Bedingter Zugriff: Authentifizierungsübertragung (Vorschau)

Die Authentifizierungsübertragung ist ein Authentifizierungsfluss, der die geräteübergreifende Anmeldung von PC zu Mobilgeräten für Microsoft-Apps vereinfacht. Benutzer können einen QR-Code in einer authentifizierten Microsoft-App auf ihrem PC verwenden, um sich auf einem mobilen Gerät bei derselben App anzumelden, ohne anmeldeinformationen erneut einzugeben. Die Authentifizierungsübertragung erhöht die Benutzerbindung, indem Benutzer auf mehreren Plattformen verbunden werden.

Note

Die Authentifizierungsübertragung befindet sich derzeit in der Preview-Phase. Weitere Informationen zu Vorschauversionen finden Sie unter Universelle Lizenzbedingungen für Onlinedienste.

Screenshot einer Beispielrichtlinie für bedingten Zugriff, die die Authentifizierungsübertragung mit einem Blocksteuerelement verwendet.

Voraussetzungen

  • Für jeden Benutzer, der den Richtlinien für bedingten Zugriff unterliegt, die die Authentifizierungsübertragung verwalten, ist eine Microsoft Entra ID P1-Lizenz erforderlich. Weitere Informationen zur Lizenzierung finden Sie unter Planen einer Bereitstellung für bedingten Zugriff.
  • Um Richtlinien für bedingten Zugriff zu erstellen oder zu ändern, die die Authentifizierungsübertragung verwalten, melden Sie sich als Administrator für bedingten Zugriff an.
  • Die Authentifizierungsübertragung ist standardmäßig für alle Benutzer aktiviert. Es ist keine Erstkonfiguration erforderlich, damit Benutzer das Feature verwenden können.

Funktionsweise der Authentifizierungsübertragung

Mit der Authentifizierungsübertragung können Sie Authentifizierungsansprüche von einem Gerät auf ein anderes übertragen, z. B. von einem Desktop-PC auf ein mobiles Gerät. Die folgenden Schritte beschreiben den Fluss:

  1. Ein Benutzer meldet sich bei einer unterstützten Microsoft-App auf dem PC an und schließt alle erforderlichen Authentifizierungen ab, einschließlich mehrstufiger Authentifizierung (MFA).
  2. Die App zeigt einen QR-Code an, den der Benutzer mit ihrem mobilen Gerät scannen kann.
  3. Der Benutzer scannt den QR-Code mithilfe einer unterstützten Microsoft-App auf ihrem mobilen Gerät.
  4. Die Microsoft Entra-ID wertet alle anwendbaren Richtlinien für den bedingten Zugriff für die mobile Ziel-App aus.
  5. Wenn die Richtlinien erfüllt sind, werden die Authentifizierungsansprüche auf das mobile Gerät übertragen und der Benutzer wird automatisch angemeldet.
  6. Wenn die Richtlinien nicht erfüllt sind, schlägt die Übertragung fehl, und der Benutzer wird aufgefordert, sich manuell auf dem mobilen Gerät anzumelden.

Authentifizierungsübertragung überträgt nur Authentifizierungsansprüche. Gerätebezogene Ansprüche, wie der Gerätekonformitätsstatus, werden nicht auf das Zielgerät übertragen. Das mobile Gerät muss unabhängig alle gerätebasierten Anforderungen für bedingten Zugriff erfüllen.

Wenn ein Benutzer eine Authentifizierungsübertragung durchführt, wird die Sitzung als protokollverfolgt. Die Protokollnachverfolgung bedeutet, dass der Sitzungszustand durch nachfolgende Tokenaktualisierungen beibehalten wird. Nachfolgende Anmeldeversuche innerhalb derselben Sitzung können der Durchsetzung von Authentifizierungsrichtlinien unterliegen, auch wenn sie keinen Authentifizierungstransfer verwenden.

