Häufig gestellte Fragen zur in Microsoft Entra-Multi-Faktor-Authentifizierung

Beim Multi-Factor Authentication-Server werden die Daten eines Benutzers nur auf den lokalen Servern gespeichert. Daten werden nicht dauerhaft in der Cloud gespeichert. Wenn der Benutzer die zweistufige Überprüfung ausführt, sendet der Multi-Faktor-Authentifizierungsserver zur Authentifizierung Daten an den Microsoft Entra-Multi-Faktor-Authentifizierungsclouddienst. Zur Kommunikation zwischen Multi-Factor Authentication-Server und dem Multi-Faktor-Authentifizierungs-Clouddienst wird Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) über den ausgehenden Port 443 verwendet.

Wenn Authentifizierungsanforderungen an den Clouddienst gesendet werden, werden Daten für Authentifizierungs- und Verwendungsberichte gesammelt. Folgende Datenfelder werden in die Protokolle der zweistufigen Überprüfung einbezogen:

• Eindeutige ID (entweder Benutzername oder lokale Server-ID der Multi-Factor Authentication)
• Vor- und Nachname (optional)
• E-Mail-Adresse (optional)
• Rufnummer (bei einer Authentifizierung per Sprachanruf oder SMS)
• Gerätetoken (für die Authentifizierung einer mobilen App)
• Authentifizierungsmodus
• Authentifizierungsergebnis
• Name des Multi-Factor Authentication-Servers
• IP des Multi-Factor Authentication-Servers
• Client-IP (falls verfügbar)

Die optionalen Felder können im Multi-Factor Authentication-Server konfiguriert werden.

Das Authentifizierungsergebnis (Erfolg oder Ablehnung) und der Grund für etwaige Ablehnungen werden mit den Authentifizierungsdaten gespeichert. Diese Daten stehen in den Authentifizierungs- und Verwendungsberichten zur Verfügung.

Weitere Informationen finden Sie unter Datenresidenz und Daten von Kunden für die Multi-Faktor-Authentifizierung von Microsoft Entra.

In den USA werden die folgenden SMS-Kurzcodes verwendet:

• 97671
• 69829
• 51789
• 99399

In Kanada werden die folgenden Kurzcodes verwendet:

• 759731
• 673801

Eine einheitliche SMS- oder sprachbasierte Aufforderung zur Multi-Faktor-Authentifizierung, bei der die Zustellung immer über dieselbe Nummer erfolgt, kann nicht garantiert werden. Im Interesse unserer Benutzer*innen können wir jederzeit Kurzcodes hinzuzufügen oder entfernen, wenn wir Routenanpassungen zur Verbesserung der Zustellbarkeit von SMS-Nachrichten vornehmen.

Wir unterstützt keine Kurzcodes für Länder/Regionen außerhalb der USA und Kanadas.

Ja, in bestimmten Fällen, die in der Regel wiederholte Authentifizierungsanforderungen in einem kurzen Zeitfenster beinhalten, drosselt die Microsoft Entra-Multi-Faktor-Authentifizierung die Anmeldeversuche von Benutzer*innen, um Telekommunikationsnetzwerke zu schützen, MFA-Ermüdungsangriffe zu entschärfen und die eigenen Systeme zum Nutzen aller Kunden zu schützen.

Wir teilen zwar keine spezifischen Einschränkungsgrenzwerte mit, aber sie orientieren sich an einer angemessenen Nutzung.

Nein. Durch individuelle Telefonanrufe oder SMS, die über Microsoft Entra-Multi-Faktor-Authentifizierung an Benutzer gesendet werden, entstehen für Sie keine Kosten. Bei Verwendung eines authentifizierungsbasierten MFA-Anbieters werden die Kosten für die einzelnen Authentifizierungen, aber nicht für die verwendete Methode in Rechnung gestellt.

Bei Ihren Benutzern können Kosten für die eingehenden Telefonanrufe oder SMS anfallen. Das hängt allerdings vom jeweiligen Netzbetreiber ab.

Die Abrechnung basiert auf der Anzahl von Benutzern, die zur Nutzung von Multi-Faktor-Authentifizierung konfiguriert sind – unabhängig davon, ob sie im Abrechnungsmonat eine zweistufige Überprüfung initiiert haben.

