer, die sich von innerhalb der Organisation aus anmelden, können die zweistufige Überprüfung umgehen.All Federated Users: All federated users who sign in from inside of the organization can bypass two-step verification. Die Benutzer umgehen die Überprüfung mithilfe eines durch Active Directory-Verbunddienste (AD FS) ausgestellten Anspruchs.The users bypass verification by using a claim that is issued by Active Directory Federation Services (AD FS).
Bestimmter Bereich von IP-Adressen: Administratoren geben einen Bereich von IP-Adressen an, die die zweistufige Überprüfung für Benutzer, die sich über das Intranet des Unternehmens anmelden, umgehen können.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet.

Die Umgehung über vertrauenswürdige IPs funktioniert nur innerhalb des Intranets eines Unternehmens.Trusted IP bypass works only from inside of the company intranet. Wenn Sie die Option Alle Verbundbenutzer ausgewählt haben und sich ein Benutzer von außerhalb des Unternehmensintranets anmeldet, muss sich der Benutzer mit der zweistufigen Überprüfung authentifizieren.If you select the All Federated Users option and a user signs in from outside the company intranet, the user has to authenticate by using two-step verification. Dies ist auch der Fall, wenn der Benutzer einen AD FS-Anspruch vorweisen kann.The process is the same even if the user presents an AD FS claim.

Endbenutzererfahrung innerhalb des UnternehmensnetzwerksEnd-user experience inside of corpnet

Wenn das Feature „Vertrauenswürdige IPs“ deaktiviert ist, ist die mehrstufige Authentifizierung für Browserabläufe erforderlich.When the trusted IPs feature is disabled, multi-factor authentication is required for browser flows. Für ältere Rich Client-Anwendungen werden App-Kennwörter benötigt.App passwords are required for older rich client applications.

Wenn vertrauenswürdige IPs verwendet werden, ist die mehrstufige Authentifizierung nicht für Browserabläufe erforderlich.When trusted IPs are used, multi-factor authentication isn't required for browser flows. App-Kennwörter sind für ältere Rich Client-Anwendungen nicht erforderlich, sofern der Benutzer nicht bereits ein App-Kennwort erstellt hat.App passwords aren't required for older rich client applications, provided that the user hasn't created an app password. Sobald ein App-Kennwort verwendet wird, ist es erforderlich.After an app password is in use, the password remains required.

Endbenutzererfahrung außerhalb des UnternehmensnetzwerksEnd-user experience outside corpnet

Unabhängig davon, ob vertrauenswürdige IP-Adressen definiert sind, ist die mehrstufige Authentifizierung für Browserabläufe erforderlich.Regardless of whether trusted IP are defined, multi-factor authentication is required for browser flows. Für ältere Rich Client-Anwendungen werden App-Kennwörter benötigt.App passwords are required for older rich client applications.

Aktivieren benannter Orte mit bedingtem ZugriffEnable named locations by using Conditional Access

Sie können die Regeln für bedingten Zugriff verwenden, um benannte Standorte zu definieren, indem Sie die folgenden Schritte ausführen:You can use Conditional Access rules to define named locations using the following steps:

  1. Klicken Sie im Azure-Portal auf Azure Active Directory, und navigieren Sie dann zu Sicherheit > Bedingter Zugriff > Benannte Standorte.In the Azure portal, search for and select Azure Active Directory, then browse to Security > Conditional Access > Named locations.
  2. Wählen Sie Neuer Ort aus.Select New location.
  3. Geben Sie einen Namen für den Standort ein.Enter a name for the location.
  4. Wählen Sie Als vertrauenswürdigen Standort markieren aus.Select Mark as trusted location.
  5. Geben Sie den IP-Adressbereich in der CIDR-Notation für Ihre Umgebung ein, z. B. 40.77.182.32/27.Enter the IP Range in CIDR notation for your environment, such as 40.77.182.32/27.
  6. Klicken Sie auf Erstellen.Select Create.

Aktivieren des Features „Vertrauenswürdige IPs“ mit bedingtem ZugriffEnable the Trusted IPs feature by using Conditional Access

Führen Sie die folgenden Schritte aus, um vertrauenswürdige IP-Adressen mit Richtlinien für bedingten Zugriff zu ermöglichen:To enable trusted IPs using Conditional Access policies, complete the following steps:

  1. Klicken Sie im Azure-Portal auf Azure Active Directory, und navigieren Sie dann zu Sicherheit > Bedingter Zugriff > Benannte Standorte.In the Azure portal, search for and select Azure Active Directory, then browse to Security > Conditional Access > Named locations.