Unterstützte Apps

Die Authentifizierungsübertragung ist für Microsoft-Apps verfügbar, die den geräteübergreifenden QR-Codefluss unterstützen. Benutzer sehen z. B. in der Desktopversion von Outlook einen QR-Code, der beim Scannen auf ihrem mobilen Gerät ihren authentifizierten Zustand an die mobile Version von Outlook überträgt. Die Unterstützung variiert je nach App und Version. Überprüfen Sie die entsprechende Microsoft-App-Dokumentation, um zu überprüfen, ob sie die Authentifizierungsübertragung unterstützt.

Important

Die Authentifizierungsübertragung wird für Nicht-Microsoft-Apps nicht unterstützt.

Ablauf für Endbenutzer

Die Authentifizierungsübertragungserfahrung wurde entwickelt, um die Reibung für Benutzer zu reduzieren, die auf mehreren Geräten arbeiten.

Auf dem Desktop (Quellgerät):

  • Der Benutzer ist bei einer unterstützten Microsoft-App auf dem PC angemeldet.
  • In der App wird ein QR-Code angezeigt, der die Sitzung auf ein mobiles Gerät überträgt.

Auf dem mobilen Gerät (Zielgerät):

  • Der Benutzer öffnet eine unterstützte Microsoft-App und scannt den QR-Code.
  • Wenn alle Richtlinien für bedingten Zugriff erfüllt sind, wird der Benutzer automatisch angemeldet, ohne erneut Anmeldeinformationen einzugeben oder MFA erneut abzuschließen.
  • Wenn eine Richtlinie für bedingten Zugriff für das mobile Gerät nicht erfüllt ist, wird der Benutzer aufgefordert, sich manuell anzumelden. Möglicherweise muss der Benutzer MFA abschließen oder andere Anforderungen auf dem mobilen Gerät erfüllen.

Authentifizierungsübertragung und bedingter Zugriff

Während der Authentifizierungsübertragung werden alle Richtlinien für den bedingten Zugriff von Microsoft Entra ausgewertet. Wenn Sie verstehen, wie Richtlinien mit der Authentifizierungsübertragung interagieren, können Sie Ihre Organisation schützen und gleichzeitig die Produktivität der Benutzer gewährleisten.

Authentifizierungsansprüche werden übertragen, Geräteansprüche nicht:

  • Authentifizierungsübertragung überträgt nur Authentifizierungsansprüche. Gerätebezogene Ansprüche wie Compliancestatus oder verwalteter Status werden nicht übertragen.
  • Wenn eine Richtlinie für bedingten Zugriff Gerätecompliance oder ein verwaltetes Gerät erfordert, muss das mobile Gerät diese Anforderungen unabhängig voneinander erfüllen.

MFA ist nicht erneut erforderlich, wenn sie bereits abgeschlossen wurde:

  • Wenn Benutzer MFA auf ihrem PC abschließen, müssen sie MFA während der Authentifizierungsübertragung nicht erneut auf ihrem mobilen Gerät ausführen.

Richtlinien für bedingten Zugriff werden vor der Übertragung ausgewertet:

  • Richtlinien für bedingten Zugriff werden ausgewertet, bevor die Authentifizierungsübertragung abgeschlossen ist. Wenn eine Richtlinie für das mobile Gerät nicht erfüllt ist, wird der Benutzer aufgefordert, sich manuell anzumelden.

Microsoft-fremde MDM-Umgehung:

  • Die Authentifizierungsübertragung umgeht mobile Geräteverwaltungslösungen (MDM) von nicht-Microsoft-Anbietern, wenn sie auf mobile Geräte übertragen wird. Diese Umgehung bedeutet, dass Organisationen, die sich auf Nicht-Microsoft MDM-Lösungen verlassen, um Zugriffssteuerungen zu erzwingen, möglicherweise eine Sicherheitslücke bei der Authentifizierungsübertragung haben. Wenn Ihre Organisation eine nicht von Microsoft stammende MDM-Lösung verwendet, sollten Sie die Authentifizierungsübertragung für betroffene Benutzer oder Apps blockieren.

Erneute Authentifizierung des primären Aktualisierungstokens (PRIMARY Refresh Token, PRT):

  • Benutzer müssen auf ihrem PC erneut authentifizieren, um die Authentifizierungsübertragung zu initiieren, auch wenn sie geschützte Sitzungstoken wie das primäre Aktualisierungstoken besitzen. Nach der erneuten Authentifizierung auf dem PC müssen sich Benutzer in der mobilen App nicht erneut anmelden.

