Authentifizierungsmethoden in Microsoft Entra ID – Microsoft Authenticator-App

Artikel
12/04/2024

Microsoft Authenticator bietet eine weitere Sicherheitsebene für Ihr Microsoft Entra-Geschäfts-, Schul- oder Unikonto oder Ihr Microsoft-Konto. Er ist für Android und iOS verfügbar. Mit der Microsoft Authenticator-App können sich Benutzer während der Anmeldung auf kennwortlose Weise authentifizieren. Sie können sie auch als Überprüfungsoption bei Ereignissen der Self-Service-Kennwortzurücksetzung (SSPR) oder der Multi-Faktor-Authentifizierung (MFA) verwenden.

Microsoft Authenticator unterstützt Passkey, kennwortlose Anmeldung und MFA mithilfe von Benachrichtigungen und Überprüfungscodes.

Benutzer können sich mit einem Passkey in der Authenticator-App anmelden und die Phishing-resistente Authentifizierung mit ihrer biometrischen Anmelde- oder Geräte-PIN abschließen.
Benutzer können Authenticator-Benachrichtigungen einrichten und sich mit Authenticator anstelle ihres Benutzernamens und Kennworts anmelden.
Benutzer können eine MFA-Anforderung auf ihrem mobilen Gerät erhalten und den Anmeldeversuch von ihrem Telefon genehmigen oder verweigern.
Sie können auch einen OATH-Überprüfungscode in der Authenticator-App verwenden und in eine Anmeldebenutzeroberfläche eingeben.

Weitere Informationen finden Sie unter Aktivieren der kennwortlosen Anmeldung mit dem Microsoft Authenticator.

Hinweis

Wenn Benutzer SSPR aktivieren, haben sie keine Möglichkeit, die mobile App zu registrieren. Stattdessen können sie die mobile App auf https://aka.ms/mfasetup oder im Rahmen der kombinierten Registrierung von Sicherheitsinformationen auf https://aka.ms/setupsecurityinfo registrieren. Die Authenticator-App wird auf Betaversionen von iOS und Android möglicherweise nicht unterstützt. Außerdem unterstützt die Authenticator-App auf Android ab dem 20. Oktober 2023 keine älteren Versionen des Android-Unternehmensportals mehr. Android-Benutzer mit Unternehmensportalversionen unter 2111 (5.0.5333.0) können sich nicht erneut registrieren oder neue Instanzen von Authenticator registrieren, bis sie ihre Unternehmensportalanwendung auf eine neuere Version aktualisieren.

Authenticator ist eine kostenlose Passkey-Lösung, mit der Benutzer und Benutzerinnen kennwortlose phishing-resistente Authentifizierungen auf ihren eigenen Smartphones ausführen können. Einige wichtige Vorteile der Verwendung von Passkeys in der Authenticator-App:

Passkeys können einfach im großen Stil bereitgestellt werden. Passkeys stehen auf dem Telefon des Benutzers oder der Benutzerin sowohl für MDM-Szenarien (Mobile Device Management, Verwaltung mobiler Geräte) als auch für BYOD-Szenarien (Bring Your Own Device) zur Verfügung.
Passkeys in Authenticator sind kostenlos und begleiten die Benutzer und Benutzerinnen überall hin.
Passkeys in Authenticator sind gerätegebunden. Dadurch wird sichergestellt, dass der Passkey das Gerät, auf dem er erstellt wurde, nicht verlässt.
Die Benutzer und Benutzerinnen bleiben mit den neuesten Passkey-Innovationen, die auf offenen WebAuthn-Standards basieren, auf dem Laufenden.
Unternehmen können andere Funktionen über Authentifizierungsflüsse überlagern, z. B. Federal Information Processing Standards (FIPS) 140-Compliance.

Gerätegebundener Passkey

Um sicherzustellen, dass sie das Gerät, auf dem sie erstellt wurden, nie verlassen, sind Passkeys in der Authenticator-App sind gerätegebunden. Auf einem iOS-Gerät verwendet Authenticator die Secure Enclave, um den Passkey zu erstellen. Unter Android erstellen wir den Passkey im Secure Element auf Geräten, die es unterstützen, oder greifen auf die Trusted Execution Environment (TEE) zurück.

Funktionsweise des Passkey-Nachweises mit Authenticator

Wenn der Nachweis in der Richtlinie Passkey (FIDO2) aktiviert ist, versucht Microsoft Entra ID, die Legitimität des Sicherheitsschlüsselmodells oder des Passkeyanbieters zu überprüfen, bei dem der Passkey erstellt wird. Wenn der Benutzer einen Passkey in Authenticator registriert, überprüft der Nachweis, dass die legitime Microsoft Authenticator-App den Passkey mithilfe von Apple- und Google-Diensten erstellt hat. Hier sind Details zur Funktionsweise des Nachweises für jede Plattform:

iOS: Der Authenticator-Nachweis verwendet den iOS App Attest-Dienst, um die Legitimität der Authenticator-App sicherzustellen, bevor der Passkey registriert wird.
Android:
- Beim Play Integrity-Nachweis verwendet der Authenticator-Nachweis die Play Integrity-API, um die Legitimität der Authenticator-App sicherzustellen, bevor der Passkey registriert wird.
- Für den Schlüsselnachweis verwendet der Authenticator-Nachweis den Schlüsselnachweis von Android, um zu überprüfen, ob der zu registrierende Passkey hardwaregestützt ist.