  2. Wählen Sie Durch MFA bestätigte IPs konfigurieren aus.Select Configure MFA trusted IPs.

  3. Wählen Sie auf der Seite Diensteinstellungen unter Vertrauenswürdige IPs eine der folgenden beiden Optionen aus:On the Service Settings page, under Trusted IPs, choose from any of the following two options:

    • Für Anforderungen von Partnerbenutzern, die aus meinem Intranet stammen: Aktivieren Sie das Kontrollkästchen, um diese Option auszuwählen.For requests from federated users originating from my intranet: To choose this option, select the check box. Alle Verbundbenutzer, die sich vom Unternehmensnetzwerk aus anmelden, umgehen die zweistufige Überprüfung mithilfe eines von AD FS ausgestellten Anspruchs.All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. Stellen Sie sicher, dass AD FS über eine Regel zum Hinzufügen des Intranetanspruchs zum entsprechenden Datenverkehr verfügt.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Wenn die Regel nicht vorhanden ist, erstellen Sie die folgende Regel in AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Für Anforderungen aus einem bestimmten Bereich öffentlicher IPs: Geben Sie zum Auswählen dieser Option die IP-Adressen in der CIDR-Notation im Textfeld ein.For requests from a specific range of public IPs: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Verwenden Sie für IP-Adressen im Bereich xxx.xxx.xxx.1 bis xxx.xxx.xxx.254 die Notation xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Verwenden Sie für eine einzelne IP-Adresse die Notation xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Sie können bis zu 50 IP-Adressbereiche eingeben.Enter up to 50 IP address ranges. Benutzer, die sich über diese IP-Adressen anmelden, umgehen die zweistufige Überprüfung.Users who sign in from these IP addresses bypass two-step verification.
  4. Wählen Sie Speichern aus.Select Save.

Aktivieren des Features „Vertrauenswürdige IPs“ mit DiensteinstellungenEnable the Trusted IPs feature by using service settings

Wenn Sie keine Richtlinien für bedingten Zugriff verwenden möchten, um vertrauenswürdige IP-Adressen zu ermöglichen, können Sie die Diensteinstellungen für Azure MFA konfigurieren, indem Sie die folgenden Schritte ausführen:If you don't want to use Conditional Access policies to enable trusted IPs, you can configure the service settings for Azure Multi-Factor Authentication using the following steps:

  1. Klicken Sie im Azure-Portal auf Azure Active Directory, und wählen Sie dann Benutzer aus.In the Azure portal, search for and select Azure Active Directory, then choose Users.

  2. Wählen Sie Multi-Factor Authentication aus.Select Multi-Factor Authentication.

  3. Klicken Sie unter „Multi-Factor Authentication“ auf Diensteinstellungen.Under Multi-Factor Authentication, select service settings.

  4. Wählen Sie auf der Seite Diensteinstellungen unter Vertrauenswürdige IPs eine (oder beide) der folgenden zwei Optionen aus:On the Service Settings page, under Trusted IPs, choose one (or both) of the following two options:

    • Für Anforderungen von Partnerbenutzern in meinem Intranet: Aktivieren Sie das Kontrollkästchen, um diese Option auszuwählen.For requests from federated users on my intranet: To choose this option, select the check box. Alle Verbundbenutzer, die sich vom Unternehmensnetzwerk aus anmelden, umgehen die zweistufige Überprüfung mithilfe eines von AD FS ausgestellten Anspruchs.All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. Stellen Sie sicher, dass AD FS über eine Regel zum Hinzufügen des Intranetanspruchs zum entsprechenden Datenverkehr verfügt.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Wenn die Regel nicht vorhanden ist, erstellen Sie die folgende Regel in AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Für Anforderungen aus einem angegebenen Bereich von IP-Adresssubnetzen: Geben Sie zum Auswählen dieser Option die IP-Adressen in der CIDR-Notation im Textfeld ein.For requests from a specified range of IP address subnets: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Verwenden Sie für IP-Adressen im Bereich xxx.xxx.xxx.1 bis xxx.xxx.xxx.254 die Notation xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Verwenden Sie für eine einzelne IP-Adresse die Notation xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Sie können bis zu 50 IP-Adressbereiche eingeben.Enter up to 50 IP address ranges. Benutzer, die sich über diese IP-Adressen anmelden, umgehen die zweistufige Überprüfung.Users who sign in from these IP addresses bypass two-step verification.
  5. Wählen Sie Speichern aus.Select Save.