Bekannte Einschränkungen

Überprüfen Sie die folgenden Einschränkungen, bevor Sie die Authentifizierungsübertragung in Ihrer Organisation aktivieren oder verwalten:

  • Geräteansprüche werden nicht übertragen. Nur Authentifizierungsansprüche werden auf das mobile Gerät übertragen. Gerätekompatibilität, verwalteter Zustand und andere gerätebezogene Ansprüche müssen unabhängig vom mobilen Gerät erfüllt werden.
  • Nicht-Microsoft MDM-Umgehung. Bei der Authentifizierungsübertragung werden nicht von Microsoft stammende MDM-Lösungen umgangen. Organisationen, die von nicht von Microsoft MDM für die mobile Zugriffssteuerung abhängig sind, sollten die Sicherheitsauswirkungen bewerten. Weitere Informationen finden Sie in der Zero Trust-Anleitung zum Blockieren der Authentifizierungsübertragung.
  • Nur Microsoft-Apps. Die Authentifizierungsübertragung ist nur für Microsoft-Apps verfügbar. Dieser Ablauf wird von Nicht-Microsoft-Apps nicht unterstützt.
  • Protokollverfolgung. Nachdem ein Benutzer die Authentifizierungsübertragung durchgeführt hat, wird die Sitzung protokolliert. Andere Anmeldeversuche innerhalb derselben Sitzung unterliegen möglicherweise Authentifizierungsflussrichtlinien, auch wenn sie einen anderen Authentifizierungsfluss verwenden.
  • PRT-Erneute Authentifizierung erforderlich. Benutzer müssen sich auf ihrem PC erneut anmelden, um die Authentifizierungsübertragung zu starten, selbst wenn bereits eine Sitzung mit einem Primary Refresh Token besteht.

Sicherheitsaspekte

Microsoft empfiehlt Organisationen, zu bewerten, ob die Authentifizierungsübertragung für ihre Benutzer erforderlich ist. Die Zero Trust-Anleitung zum Schutz von Identitäten empfiehlt das Blockieren der Authentifizierungsübertragung als bewährte Methode zur Sicherheit.

Das Blockieren der Authentifizierungsübertragung schützt vor Tokendiebstahl- und Replay-Angriffen, indem verhindert wird, dass Gerätetoken für die automatische Authentifizierung auf anderen Geräten verwendet werden. Wenn die Authentifizierungsübertragung aktiviert ist, könnte ein Bedrohungsakteur, der Zugriff auf ein Gerät erhält, potenziell auf Ressourcen auf nicht genehmigten Geräten zugreifen und standardauthentifizierungs- und Gerätekompatibilitätsprüfungen umgehen.

Beachten Sie die folgenden Empfehlungen:

  • Blockieren sie die Authentifizierungsübertragung, es sei denn, Sie benötigen eine dokumentierte geschäftliche Notwendigkeit für die geräteübergreifende Anmeldung. Verwenden Sie eine Richtlinie für bedingten Zugriff, um die Authentifizierungsübertragung zu blockieren.
  • Verwenden Sie zuerst den Modus "Nur Bericht", um zu verstehen, wie die Authentifizierungsübertragung in Ihrer Organisation verwendet wird, bevor Sie einen Block erzwingen.
  • Schließen Sie Notfallzugriffskonten aus jeder Richtlinie aus, die die Authentifizierungsübertragung blockiert.

Authentifizierungsübertragung in Anmeldeprotokollen

Administratoren können die Microsoft Entra-Anmeldeprotokolle überprüfen, um festzustellen, ob Benutzer die Authentifizierungsübertragung zum Anmelden verwenden. Authentifizierungsübertragungsereignisse werden nacheinander angezeigt, wobei das erste Ereignis einen QR-Code für die Authentifizierungsmethode zeigt.