Wenn Sie einen benutzer- oder authentifizierungsbasierten MFA-Anbieter erstellen, wird das Azure-Abonnement Ihrer Organisation monatlich auf der Grundlage der Nutzung abgerechnet. Dieses Abrechnungsmodell ähnelt der Azure-Abrechnung für die Nutzung von virtuellen Computern und Web-Apps.

Wenn Sie ein Abonnement für Microsoft Entra-Multi-Faktor-Authentifizierung erwerben, fällt für Ihre Organisation lediglich die jährliche Lizenzgebühr für die einzelnen Benutzer an. Wenn Sie MFA-Lizenzen und Microsoft 365, Microsoft Entra ID P1 oder P2 oder Enterprise Mobility + Security besitzen, werden die Pakete so abgerechnet.

Weitere Informationen finden Sie unter Beziehen der Microsoft Entra-Multi-Faktor-Authentifizierung.

Das Feature „Sicherheitsstandards“ kann im Tarif „Microsoft Entra ID Free“ aktiviert werden. Bei Verwenden des Features „Sicherheitsstandards“ können alle Benutzer die Multi-Faktor-Authentifizierung mithilfe der Microsoft Authenticator-App nutzen. Es gibt keine Möglichkeit, bei Verwenden von „Sicherheitsstandards“ die Überprüfung per SMS oder Telefon zu verwenden. Die App Microsoft Authenticator muss genutzt werden.

Weitere Informationen finden Sie unter Was sind Sicherheitsstandards?.

Wenn Ihre Organisation MFA als eigenständigen Dienst mit nutzungsbasierter Abrechnung erwirbt, wählen Sie bei der Erstellung eines MFA-Anbieters ein Abrechnungsmodell aus. Das Abrechnungsmodell kann nach der Erstellung eines MFA-Anbieters nicht mehr geändert werden.

Falls Ihr MFA-Anbieter nicht mit einem Microsoft Entra-Mandanten verknüpft ist oder Sie den neuen MFA-Anbieter mit einem anderen Microsoft Entra-Mandanten verknüpfen, werden Benutzereinstellungen und Konfigurationsoptionen nicht übernommen. Darüber hinaus müssen vorhandene MFA-Server unter Verwendung von Aktivierungsanmeldeinformationen des neuen MFA-Anbieters erneut aktiviert werden. Wenn Sie die MFA-Server erneut aktivieren, um sie mit dem neuen MFA-Anbieter zu verknüpfen, hat das keinerlei Auswirkungen auf die Authentifizierung per Telefonanruf oder SMS, aber Benachrichtigungen der mobilen App funktionieren erst wieder, wenn die Benutzer die mobile App erneut aktivieren.

Weitere Informationen zu MFA-Anbietern finden Sie unter Erste Schritte mit Azure Multi-Faktor-Authentifizierungsanbietern.

In einigen Fällen schon.

Wenn Ihr Verzeichnis über einen benutzerbasierten Microsoft Entra-Multi-Faktor-Authentifizierungsanbieter verfügt, können Sie MFA-Lizenzen hinzufügen. Benutzer mit Lizenzen fließen nicht in die benutzer-/nutzungsbasierte Abrechnung mit ein. Für Benutzer ohne Lizenz kann MFA weiterhin über den MFA-Anbieter aktiviert werden. Wenn Sie für alle Ihre Benutzer*innen, die für die Verwendung der Multi-Faktor-Authentifizierung konfiguriert sind, Lizenzen erwerben und zuweisen, können Sie den Anbieter für die Microsoft Entra-Multi-Faktor-Authentifizierung löschen. Sollten später einmal mehr Benutzer als Lizenzen vorhanden sein, können Sie jederzeit einen weiteren benutzerbasierten MFA-Anbieter erstellen.

Falls Ihr Verzeichnis über einen authentifizierungsbezogenen Microsoft Entra-Multi-Faktor-Authentifizierungsanbieter verfügt, werden Ihnen immer die einzelnen Authentifizierungen in Rechnung gestellt, solange der MFA-Anbieter mit Ihrem Abonnement verknüpft ist. Sie können Benutzern zwar MFA-Lizenzen zuweisen, Ihnen wird jedoch weiterhin jede Anforderung einer zweistufigen Überprüfung in Rechnung gestellt. Dabei spielt es keine Rolle, ob dem anfordernden Benutzer eine MFA-Lizenz zugewiesen ist.

