Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) fordert Benutzer auf, sich mit der sichersten Methode anzumelden, die sie registriert haben. Es ist eine wichtige Sicherheitsverbesserung für Benutzer, die sich mithilfe von telefonbasierten Methoden authentifizieren. Administratoren können die vom System bevorzugte MFA aktivieren, um die Anmeldesicherheit zu verbessern und weniger sichere Anmeldemethoden wie Short Message Service (SMS) zu unterbinden.
Wenn ein Benutzer beispielsweise sowohl SMS als auch Microsoft Authenticator-Pushbenachrichtigungen als Methoden für MFA registriert hat, fordert die vom System bevorzugte MFA den Benutzer auf, sich mit der sichereren Methode der Pushbenachrichtigungen anzumelden. Der Benutzer kann sich weiterhin mit einer anderen Methode anmelden, aber er wird zuerst aufgefordert, die sicherste Methode zu verwenden, die er registriert hat.
Die vom System bevorzugte MFA ist eine von Microsoft verwaltete Einstellung, bei der es sich um eine Richtlinie mit drei Zuständen handelt. Der Microsoft verwaltete Wert der systembevorzugten MFA ist aktiviert. Wenn Sie die vom System bevorzugte MFA nicht aktivieren möchten, ändern Sie den Status von Microsoft verwaltet auf Deaktiviert, oder schließen Sie Benutzer und Gruppen von der Richtlinie aus.
Nachdem die vom System bevorzugte MFA aktiviert wurde, übernimmt das Authentifizierungssystem die gesamte Arbeit. Benutzer müssen keine Authentifizierungsmethode als ihren Standard festlegen, da das System immer die sicherste von ihnen registrierte Methode ermittelt und bereitstellt.
Bei vom Gerät bevorzugten Anmeldeinformationen (Vorschau) bewertet die vom System bevorzugte Authentifizierung, welche Anmeldeinformationen zur Anmeldezeit des Benutzers verfügbar sind, und fordert den Benutzer mit der stärksten Option auf.
Vom Gerät bevorzugte Anmeldeinformationen (Vorschau)
Die gerätepräferierten Anmeldeinformationen sind eine Erweiterung für die Anmeldung, die die vorhandene, zuletzt verwendete Anmeldeinformationslogik (MRU) ersetzt. Anstatt den Benutzern standardmäßig die Anmeldeinformationen zuzuweisen, die sie zuletzt auf Kontoebene verwendet haben, bewertet die vom Gerät bevorzugten Anmeldeinformationen die besten verfügbaren Anmeldeinformationen auf dem Gerät des Benutzers zur Anmeldezeit.
Wenn sich beispielsweise ein Benutzer zuvor mit SMS angemeldet hat, aber auch ein Passkey auf dem Gerät verfügbar ist, werden dem Benutzer stattdessen die gerätbevorzugten Anmeldeinformationen mit dem Passkey angezeigt.
Gerätebevorzugte Anmeldemodi
Die vom Gerät bevorzugten Anmeldeinformationen weisen drei Modi auf:
- Deaktiviert – Keine Änderung der Anmeldelogik. Die vorhandene MRU-Logik wird weiterhin angewendet.
- Aktiviert – Die vom Gerät bevorzugte Anmeldeinformationenlogik gilt nur für Benutzer im definierten Bereich als zweite Authentifizierungsebene (MFA).
-
Von Microsoft verwaltet – Vom Gerät bevorzugte Anmeldeinformationen werden nur für MFA (Second-Factor, MFA) von Microsoft verwaltete Standardwerte verwendet. Eine Umschaltfläche für "Anwenden" für die primäre und die mehrstufige Authentifizierung (Vorschau) steuert, ob das Feature auch für die primäre Authentifizierung gilt:
- Deaktiviert (Standard) – Die vom Gerät bevorzugten Anmeldeinformationen gelten nur für den zweiten Faktor.
- Aktiviert – Die vom Gerät bevorzugten Anmeldeinformationen gelten sowohl für die primäre als auch für die sekundäre Authentifizierung.
Sowohl aktivierte als auch von Microsoft verwaltete Modi ermöglichen Administratoren das Einschließen oder Ausschließen bestimmter Benutzer oder Gruppen.
Hinweis
Die vom Gerät bevorzugten Anmeldeinformationen sind auf Benutzer und nicht auf Geräte ausgerichtet. Administratoren können Benutzer oder Gruppen ein- oder ausschließen, jedoch keine gerätebevorzugten Anmeldeinformationen bestimmten Geräten oder Gerätegruppen zuweisen. Der Gerätekontext wird während der Anmeldung dynamisch ausgewertet.
