Freigeben über


Erzielen von Resilienz durch Verwaltung von Anmeldeinformationen

Wenn für Microsoft Entra in einer Token-Anforderung Anmeldedaten bereitgestellt werden, gibt es mehrere Abhängigkeiten, die für die Überprüfung verfügbar sein müssen. Der erste Authentifizierungsfaktor basiert auf Microsoft Entra-Authentifizierung und in einigen Fällen auf externer (Nicht-Entra ID) wie lokaler Infrastruktur. Weitere Informationen zu Hybridauthentifizierungsarchitekturen finden Sie unter Erzielen von Resilienz in Ihrer Hybridarchitektur.

Die sicherste und robusteste Strategie für Anmeldedaten ist die Verwendung von kennwortloser Authentifizierung. Windows Hello for Business und Passkey (FIDO 2.0)-Sicherheitsschlüssel weisen weniger Abhängigkeiten als andere MFA-Methoden auf. Für macOS-Benutzer können Kunden Plattformanmeldedaten für macOS aktivieren. Wenn Sie diese Methoden implementieren, können Benutzer sichere kennwortlose und Phishing-resistente mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) durchführen.

Abbildung: Bevorzugte Authentifizierungsmethoden und Abhängigkeiten

Tipp

Eine Videoreihe, die sich intensiv mit der Bereitstellung dieser Authentifizierungsmethoden befasst, finden Sie unter Phishing-resistente Authentifizierung in Microsoft Entra ID

Wenn Sie einen zweiten Faktor implementieren, werden die Abhängigkeiten für den zweiten Faktor den Abhängigkeiten für den ersten Faktor hinzugefügt. Wenn der erste Faktor z. B. über Passthrough-Authentifizierung (PTA) erfolgt und Ihr zweiter Faktor SMS ist, liegen die folgenden Abhängigkeiten vor:

  • Microsoft Entra-Authentifizierung-Dienste
  • Multi-Faktor-Authentifizierung bei Microsoft Entra-Dienst
  • Lokale Infrastruktur
  • Mobilfunkanbieter
  • Das Gerät des Benutzers (nicht abgebildet)

Abbildung: Verbleibende Authentifizierungsmethoden und Abhängigkeiten.

Ihre Strategie für Anmeldedaten sollte die Abhängigkeiten der einzelnen Authentifizierungstypen berücksichtigen und Methoden bereitstellen, die einen Single Point of Failure vermeiden.

Da Authentifizierungsmethoden unterschiedliche Abhängigkeiten aufweisen, empfiehlt es sich, Benutzern die Registrierung für so viele zweistufige Optionen wie möglich zu ermöglichen. Stellen Sie sicher, dass Sie zweite Faktoren mit anderen Abhängigkeiten berücksichtigen, wenn möglich. Beispielsweise weisen Sprachanrufe und SMS als zweite Faktoren dieselben Abhängigkeiten auf, sodass das Risiko durch die Verwendung als einzige Optionen nicht verringert wird.

Für zweite Faktoren verfügen die Microsoft Authenticator-App oder andere Authenticator-Apps, die zeitbasierte einmalige Passcodes (Time-based One Time Passcode, TOTP) oder OAuth-Hardwaretoken verwenden, über die geringsten Abhängigkeiten und sind daher robuster.

Zusätzliche Details zu externen Abhängigkeiten (Nicht-Entra)

Authentifizierungsmethode Externe Abhängigkeit (Nicht-Entra) Weitere Informationen
Zertifikatbasierte Authentifizierung CBA (CAN) In den meisten Fällen (je nach Konfiguration) erfordert die CBA (CAN) eine Sperrungsüberprüfung. Dadurch wird eine externe Abhängigkeit vom Sperrlisten-Verteilungspunkt (CDP) hinzugefügt Grundlegendes zum Zertifikatsperrprozess
Passthrough-Authentifizierung (PTA) PTA verwendet lokale Agenten, um die Kennwortauthentifizierung zu verarbeiten. Wie funktioniert Microsoft Entra Passthrough-Authentifizierung?
Verbund Verbundserver müssen online sein und für die Verarbeitung des Authentifizierungsversuchs verfügbar sein Gebietsübergreifende, hochverfügbare AD FS-Bereitstellung in Azure mit Azure Traffic Manager
Externe Authentifizierungsmethoden (EAM) EAM stellt einen Pfad für Kunden bereit, um externe MFA-Anbieter zu verwenden. Verwalten einer externen Authentifizierungsmethode in Microsoft Entra ID (Vorschau)

Wie unterstützen mehrere Anmeldedaten die Resilienz?

Durch die Bereitstellung mehrerer Anmeldeinformationstypen erhalten Benutzer Optionen, die ihre Vorlieben und Umgebungseinschränkungen berücksichtigen. Das führt dazu, dass die interaktive Authentifizierung, bei der Benutzer zur Eingabe von Multi-Factor Authentication aufgefordert werden, robuster ist, wenn bestimmte Abhängigkeiten zum Zeitpunkt der Anforderung nicht verfügbar sind. Sie können Eingabeaufforderungen für eine erneute Authentifizierung für Multi-Factor Authentication optimieren.

Zusätzlich zu der oben beschriebenen Benutzerresilienz sollten Unternehmen Notfallmaßnahmen für größere Störungen planen, z. B. für Betriebsfehler, die einen lokalen Verbunddienst mit einer Fehlkonfiguration, einer Naturkatastrophe oder einem unternehmensweiten Ressourcenausfall konfrontieren (insbesondere wenn diese für Multi-Factor Authentication verwendet werden).

Wie werden robuste Anmeldedaten implementiert?

Nächste Schritte

Resilienzressourcen für Administratoren und Architekten

Resilienzressourcen für Entwickler