Wenn Ihre Organisation ein nutzungsbasiertes Abrechnungsmodell verwendet, ist Microsoft Entra ID optional, aber nicht erforderlich. Wenn Ihr MFA-Anbieter nicht mit einem Microsoft Entra-Mandanten verknüpft ist, können Sie den Microsoft Entra-Multi-Faktor-Authentifizierungs-Server nur lokal bereitstellen.

Microsoft Entra IDist für das Lizenzmodell erforderlich, da Lizenzen dem Microsoft Entra-Mandanten hinzugefügt werden, wenn Sie sie nach dem Kauf Benutzern im Verzeichnis zuweisen.

Bitten Sie Ihre Benutzer*innen, innerhalb von 5 Minuten bis zu fünfmal einen Telefonanruf oder eine SMS für die Authentifizierung anzufordern. Microsoft verwendet verschiedene Anbieter für die Übermittlung von Anrufen und SMS-Nachrichten. Wenn dies nicht funktioniert, öffnen Sie zur weiteren Problembehandlung einen Supportvorgang.

Sicherheits-Apps von Drittanbietern können auch die SMS-Nachricht oder den Telefonanruf mit dem Überprüfungscode blockieren. Wenn Sie eine Sicherheits-App eines Drittanbieters einsetzen, versuchen Sie, den Schutz zu deaktivieren, und fordern Sie dann die Zusendung eines weiteren MFA-Überprüfungscodes an.

Wenn die obigen Schritte nicht funktionieren, prüfen Sie, ob Benutzer für mehr als eine Überprüfungsmethode konfiguriert sind. Versuchen Sie, sich erneut anzumelden, aber wählen Sie auf der Anmeldeseite eine andere Überprüfungsmethode aus.

Weitere Informationen finden Sie in der Anleitung zur Problembehandlung für Endbenutzer.

Sie können den Benutzer auffordern, den Registrierungsprozess erneut zu durchlaufen, um das Benutzerkonto zurückzusetzen. Weitere Informationen finden Sie unter Verwalten von Benutzereinstellungen für die Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud.

Löschen Sie alle App-Kennwörter des Benutzers, um nicht autorisierte Zugriffe zu verhindern. Wenn der Benutzer über ein Ersatzgerät verfügt, kann er neue Kennwörter erstellen. Weitere Informationen finden Sie unter Verwalten von Benutzereinstellungen für die Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud.

Falls Ihre Organisation noch Legacyclients verwendet und Sie die Verwendung von App-Kennwörtern zugelassen haben, können sich Ihre Benutzer nicht mit ihrem Benutzernamen und Kennwort bei diesen Legacyclients anmelden. Stattdessen müssen sie App-Kennwörter einrichten. Ihre Benutzer müssen ihre Anmeldeinformationen löschen, die App neu starten und sich dann mit ihrem Benutzernamen und ihrem App-Kennwort (anstelle des regulären Kennworts) anmelden.

Wenn Ihre Organisation keine Legacyclients verwendet, sollten Sie die Erstellung von App-Kennwörtern durch Benutzer nicht zulassen.

Die Zustellung von SMS-Nachrichten kann nicht garantiert werden, da nicht kontrollierbare Faktoren die Zuverlässigkeit des Diensts beeinträchtigen können. Unter diese Faktoren fallen Bestimmungsland/-region, der Mobilfunkanbieter und die Signalstärke.

Sicherheits-Apps von Drittanbietern können auch die SMS-Nachricht oder den Telefonanruf mit dem Überprüfungscode blockieren. Wenn Sie eine Sicherheits-App eines Drittanbieters einsetzen, versuchen Sie, den Schutz zu deaktivieren, und fordern Sie dann die Zusendung eines weiteren MFA-Überprüfungscodes an.

Falls Ihre Benutzer häufig SMS-Empfangsprobleme haben, fordern Sie sie auf, die App Microsoft Authenticator oder die Telefonanrufmethode zu verwenden. Microsoft Authenticator kann Benachrichtigungen sowohl über Mobilfunk- als auch WLAN-Verbindungen empfangen. Darüber hinaus kann die mobile App Überprüfungscodes auch dann generieren, wenn das Gerät noch gar kein Signal empfangen hat. Die Microsoft Authenticator-App ist für Android, iOS und Windows Phone verfügbar.

In einigen Fällen schon.