Bekannte Einschränkungen
- Wenn Sie die Richtlinie für eine Zielgruppe ändern, wirkt sich die Änderung möglicherweise nicht auf die nächste Anmeldung des Benutzers aus. Sie gilt für alle nachfolgenden Anmeldungen danach.
- Die Richtlinie für bedingten Zugriff wird nur für MFA überprüft und gilt nicht für die erststufige Authentifizierung.
Aktivieren der vom System bevorzugten MFA im Microsoft Entra Admin Center
Standardmäßig wird die vom System bevorzugte MFA von Microsoft verwaltet und für alle Benutzer aktiviert.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu>ID-Authentifizierungsmethoden>.
Wählen Sie für die vom System bevorzugte Multi-Faktor-Authentifizierung aus, ob Sie die Funktion explizit aktivieren oder deaktivieren und Benutzer ein- oder ausschließen möchten. Ausgeschlossene Gruppen haben Vorrang vor eingeschlossenen Gruppen.
Wenn Sie den Status auf "Von Microsoft verwaltet" festlegen, wird ein Umschalter für "Anwenden" sowohl für die primäre als auch für die mehrstufige Authentifizierung (Vorschau) angezeigt. Aktivieren Sie die Umschaltfläche, um die vom Gerät bevorzugte Anmeldeinformationslogik sowohl auf die primäre als auch die sekundäre Authentifizierung anzuwenden. Wenn die Umschaltfläche deaktiviert ist (Standardeinstellung), gelten die vom Gerät bevorzugten Anmeldeinformationen nur für den zweiten Faktor.
Der folgende Screenshot zeigt beispielsweise, wie Sie die vom System bevorzugte MFA explizit nur für die Engineering-Gruppe aktivieren.
Nachdem Sie alle Änderungen vorgenommen haben, wählen Sie "Speichern" aus.
Aktivieren der vom System bevorzugten MFA mithilfe von Graph-APIs
Um die vom System bevorzugte MFA im Voraus zu aktivieren, müssen Sie eine einzelne Zielgruppe für die Schemakonfiguration auswählen, wie im Beispiel für die Anforderung gezeigt.
Konfigurationseigenschaften der Authentifizierungsmethode
Standardmäßig ist die vom System bevorzugte MFA Microsoft managed und enabled.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| excludeTarget | featureTarget | Eine einzelne Entität, die aus diesem Feature ausgeschlossen ist. Sie können nur eine Gruppe von der vom System bevorzugten MFA ausschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
| includeTarget | featureTarget | Eine einzelne Entität, die in diesem Feature enthalten ist. Sie können nur eine Gruppe für die vom System bevorzugte MFA einschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
| Staat | advancedConfigState | Mögliche Werte: enabled explicitly enables die feature für die selected group. Deaktiviert explicitly disables die feature für die selected group. Standard ermöglicht Microsoft Entra ID die Verwaltung, ob die Funktion für die ausgewählte Gruppe aktiviert ist oder nicht. |
FeatureTarget-Eigenschaften
Die vom System bevorzugte MFA kann nur für eine einzelne Gruppe aktiviert werden, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| ID | Schnur | Die ID der Zielentität. |
| Zieltyp | featureTargetType | Die Art der Zielentität, wie z. B. eine Gruppe, eine Rolle oder eine administrative Einheit. Die möglichen Werte sind „group“, „administrativeUnit', „role“, „unknownFutureValue“. |
Verwenden Sie den folgenden API-Endpunkt, um systemCredentialPreferences zu aktivieren und Gruppen einzuschließen oder auszuschließen:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Hinweis
Im Graph-Tester müssen Sie der Berechtigungen Policy.ReadWrite.AuthenticationMethod zustimmen.
Anforderung
Das folgende Beispiel schließt eine Beispielzielgruppe aus und schließt alle Benutzer ein. Weitere Informationen finden Sie unter authenticationMethodsPolicy aktualisieren.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Häufig gestellte Fragen
Wie bestimmt die vom System bevorzugte MFA die sicherste Methode?
Wenn sich ein Benutzer anmeldet, überprüft der Authentifizierungsprozess, welche Authentifizierungsmethoden für den Benutzer registriert sind. Der Benutzer wird aufgefordert, sich mit der sichersten Methode gemäß der folgenden Reihenfolge anzumelden. Die Reihenfolge der Authentifizierungsmethoden ist dynamisch und wird aktualisiert, wenn sich die Sicherheitslandschaft ändert und bessere Authentifizierungsmethoden entstehen. Benutzer können jederzeit abbrechen und eine andere verfügbare Anmeldemethode auswählen. Wenn Ihre Organisation Über Richtlinien für bedingten Zugriff verfügt, die bestimmte Authentifizierungsmethoden erfordern, haben diese Richtlinien weiterhin Vorrang vor der vom System bevorzugten MFA-Reihenfolge.