ÜberprüfungsmethodenVerification methods

Sie können im Diensteinstellungsportal auswählen, welche Überprüfungsmethoden für Ihre Benutzer verfügbar sind.You can choose the verification methods that are available for your users in the service settings portal. Wenn Ihre Benutzer ihre Konten für Azure Multi-Factor Authentication registrieren, wählen sie ihre bevorzugte Überprüfungsmethode aus den Optionen aus, die Sie aktiviert haben.When your users enroll their accounts for Azure Multi-Factor Authentication, they choose their preferred verification method from the options that you have enabled. Anleitungen zum Benutzerregistrierungsprozess finden Sie unter Einrichten meines Kontos für die zweistufige Überprüfung.Guidance for the user enrollment process is provided in Set up my account for two-step verification.

Die folgenden Überprüfungsmethoden stehen zur Auswahl:The following verification methods are available:

MethodeMethod BeschreibungDescription
Auf Telefon anrufenCall to phone Startet einen automatisierten Sprachanruf.Places an automated voice call. Der Benutzer nimmt den Anruf an und drückt die #-Taste auf der Telefontastatur, um sich zu authentifizieren.The user answers the call and presses # in the phone keypad to authenticate. Die Telefonnummer wird nicht mit dem lokalen Active Directory synchronisiert.The phone number is not synchronized to on-premises Active Directory.
Textnachricht an TelefonText message to phone Sendet eine Textnachricht mit einem Überprüfungscode.Sends a text message that contains a verification code. Der Benutzer wird über die Anmeldeoberfläche zur Eingabe des Prüfcodes aufgefordert.The user is prompted to enter the verification code into the sign-in interface. Dieser Vorgang wird als „unidirektionale SMS“ bezeichnet.This process is called one-way SMS. Bei einer bidirektionalen SMS muss der Benutzer einen bestimmten Code per SMS zurücksenden.Two-way SMS means that the user must text back a particular code. Die Funktion für bidirektionale SMS ist veraltet und wird ab dem 14. November 2018 nicht mehr unterstützt.Two-way SMS is deprecated and not supported after November 14, 2018. Administratoren sollten eine andere Methode für Benutzer aktivieren, die zuvor bidirektionale SMS verwendet haben.Administrators should enable another method for users who previously used two-way SMS.
Benachrichtigung über mobile AppNotification through mobile app Sendet eine Pushbenachrichtigung an Ihr Telefon oder registriertes Gerät.Sends a push notification to your phone or registered device. Der Benutzer zeigt die Benachrichtigung an und wählt Überprüfen, um die Überprüfung abzuschließen.The user views the notification and selects Verify to complete verification. Die Microsoft Authenticator-App ist für Windows Phone, Android und iOS verfügbar.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.
Prüfcode aus mobiler App oder HardwaretokenVerification code from mobile app or hardware token Die Microsoft Authenticator-App generiert alle 30 Sekunden einen neuen OATH-Überprüfungscode.The Microsoft Authenticator app generates a new OATH verification code every 30 seconds. Der Benutzer gibt den Überprüfungscode auf der Anmeldeoberfläche ein.The user enters the verification code into the sign-in interface. Die Microsoft Authenticator-App ist für Windows Phone, Android und iOS verfügbar.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.

Weitere Informationen finden Sie unter Welche Authentifizierungs- und Prüfmethoden stehen in Azure Active Directory zur Verfügung?For more information, see What authentication and verification methods are available in Azure AD?

Aktivieren und Deaktivieren von ÜberprüfungsmethodenEnable and disable verification methods

Führen Sie die folgenden Schritte aus, um Überprüfungsmethoden zu aktivieren oder zu deaktivieren:To enable or disable verification methods, complete the following steps:

  1. Klicken Sie im Azure-Portal auf Azure Active Directory, und wählen Sie dann Benutzer aus.In the Azure portal, search for and select Azure Active Directory, then choose Users.
  2. Wählen Sie Multi-Factor Authentication aus.Select Multi-Factor Authentication.
  3. Klicken Sie unter „Multi-Factor Authentication“ auf Diensteinstellungen.Under Multi-Factor Authentication, select service settings.
  4. Aktivieren oder deaktivieren Sie auf der Seite Diensteinstellungen unter Überprüfungsoptionen die Methoden, die den Benutzern zur Verfügung gestellt werden.On the Service Settings page, under verification options, select/unselect the methods to provide to your users.
  5. Klicken Sie auf Speichern.Click Save.