Für unidirektionale SMS mit MFA Server v7.0 oder höher können Sie die Einstellungen für das Zeitlimit durch Festlegen eines Registrierungsschlüssels konfigurieren. Nachdem der MFA-Clouddienst die Textnachricht gesendet hat, wird der Überprüfungscode (oder die Einmalkennung) an den MFA-Server zurückgegeben. MFA-Server speichert den Code standardmäßig für 300 Sekunden im Arbeitsspeicher. Wenn der Benutzer seinen Code nicht innerhalb dieser 300 Sekunden eingibt, wird die Authentifizierung verweigert. Im Folgenden werden die Schritte für das Ändern der standardmäßigen Zeitlimiteinstellung beschrieben:

1. Gehe zu HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Erstellen Sie einen DWORD-Registrierungsschlüssel namens pfsvc_pendingSmsTimeoutSeconds, und legen Sie den Zeitraum in Sekunden fest, über den MFA Server Einmalkennungen speichern soll.

Wenn die Benutzer nicht innerhalb des Zeiteinschränkungen auf die SMS antworten, wird ihre Authentifizierung verweigert.

Für unidirektionale SMS mit Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud (einschließlich des AD FS-Adapters oder der Netzwerkrichtlinienservererweiterung) können Sie die Timeouteinstellung nicht konfigurieren. Microsoft Entra ID speichert den Überprüfungscode für 180 Sekunden.

Wenn Sie den Multi-Factor Authentication-Server verwenden, können Sie zeitbasierte Token für die offene Authentifizierung (Open Authentication, OATH) mit Einmalkennwörtern (Time-based One-time Password, TOTP) von Drittanbietern importieren und sie dann für die zweistufige Überprüfung verwenden.

Sie können ActiveIdentity-Token vom Typ „OATH TOTP“ verwenden, wenn Sie den geheimen Schlüssel in eine CSV-Datei einfügen und in den Multi-Factor Authentication-Server importieren. Sie können OATH-Token mit Active Directory Federation Services (AD FS), mit formularbasierter IIS-Authentifizierung (Internet Information Services) sowie mit Remote Authentication Dial-In User Service (RADIUS) verwenden, sofern das Clientsystem diese Benutzereingabe annehmen kann.

Sie können OATH TOTP-Drittanbietertoken mit folgenden Formaten importieren:

• Portable Symmetric Key Container (PSKC)
• CSV, wenn die Datei eine Seriennummer, einen geheimen Schlüssel im Base 32-Format, und ein Zeitintervall enthält

Ja, aber wenn Sie Windows Server 2012 R2 oder höher verwenden, können Sie Terminaldienste nur mithilfe von Remotedesktopgateway (RD-Gateway) schützen.

Aufgrund von Sicherheitsänderungen in Windows Server 2012 R2 hat sich die Verbindungsherstellung zwischen dem Multi-Factor Authentication-Server und dem Sicherheitspaket der lokalen Sicherheitsautorität (Local Security Authority, LSA) in Windows Server 2012 und früheren Versionen geändert. Bei der Verwendung von Terminaldiensten unter Windows Server 2012 oder einer älteren Version können Sie eine Anwendung mit der Windows-Authentifizierung sichern. Wenn Sie Windows Server 2012 R2 verwenden, benötigen Sie ein RD-Gateway.

Wenn Multi-Faktor-Authentifizierungsanrufe über das öffentliche Telefonnetz geleitet werden, laufen sie manchmal über einen Betreiber, der Anrufer-IDs nicht unterstützt. Aus diesem Grund ist die Anzeige der Rufnummer nicht garantiert, obwohl das Multi-Faktor-Authentifizierungssystem sie immer sendet.

Benutzer können aus mehreren Gründen zur Registrierung ihrer Sicherheitsinformationen aufgefordert werden:

