Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Authentifizierung ist ein Sicherheitsprozess, der die Identität eines Benutzers überprüft, bevor der Zugriff auf Apps, Dienste, Geräte oder Netzwerke gewährt wird.
Von Microsoft Entra ID unterstützte Authentifizierungsmethoden
In der folgenden Tabelle wird beschrieben, wann eine Authentifizierungsmethode für die primäre Authentifizierung (erster Faktor), sekundäre Authentifizierung mit Microsoft Entra mehrstufige Authentifizierung (MFA), Self-Service Password Reset (SSPR) oder Kontowiederherstellung verwendet werden kann.
| Methode | Primäre Authentifizierung | Sekundäre Authentifizierung | SSPR / Kontowiederherstellung |
|---|---|---|---|
| Authenticator Lite | Nein | MFA | Nein |
| Zertifikatbasierte Authentifizierung | Yes | MFA | Nein |
| E-Mail OTP | Nein | SSPR und Anmeldung2 | SSPR |
| Externe MFA | Nein | MFA | Nein |
| Hardware-OATH-Token (Vorschau) | Nein | MFA | SSPR |
| Microsoft Authenticator kennwortlos | Yes | Nein | Nein |
| Microsoft Authenticator-Pushbenachrichtigungen | Yes | MFA | SSPR |
| Passkey (FIDO2) | Yes | MFA | Nein |
| Passcode in Microsoft Authenticator | Yes | MFA | Nein |
| Kennwort | Yes | Nein | Nein |
| Plattformanmeldeinformationen für macOS | Yes | MFA | Nein |
| QR-Code | Yes | Nein | Nein |
| SMS-Anmeldung | Yes | MFA | SSPR |
| OATH-Softwaretoken | Nein | MFA | SSPR |
| Synchronisierter Schlüssel | Yes | MFA | Nein |
| Temporärer Zugriffspass (TAP) | Yes | MFA | Nein |
| Überprüfte ID3 | Nein | Nein | Kontowiederherstellung |
| Sprachanruf | Nein | MFA | SSPR |
| Windows Hello für Unternehmen | Yes | MFA1 | Nein |
1Windows Hello for Business kann als mehrstufige MFA-Anmeldeinformationen dienen, wenn ein Benutzer für passkey (FIDO2) aktiviert ist und einen Kennungsschlüssel registriert hat.
2E-Mail-OTP ist für Mandantenmitglieder für die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) verfügbar. Sie können sie auch für die Anmeldung durch Gastbenutzer konfigurieren.
3Überprüfte ID ist eine Identitätsüberprüfungsfunktion, keine herkömmliche Authentifizierungsmethode. Sie stellt den Nachweis der Identität für die Kontowiederherstellung bereit, kann jedoch nicht für die Anmeldung, MFA oder SSPR verwendet werden.
Phishing-beständige Authentifizierungsmethoden
Während herkömmliche MFA mit SMS-, E-Mail-OTP- oder Authentifikator-Apps die Sicherheit gegenüber rein kennwortgeschützten Systemen erheblich verbessert, führen diese Optionen zu einer Reibung – was zusätzliche Schritte für Benutzer erfordert, z. B. Die Eingabe von Codes, das Genehmigen von Pushbenachrichtigungen oder die Verwendung von Authentifikator-Apps. Darüber hinaus sind diese MFA-Optionen anfällig für Remotephishingangriffe. In einem Remotephishingangriff verwenden Angreifer Social Engineering- und KI-gesteuerte Tools, um Identitätsanmeldeinformationen wie Kennwörter oder Einmalcodes ohne physischen Zugriff auf das Gerät eines Benutzers zu stehlen.
Microsoft empfiehlt die Verwendung von Phishing-resistenten Authentifizierungsmethoden wie Windows Hello for Business, Passkeys (FIDO2) und FIDO2-Sicherheitsschlüsseln oder zertifikatbasierter Authentifizierung (CBA), da sie die sicherste Anmeldeumgebung bieten.
Die folgenden Phishing-resistenten Authentifizierungsmethoden sind in Microsoft Entra ID verfügbar:
- Windows Hello für Unternehmen
- Plattformanmeldedaten für macOS
- Synchronisierte Anmeldeschlüssel (FIDO2)
- FIDO2-Sicherheitsschlüssel
- Passwortschlüssel in Microsoft Authenticator
- Zertifikatbasierte Authentifizierung (CBA)
Überprüfte ID-Identitätsüberprüfung
Überprüfte ID ist eine Identitätsüberprüfungsfunktion in Microsoft Entra ID – keine herkömmliche Authentifizierungsmethode. Sie kann nicht verwendet werden, um Authentifizierungsanforderungen wie Anmeldung, MFA oder SSPR zu erfüllen. Stattdessen stellt die überprüfte ID einen kryptografischen Nachweis für die überprüfte Identität eines Benutzers für Szenarien bereit, in denen die Vertrauensstellung erneut eingerichtet werden muss, z. B. die Kontowiederherstellung, wenn alle Authentifizierungsmethoden verloren gehen.
Identitätsüberprüfungsprofile steuern, welche Benutzer an überprüften ID-Flüssen teilnehmen können, welcher Anbieter die Überprüfung durchführt und wie Identitätsansprüche überprüft werden. Administratoren konfigurieren Profile über den Setup-Assistenten für die Kontowiederherstellung im Microsoft Entra Admin Center, und die Seite "Überprüfte ID-Richtlinie" bietet Einblicke in Profilzuweisungen und globale Ausschlüsse.
Weitere Informationen finden Sie unter Übersicht über die Überprüfung überprüfter ID-Identitäten.
Wiederherstellung von Konten mit hoher Sicherheit
Die Kontowiederherstellung ist der Prozess, um Benutzern zu helfen, die alle Ihre Anmeldeinformationen verloren haben und nicht mehr auf ihr Konto zugreifen können. Traditionell ruft ein Benutzer den Helpdesk an, beantwortet Fragen, um seine Identität zu überprüfen, und der Helpdesk setzt seine Anmeldeinformationen zurück. Microsoft Entra ID unterstützt jetzt die von der Regierung ausgestellte ID-Überprüfung mit biometrischem Abgleich für die Wiederherstellung von Hochsicherheitskonten – die Notwendigkeit einer Helpdesk-Intervention zu beseitigen und Social Engineering-Risiken zu beseitigen.
Organisationen können über den Microsoft Security Store von führenden Identitätsüberprüfungsanbietern (IDV) wählen. Diese Partner bieten Abdeckung in 192 Ländern/Regionen und Remoteüberprüfung für die meisten von behörden ausgestellten ID-Dokumente, einschließlich Führerscheinen und Reisepassen. Microsoft Entra Verified ID Gesichtsüberprüfung, unterstützt von Azure KI Services, überprüft den Anwesenheitsnachweis, indem es das Echtzeit-Selfie eines Benutzers mit dem Foto aus seinem Identitätsdokument abgleicht. Nur das Übereinstimmungsergebnis wird freigegeben – keine vertraulichen Identitätsdaten – was die Privatsphäre des Benutzers bei gleichzeitiger Gewährleistung einer starken Identitätsüberprüfung bewahrt.