Um den Protokollverfolgungsstatus einer Anmeldung zu überprüfen, wählen Sie das Anmeldeereignis aus, und suchen Sie die Eigenschaft "Ursprüngliche Übertragungsmethode " im Abschnitt "Grundlegende Informationen " des Bereichs "Aktivitätsdetails: Anmeldungen ". Für eine Sitzung, in der die Authentifizierungsübertragung durchgeführt wurde, wird die ursprüngliche Übertragungsmethode auf die Authentifizierungsübertragung festgelegt.

Verwalten der Authentifizierungsübertragung für bestimmte Benutzer und Apps

Die Authentifizierungsübertragung ist standardmäßig für alle Benutzer aktiviert. Administratoren verwalten die Authentifizierungsübertragung mithilfe von Richtlinien für bedingten Zugriff und der Bedingung für die Authentifizierungsflüsse . Diese Bedingung schränkt die Authentifizierungsübertragung auf bestimmte Benutzer, Apps oder deaktiviert die Funktionalität vollständig ein.

Bei der Authentifizierungsübertragung werden alle anwendbaren Richtlinien für bedingten Zugriff überprüft, bevor der Benutzer bei einer mobilen App angemeldet wird. Wenn die erforderlichen Bedingungen nicht erfüllt sind, wird der Benutzer aufgefordert, sich bei der mobilen App anzumelden.

Informationen zum Erstellen einer Richtlinie, die die Authentifizierungsübertragungsbedingung verwendet, finden Sie unter "Blockieren der Authentifizierungsübertragung mit richtlinie für bedingten Zugriff".

Troubleshooting

Führen Sie die folgenden Schritte aus, um Probleme mit der Authentifizierungsübertragung zu beheben.

Die Authentifizierungsübertragung schlägt für einen Benutzer fehl:

  1. Überprüfen Sie die Anmeldeprotokolle auf Authentifizierungsübertragungsereignisse . Suchen Sie nach dem Eintrag der QR-Code-Authentifizierungsmethode.
  2. Wählen Sie das Anmeldeereignis aus, und navigieren Sie zur Registerkarte " Bedingter Zugriff ", um zu ermitteln, welche Richtlinien ausgewertet wurden und ob die Übertragung blockiert wurde.
  3. Stellen Sie sicher, dass das mobile Zielgerät alle Anforderungen für den bedingten Zugriff erfüllt, einschließlich Gerätekompatibilität und Standortrichtlinien.

Unerwartete Blöcke nach der Authentifizierungsübertragung:

  1. Überprüfen Sie, ob die Anmeldung durch einen Status der Protokollverfolgung von einer vorherigen Authentifizierungsübertragung oder Gerätecodeflusssitzung blockiert wird.
  2. Wählen Sie in den Anmeldeprotokollen die blockierte Anmeldung aus, und überprüfen Sie die Eigenschaft der ursprünglichen Übertragungsmethode im Abschnitt "Grundlegende Informationen ". Wenn die Authentifizierungsübertragung oder der Gerätecodefluss angezeigt wird, wurde die Sitzung protokolliert.
  3. Wenn Ihre Authentifizierungsflussrichtlinie für alle Anwendungen gilt, wird möglicherweise der Fehlercode AADSTS530036angezeigt. Dieser Fehler gibt an, dass das Aktualisierungstoken aufgrund von Überprüfungen des Authentifizierungsflusses durch bedingten Zugriff ungültig ist.

Benutzer können keine Authentifizierungsübertragung initiieren:

  • Wenn eine Richtlinie für bedingten Zugriff die Authentifizierung für den Benutzer verwaltet, überprüfen Sie, ob dem Benutzer eine Microsoft Entra ID P1-Lizenz zugewiesen ist.
  • Überprüfen Sie, ob keine Richtlinie für bedingten Zugriff die Übertragung der Authentifizierung für die Benutzergruppe oder die Ziel-App blockiert.
  • Vergewissern Sie sich, dass der Benutzer eine unterstützte Microsoft-App auf den Quell- und Zielgeräten verwendet.

Weitere Informationen zur Problembehandlung von Authentifizierungsflüssen finden Sie unter "Problembehandlung unerwarteter Blöcke".

Zugehöriger Inhalt

  • Last updated on