• Unter Umständen hat der Administrator den Benutzer in Microsoft Entra ID für MFA aktiviert, der Benutzer hat jedoch noch keine Sicherheitsinformationen für sein Konto registriert.
• Für den Benutzer wurde die Self-Service-Kennwortzurücksetzung in Microsoft Entra ID aktiviert. Mithilfe der Sicherheitsinformationen kann der Benutzer sein Kennwort zurücksetzen, falls er es einmal vergessen sollte.
• Der Benutzer hat auf eine Anwendung mit einer Richtlinie für bedingten Zugriff zugegriffen, die MFA erfordert, und hat sich bislang noch nicht für MFA registriert.
• Der Benutzer registriert ein Gerät bei in Microsoft Entra ID (einschließlich in Microsoft Entra Join), und Ihre Organisation schreibt MFA für die Geräteregistrierung vor, der Benutzer hat sich bislang aber noch nicht für MFA registriert.
• Der Benutzer generiert Windows Hello for Business unter Windows 10 (wofür MFA erforderlich ist) und hat sich bislang noch nicht für MFA registriert.
• Eine von der Organisation erstellte und aktivierte MFA-Registrierungsrichtlinie wurde auf den Benutzer angewendet.
• Der Benutzer hat sich zwar bereits für MFA registriert, dabei aber eine Überprüfungsmethode gewählt, die inzwischen von einem Administrator deaktiviert wurde. Daher muss der Benutzer die MFA-Registrierung erneut durchlaufen und eine neue Standardüberprüfungsmethode auswählen.

Bitten Sie den Benutzer, das folgende Verfahren zu befolgen, um sein Konto aus Microsoft Authenticator zu entfernen und es anschließend erneut hinzuzufügen:

1. Wechseln Sie zum betroffenen Kontoprofil, und melden Sie sich mit einem Organisationskonto an.
2. Wählen Sie Zusätzliche Sicherheitsüberprüfung aus.
3. Entfernen Sie das vorhandene Konto aus der App Microsoft Authenticator.
4. Klicken Sie auf Konfigurieren, und folgen Sie den Anweisungen, um Microsoft Authenticator neu zu konfigurieren.

Der Fehler 0x800434D4L tritt auf, wenn Sie versuchen, sich bei einer nicht browserbasierten, auf einem lokalen Computer installierten Anwendung anzumelden, die nicht mit Konten verwendet werden kann, die eine zweistufige Überprüfung erfordern.

Um diesen Fehler zu umgehen, können Sie separate Benutzerkonten für Administratoraufgaben und Nicht-Administratoraufgaben erstellen. Später können Sie die Postfächer beider Konten miteinander verknüpfen, sodass Sie sich bei Outlook lediglich über ihr Nicht-Administratorkonto anmelden. Weitere Informationen über diese Lösung und wie ein Administrator die Möglichkeit erhält, den Inhalt des Postfachs eines Benutzers zu öffnen und anzuzeigen, finden Sie in Verwalten von Berechtigungen für Empfänger.

Fehler 1073741715 = Status Fehlgeschlagene Anmeldung -> Der Anmeldeversuch ist ungültig. Dies ist entweder auf einen falschen Benutzernamen oder eine falsche Authentifizierung zurückzuführen.

Ein möglicher Grund für diesen Fehler: Wenn die eingegebenen primären Anmeldeinformationen korrekt sind, liegt möglicherweise ein Konflikt zwischen der unterstützten NTLM-Version auf dem MFA-Server und dem Domänencontroller vor. MFA Server unterstützt nur NTLMv1 (LmCompatabilityLevel=1 bis 4), nicht jedoch NTLMv2 (LmCompatabilityLevel=5).

Nächste Schritte

Wenn Ihre Frage hier nicht beantwortet wird, sind die folgenden Supportoptionen verfügbar:

• Durchsuchen Sie die Microsoft Support Wissensdatenbank nach Lösungen für häufige technische Probleme.
• Suchen und durchsuchen Sie technische Fragen und Antworten aus der Community oder stellen Sie Ihre eigene Frage in den Microsoft Entra Q&A.
• Wenden Sie sich über den Support für Multi-Factor Authentication-Server an eine Microsoft-Fachkraft. Es ist hilfreich, wenn Sie uns so viele Informationen wie möglich über Ihr Problem geben, wenn Sie sich mit uns in Verbindung setzen. Diese Informationen können die Website umfassen, auf der der Fehler aufgetreten ist, den spezifischen Fehlercode, die spezifische Sitzungs-ID, und die ID des Benutzers, der den Fehler beobachtet hat.
• Wenn Sie ein PhoneFactor-Kunde mit einem älteren Gerät sind und Fragen haben oder Hilfe beim Zurücksetzen eines Kennworts benötigen, öffnen Sie über die E-Mail-Adresse phonefactorsupport@microsoft.com einen Supportvorgang.