Speichern der Multi-Factor AuthenticationRemember Multi-Factor Authentication

Mit dem Feature Multi-Factor Authentication speichern können Benutzer nachfolgende Überprüfungen für eine angegebene Anzahl von Tagen umgehen, nachdem sie sich mithilfe von Multi-Factor Authentication erfolgreich bei einem Gerät angemeldet haben.The remember Multi-Factor Authentication feature lets users can bypass subsequent verifications for a specified number of days, after they've successfully signed-in to a device by using Multi-Factor Authentication. Bei Verwendung dieses Features wird die Benutzerfreundlichkeit verbessert, da der Benutzer auf einem Gerät seltener eine mehrstufige Authentifizierung durchführen muss.The feature enhances usability by minimizing the number of times a user has to perform MFA on the same device.

Wichtig

Wenn ein Konto oder Gerät gefährdet ist, kann das Speichern von Multi-Factor Authentication für vertrauenswürdige Geräte die Sicherheit beeinträchtigen.If an account or device is compromised, remembering Multi-Factor Authentication for trusted devices can affect security. Wenn ein Unternehmenskonto kompromittiert oder ein vertrauenswürdiges Gerät verloren geht oder gestohlen wird, sollten Sie MFA-Sitzungen widerrufen.If a corporate account becomes compromised or a trusted device is lost or stolen, you should Revoke MFA Sessions.

Durch die Wiederherstellungsaktion wird der vertrauenswürdige Status aller Geräte widerrufen, und der Benutzer muss wieder die zweistufige Überprüfung ausführen.The restore action revokes the trusted status from all devices, and the user is required to perform two-step verification again. Sie können Ihre Benutzer auch anweisen, Multi-Factor Authentication auf ihren eigenen Geräten wie unter Verwalten der Einstellungen für die zweistufige Überprüfung beschrieben wiederherzustellen.You can also instruct your users to restore Multi-Factor Authentication on their own devices as noted in Manage your settings for two-step verification.

Funktionsweise des FeaturesHow the feature works

Durch das Feature „Multi-Factor Authentication speichern“ wird ein permanentes Cookie im Browser festgelegt, wenn ein Benutzer die Option Die nächsten X Tage nicht erneut fragen auswählt.The remember Multi-Factor Authentication feature sets a persistent cookie on the browser when a user selects the Don't ask again for X days option at sign-in. Der Benutzer wird von diesem Browser bis zum Ablauf des Cookies nicht erneut zur Multi-Factor Authentication aufgefordert.The user isn't prompted again for Multi-Factor Authentication from that same browser until the cookie expires. Wenn der Benutzer einen anderen Browser auf dem gleichen Gerät öffnet oder seine Cookies löscht, wird er wieder zur Überprüfung aufgefordert.If the user opens a different browser on the same device or clears their cookies, they're prompted again to verify.

Die Option Die nächsten X Tage nicht erneut fragen wird in Nicht-Browseranwendungen nicht angezeigt, unabhängig davon, ob diese die moderne Authentifizierung unterstützen.The Don't ask again for X days option isn't shown on non-browser applications, regardless of whether the app supports modern authentication. Diese Apps verwenden Aktualisierungstoken, die jede Stunde neue Zugriffstoken bereitstellen.These apps use refresh tokens that provide new access tokens every hour. Bei der Überprüfung eines Aktualisierungstokens überprüft Azure AD, ob die letzte zweistufige Überprüfung innerhalb der angegebenen Anzahl von Tagen durchgeführt wurde.When a refresh token is validated, Azure AD checks that the last two-step verification occurred within the specified number of days.

Mit dem Feature reduziert sich die Anzahl der Authentifizierungen für Web-Apps, die normalerweise jedes Mal dazu auffordern.The feature reduces the number of authentications on web apps, which normally prompt every time. Das Feature erhöht die Anzahl der Authentifizierungen für Clients mit moderner Authentifizierung, die normalerweise alle 90 Tage zur Authentifizierung auffordern.The feature increases the number of authentications for modern authentication clients that normally prompt every 90 days. Die Anzahl der Authentifizierungen kann sich auch erhöhen, wenn mit bedingten Zugriffsrichtlinien kombiniert wird.May also increase the number of authentications when combined with Conditional Access policies.