Wenn gerätepräferierte Anmeldeinformationen aktiviert sind, prüft das System, welche Anmeldeinformationen auf dem Gerät des Benutzers verfügbar sind, und wählt die höchstrangige Methode aus dieser Liste aus.
| Rang | Credential | Kategorie | Erfüllt die Anforderung für |
|---|---|---|---|
| 1 | Temporärer Zugriffspass (TAP) | Wiederherstellung | Ein-Faktor-Authentifizierung (1FA) + Mehrfaktor-Authentifizierung (MFA) |
| 2 | Passkey1 | Phishing-widerstandsfähig | 1FA (Einzelfaktorauthentifizierung) + MFA (Mehrfaktorauthentifizierung) |
| 3 | Zertifikatbasierte Authentifizierung (CBA) | Phishing-widerstandsfähig | 1FA oder 1FA + MFA |
| 4 | Microsoft Authenticator-Benachrichtigungen | Kennwortlos | 1FA (Ein-Faktor-Authentifizierung) + MFA (Multi-Faktor-Authentifizierung) |
| 5 | Externe mehrstufige Authentifizierung (MFA) | — | Mehrfaktor-Authentifizierung (MFA) |
| 6 | Zeitbasiertes einmaliges Kennwort (TOTP)2 | — | Mehrfaktor-Authentifizierung (MFA) |
| 7 | Telefonie3 | — | Mehrfaktor-Authentifizierung (MFA) |
| 8 | QR-Code | Mitarbeiter an vorderster Front | 1FA |
| 9 | Passwort | — | 1FA |
1Umfasst Sicherheitsschlüssel, Passkeys in der Authenticator-App, synchronisierte Kennungen, Windows Hello for Business und macOS Platform SSO.
2Umfasst Hardware- oder Software-TOTP von Microsoft Authenticator, Authenticator Lite oder Anwendungen von Drittanbietern.
3Umfasst SMS und Sprachanrufe.
Von Bedeutung
Die zertifikatbasierte Authentifizierung (Certificate-based Authentication, CBA) wurde aufgrund bekannter Probleme mit der CBA und der vom System bevorzugten MFA als letzte Option innerhalb der Reihenfolge der vom System bevorzugten MFA platziert. Nachdem diese Probleme behoben wurden, wird die zertifikatbasierte Authentifizierung ab dem 18. März 2026 an die dritte Position in der Authentifizierungsreihenfolge verschoben.
Wie wirkt sich die systemseitig bevorzugte MFA auf die NPS-Erweiterung aus?
Die systemseitig bevorzugte MFA wirkt sich nicht auf Benutzer aus, die sich mit der NPS-Erweiterung (Network Policy Server, Netzwerkrichtlinienserver) anmelden. Diese Benutzer sehen keine Änderungen an ihrer Anmeldeerfahrung.
Was geschieht bei Benutzern, die nicht in der Authentifizierungsmethodenrichtlinie angegeben sind, aber in der mandantenweiten Legacy-MFA-Richtlinie aktiviert sind?
Die vom System bevorzugte MFA gilt auch für Benutzer, die für MFA in der Legacy-MFA-Richtlinie aktiviert sind.
Wie unterscheiden sich die vom Gerät bevorzugten Anmeldeinformationen vom vorherigen Anmeldeverhalten?
Die vorherige zuletzt verwendete (MRU)-Logik hat die anmeldeinformationen ausgewählt, die zuletzt vom Benutzer auf Kontoebene verwendet wurden. Die vom Gerät bevorzugten Anmeldeinformationen ersetzen diese Logik durch die Auswertung des Gerätekontexts und verfügbarer Anmeldeinformationen zur Anmeldezeit und wählt dann die stärkste anwendbare Methode aus.
Müssen Administratoren Anmeldeinformationen für jedes Gerät konfigurieren?
Nein. Die Sortierreihenfolge der Anmeldeinformationen ist systemdefiniert. Administratoren müssen die Priorität der Anmeldeinformationen nicht pro Benutzer oder gerät konfigurieren. Vom Gerät bevorzugte Anmeldeinformationen werden automatisch ausgewertet, welche Anmeldeinformationen zur Anmeldezeit auf dem Gerät verfügbar und unterstützt werden.
Können Benutzer immer noch eine andere Anmeldemethode mit vom Gerät bevorzugten Anmeldeinformationen auswählen?
Ja. Vom Gerät bevorzugte Anmeldeinformationen bieten Benutzern die bestmöglichen verfügbaren Anmeldeinformationen an, aber Benutzer können während der Anmeldung weiterhin andere zulässige Methoden auswählen. Das System ändert die Standardeinstellung nicht basierend auf der Auswahl des Benutzers.