Hinweis

Bei iOS und Android nutzt der Authenticator-Nachweis Apple- und Google-Dienste, um die Echtheit der Authenticator-App zu überprüfen. Eine hohe Dienstauslastung kann zu einem Fehler bei der Passkeyregistrierung führen, und Benutzer müssen den Vorgang möglicherweise wiederholen. Wenn Apple- und Google-Dienste nicht verfügbar sind, blockiert der Authenticator-Nachweis die Registrierung, die einen Nachweis erfordert, bis die Dienste wieder verfügbar sind. Informationen zum Überwachen des Status des Google Play Integrity-Diensts finden Sie unter Google Play Status Dashboard (Statusdashboard von Google Play). Informationen zum Überwachen des Status des iOS App Attest-Diensts finden Sie unter System Status.

Weitere Informationen zum Konfigurieren des Nachweises finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator für Microsoft Entra ID.

Wenn Benutzer oder Benutzerinnen, die Anmeldung per Smartphone über die Authenticator-App aktiviert haben, wird nach der Eingabe des Benutzernamens keine Aufforderung zur Eingabe eines Kennworts angezeigt, sondern eine Meldung, in der sie dazu aufgefordert werden, in der App eine Zahl einzugeben. Nach der Auswahl der richtigen Nummer ist der Anmeldevorgang abgeschlossen.

Beispiel für eine Browseranmeldung, bei der der Benutzer bzw. die Benutzerin zum Genehmigen der Anmeldung aufgefordert wird

Diese Authentifizierungsmethode bietet ein hohes Maß an Sicherheit. Zudem muss der Benutzer bei der Anmeldung kein Kennwort mehr eingeben.

Informationen zu den ersten Schritten mit der Anmeldung ohne Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.

MFA via Benachrichtigungen über mobile App

Die Microsoft Authenticator-App kann dazu beitragen, nicht autorisierten Zugriff auf Konten zu verhindern und betrügerische Transaktionen zu stoppen, indem sie eine Benachrichtigung an Ihr Smartphone oder Tablet sendet. Benutzer sehen die Benachrichtigung und wählen Bestätigen aus, wenn der Vorgang rechtmäßig ist. Andernfalls können sie Verweigern auswählen.

Hinweis

Ab August 2023 werden bei anomalen Anmeldungen ähnlich wie Anmeldungen von unbekannten Standorten aus keine Benachrichtigungen mehr generiert. Um eine anomale Anmeldung zu genehmigen, können Benutzer*innen Microsoft Authenticator oder Authenticator Lite in einer relevanten Begleit-App wie Outlook öffnen. Anschließend können sie zur Aktualisierung entweder nach unten ziehen oder auf Aktualisieren tippen und dann die Anforderung genehmigen.

Screenshot: Beispiel für eine Eingabeaufforderung im Webbrowser für eine Benachrichtigung in der Authenticator-App zum Abschließen des Anmeldevorgangs

In China funktioniert die Methode Benachrichtigung durch mobile App auf Android-Geräten nicht, weil die Google Play-Dienste (einschließlich der Pushbenachrichtigungen) in dieser Region gesperrt sind. iOS-Benachrichtigungen funktionieren jedoch. Daher sollten Benutzer*innen von Android-Geräten alternative Authentifizierungsmethoden zur Verfügung gestellt werden.

Prüfcode über die mobile App

Die Microsoft Authenticator-App kann als Softwaretoken zum Generieren eines OATH-Prüfcodes verwendet werden. Nachdem Sie Benutzernamen und Kennwort eingegeben haben, geben Sie im Anmeldebildschirm den in der Authenticator-App generierten Code ein. Der Überprüfungscode kann als zweite Authentifizierungsmethode eingegeben werden.

Hinweis

Von Authenticator generierte OATH-Prüfcodes werden für die zertifikatbasierte Authentifizierung nicht unterstützt.

Benutzer und Benutzerinnen können eine Kombination von bis zu fünf OATH-Hardware-Token oder Authenticator-Anwendungen, wie z. B. die Authenticator-App, für die jederzeitige Verwendung konfigurieren.