Wichtig

Die Funktion Multi-Factor Authentication speichern ist nicht kompatibel mit dem AD FS-Feature Angemeldet bleiben, bei dem Benutzer die zweistufige Überprüfung für AD FS über Azure Multi-Factor Authentication Server oder eine Lösung zur mehrstufigen Authentifizierung von Drittanbietern ausführen.The remember Multi-Factor Authentication feature isn't compatible with the keep me signed in feature of AD FS, when users perform two-step verification for AD FS through Azure Multi-Factor Authentication Server or a third-party multi-factor authentication solution.

Wenn Ihre Benutzer in AD FS Angemeldet bleiben auswählen und ihr Gerät außerdem als für Multi-Factor Authentication vertrauenswürdig markieren, werden sie nach Ablauf der Anzahl von Tagen, die unter Multi-Factor Authentication speichern angegeben wurde, nicht automatisch überprüft.If your users select keep me signed in on AD FS and also mark their device as trusted for Multi-Factor Authentication, the user isn't automatically verified after the remember multi-factor authentication number of days expires. Azure AD fordert eine neue zweistufige Überprüfung an, aber AD FS gibt ein Token mit dem ursprünglichen Multi-Factor Authentication-Anspruch und Datum zurück, statt die zweistufige Überprüfung erneut durchzuführen.Azure AD requests a fresh two-step verification, but AD FS returns a token with the original Multi-Factor Authentication claim and date, rather than performing two-step verification again. Durch diese Reaktion entsteht eine Schleife bei der Überprüfung zwischen Azure AD und AD FS.This reaction sets off a verification loop between Azure AD and AD FS.

Das Feature Multi-Factor Authentication speichern ist nicht mit B2B-Benutzern kompatibel und wird B2B-Benutzer nicht angezeigt, wenn sie sich bei den eingeladenen Mandanten anmelden.The remember Multi-Factor Authentication feature is not compatible with B2B users and will not be visible for B2B users when signing into the invited tenants.

Aktivieren der Speicherung von Multi-Factor AuthenticationEnable remember Multi-Factor Authentication

Führen Sie die folgenden Schritte aus, um die Option zum Speichern des MFA-Status und zum Umgehen der Eingabeaufforderung zu aktivieren und zu konfigurieren:To enable and configure the option for users to remember their MFA status and bypass prompts, complete the following steps:

  1. Klicken Sie im Azure-Portal auf Azure Active Directory, und wählen Sie dann Benutzer aus.In the Azure portal, search for and select Azure Active Directory, then choose Users.
  2. Wählen Sie Multi-Factor Authentication aus.Select Multi-Factor Authentication.
  3. Klicken Sie unter „Multi-Factor Authentication“ auf Diensteinstellungen.Under Multi-Factor Authentication, select service settings.
  4. Wählen Sie auf der Seite Diensteinstellungen unter Multi-Factor Authentication speichern die Option Benutzern das Speichern der mehrstufigen Authentifizierung auf vertrauenswürdigen Geräten ermöglichen aus.On the Service Settings page, manage remember multi-factor authentication, select the Allow users to remember multi-factor authentication on devices they trust option.
  5. Legen Sie fest, für wie viele Tage die vertrauenswürdigen Geräte die zweistufige Überprüfung umgehen können.Set the number of days to allow trusted devices to bypass two-step verification. Der Standardwert ist 14 Tage.The default is 14 days.
  6. Wählen Sie Speichern aus.Select Save.

Markieren eines Geräts als vertrauenswürdigMark a device as trusted

Nachdem Sie das Feature „Multi-Factor Authentication speichern“ aktiviert haben, können Benutzer bei der Anmeldung ein Gerät als vertrauenswürdig markieren, indem sie die Option Nicht erneut nachfragen auswählen.After you enable the remember Multi-Factor Authentication feature, users can mark a device as trusted when they sign in by selecting the option for Don't ask again.

Nächste SchritteNext steps

Weitere Informationen über die verfügbaren Methoden in Azure MFA finden Sie unter Welche Authentifizierungs- und Prüfmethoden stehen in Azure Active Directory zur Verfügung?To learn more about the available methods for use in Azure Multi-Factor Authentication, see What authentication and verification methods are available in Azure Active Directory?