FIPS 140-konform für Microsoft Entra-Authentifizierung

In Übereinstimmung mit den in NIST Special Publication 800-63B beschriebenen Richtlinien sind die von den US-Regierungsbehörden verwendeten Authentifikatoren zum Verwenden der FIPS 140-validierten Kryptografie erforderlich. Diese Richtlinie hilft US-Regierungsbehörden, die Anforderungen von Executive Order (EO) 14028 zu erfüllen. Überdies hilft diese Richtlinie anderen regulierten Branchen wie Organisationen im Gesundheitswesen, die mit elektronischen Rezepten für kontrollierte Substanzen (Electronic Prescriptions for Controlled Substances, EPCS) arbeiten, die für sie geltenden gesetzlichen Anforderungen zu erfüllen.

Der FIPS 140 ist ein Standard für US-Bundesbehörden, der Mindestsicherheitsanforderungen für kryptografische Module in IT-Produkten und -Systemen definiert. Das Cryptographic Module Validation Program (CMVP) verwaltet Tests gemäß FIPS 140-Standard.

Microsoft Authenticator für iOS

Ab Version 6.6.8 verwendet Microsoft Authenticator for iOS das native Apple CoreCrypto-Modul für FIPS-validierte Kryptografie auf Apple iOS FIPS 140-kompatiblen Geräten. Alle Microsoft Entra-Authentifizierungen unter Verwendung von phishingresistenten gerätegebundenen Hauptschlüsseln, Push-Multi-Faktor-Authentifizierungen (MFA), kennwortloser Telefonanmeldung (PSI) und zeitbasierten Einmal-Passcodes (TOTP) nutzen die FIPS-Kryptografie.

Weitere Informationen zu den verwendeten FIPS 140-validierten kryptografischen Modulen und kompatiblen iOS-Geräten finden Sie unter Apple iOS-Sicherheitszertifizierungen.

Microsoft Authenticator für Android

Ab Version 6.2409.6094 von Microsoft Authenticator für Android gelten alle Authentifizierungen in Microsoft Entra ID, einschließlich Passkeys, als FIPS-konform. Authenticator verwendet das kryptografische Modul von wolfSSL Inc., um auf Android-Geräten FIPS 140, Sicherheitsebene 1-Compliance zu erreichen. Weitere Informationen zur Zertifizierung finden Sie unter Kryptografiemodul-Validierungsprogramm.

Bestimmen des Microsoft Authenticator-Registrierungstyps in den Sicherheitsinformationen

Benutzer können auf Sicherheitsinformationen zugreifen (siehe die URLs im nächsten Abschnitt) oder durch Auswahl von „Sicherheitsinformation“ unter „MyAccount“ weitere Microsoft Authenticator-Registrierungen verwalten und hinzufügen. Bestimmte Symbole werden verwendet, um zu unterscheiden, ob es sich bei der Microsoft Authenticator-Registrierung um eine kennwortlose Telefonanmeldung oder um MFA handelt.

Authentificator-Registrierungstyp	Symbol
Microsoft Authenticator: kennwortlose Anmeldung per Telefon
Microsoft Authenticator (Benachrichtigung/Code)

SecurityInfo-Links

Cloud	Sicherheitsinformationen-URL
Azure kommerziell (einschließlich Government Community Cloud (GCC))	https://aka.ms/MySecurityInfo
Azure für US Government (umfasst GCC High und DoD)	https://aka.ms/MySecurityInfo-us

Updates für Authenticator

Microsoft aktualisiert Authenticator kontinuierlich, um ein hohes Sicherheitsniveau zu gewährleisten. Um die bestmögliche Benutzererfahrung für Ihre Benutzer und Benutzerinnen sicherzustellen, empfehlen wir, dass sie ihre Authenticator-App kontinuierlich aktualisieren. Bei kritischen Sicherheitsupdates funktionieren App-Versionen, die nicht auf dem neuesten Stand sind, möglicherweise nicht mehr und können Benutzer daran hindern, ihre Authentifizierung abzuschließen. Wenn ein Benutzer eine nicht unterstützte Version der App verwendet, wird er aufgefordert, ein Upgrade auf die neueste Version durchzuführen, bevor er sich anmeldet.

Microsoft wird auch in regelmäßigen Abständen ältere Versionen der Authenticator-App ausmustern, um ein hohes Maß an Sicherheit für Ihr Unternehmen zu gewährleisten. Wenn das Gerät eines Benutzers moderne Versionen von Microsoft Authenticator nicht unterstützt, kann er sich nicht mit der App anmelden. Wir empfehlen diesen Benutzern, sich mit einem OATH-Überprüfungscode in Microsoft Authenticator anzumelden, um die MFA abzuschließen.

Nächste Schritte

Informationen zu den ersten Schritten mit Passkeys finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator für Microsoft Entra ID.
Weitere Informationen zur Anmeldung ohne Kennwort finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator.
Lernen Sie mehr über die Konfiguration der Authentifizierungsmethoden mithilfe der Microsoft Graph REST-API.

Freigeben über