Multi-Faktor-Authentifizierung bei externen Tenants
Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)
Die Multi-Faktor-Authentifizierung (MFA) fügt Ihren Anwendungen eine zusätzliche Sicherheitsebene hinzu, indem sie die Benutzenden auffordert, bei der Registrierung oder Anmeldung eine zweite Methode zur Verifizierung ihrer Identität anzugeben. Externe Tenants unterstützen zwei Authentifizierungsmethoden als zweiten Faktor:
- Authentifizierung mit Einmalkennung per E-Mail
- SMS-basierte Authentifizierung, verfügbar als Add-On siehe Details
Die Implementierung von MFA erhöht die Sicherheit Ihrer Organisation, indem eine zusätzliche Überprüfungsebene hinzugefügt wird, die es unbefugten Benutzenden erschwert, Zugriff zu erhalten.
Erstellen einer MFA-Richtlinie
In einem externen Tenant können Sie mit Microsoft Entra Conditional Access eine Richtlinie erstellen, die Benutzende zur Eingabe einer MFA auffordert, wenn sie sich bei Ihrer Anwendung registrieren oder anmelden. Sie erstellen diese Richtlinie im Microsoft Entra Admin Center unter „Bedingter Zugriff“ im Abschnitt „Schutz“. Sie können festlegen, für welche Benutzenden und Gruppen die Richtlinie gelten soll, einschließlich aller Benutzenden und unter Ausschluss von Notfallzugriffskonten.
In der Richtlinie legen Sie fest, für welche Anwendungen eine MFA erforderlich ist. Sie können die Richtlinie auf alle Cloud-Apps anwenden oder bestimmte Anwendungen auswählen und alle Anwendungen ausschließen, die keine MFA erfordern. Anschließend konfigurieren Sie die Richtlinie so, dass der Zugriff nur gewährt wird, wenn die Benutzenden die MFA-Anforderungen erfüllen.
Weitere Informationen finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff in einem externen Tenant.
Aktivieren von MFA-Methoden
Bei der Auswahl der Optionen für Identitätsanbieter in Ihren Benutzerabläufen definieren Sie die Methoden der Erst-Faktor-Authentifizierung für die Anmeldung und Registrierung. Die Methoden zur Überprüfung des zweiten Faktors für MFA werden in einem separaten Bereich des Microsoft Entra Admin Center unter Authentifizierungsmethoden im Abschnitt Schutz konfiguriert.
Je nachdem, welche Option Sie für den ersten Faktor ausgewählt haben, stehen verschiedene Methoden zur Überprüfung des zweiten Faktors für die Multi-Faktor-Authentifizierung (MFA) zur Verfügung.
- E-Mail mit Kennwort- und externen Identitätsanbietern: Bei einer dieser erststufigen Methoden können Sie E-Mail-Einmalkennung, SMS oder beide als zweitstufige Überprüfungsmethoden für MFA aktivieren.
- Einmalkennung per E-Mail: Wenn die Einmalkennung per E-Mail als Methode der Erst-Faktor-Authentifizierung ausgewählt ist, kann sie nicht für die Zweit-Faktor-Verifizierung verwendet werden. Daher kann nur die SMS-basierte Überprüfung für MFA aktiviert werden.
Weitere Informationen finden Sie unter Aktivieren von MFA-Methoden in einem externen Tenant.
Authentifizierung mit Einmalkennung per E-Mail
Die Authentifizierung mit Einmalkennung per E-Mail ist in einem externen Tenant sowohl als Erst- als auch als Zweit-Faktor-Verifizierungsmethode verfügbar. Um die Verwendung der Einmalkennung per E-Mail für MFA zu ermöglichen, muss die Authentifizierungsmethode für Ihr lokales Konto auf E-Mail mit Kennwort eingestellt sein. Wenn Sie Einmalkennung per E-Mail auswählen, können Kundinnen und Kunden, die diese Methode für die primäre Anmeldung verwenden, diese nicht für die sekundäre MFA-Überprüfung verwenden.
Bei aktivierter Einmalkennung per E-Mail für MFA, melden sich Benutzende mit ihren primären Anmeldemethoden an und werden benachrichtigt, dass ein Code an ihre E-Mail-Adresse gesendet wird. Benutzende entscheiden sich für die Zusendung des Codes, rufen den Code aus ihren E-Mail-Posteingängen ab und geben ihn in das Anmeldefenster ein. Der Benutzer muss diesen Überprüfungsprozess innerhalb von 10 Minuten abschließen.
SMS-basierte Authentifizierung
SMS ist für die Überprüfung des zweiten Faktors bei externen Tenants gegen eine zusätzliche Gebühr erhältlich. Derzeit ist SMS nicht für die Erst-Faktor-Authentifizierung oder die Self-Service-Kennwortzurücksetzung in externen Tenants verfügbar.
Wenn SMS für MFA aktiviert ist, melden sich Benutzende mit ihrer primären Methode an und werden aufgefordert, ihre Identität mit einem per SMS gesendeten Code zu bestätigen. Sie geben ihre Telefonnummer ein und erhalten eine SMS mit dem Prüfcode.
External ID verhindert betrügerische Registrierungen und Anmeldungen per SMS durch folgende Maßnahmen:
- Telefonie-Drosselungen verhindern Ausfälle und Verlangsamungen. Weitere Informationen finden Sie unter Diensteinschränkungen.
- CAPTCHA für SMS MFA hilft dabei, automatisierte Angriffe zu verhindern, indem menschliche Benutzende von automatisierten Bots unterschieden werden. Sobald risikobehaftete Benutzende erkannt werden, werden dieser für die Anmeldung gesperrt oder aufgefordert, ein CAPTCHA auszufüllen, bevor ein Überprüfungscode per SMS gesendet wird.
SMS-Tarifstufen nach Land/Region
Die folgende Tabelle enthält Einzelheiten zu den verschiedenen Tarifstufen für SMS-basierte Authentifizierungsdienste in verschiedenen Ländern oder Regionen. Informationen zu den Preisen finden Sie unter Microsoft Entra External ID-Preise.
SMS ist ein Add-On-Feature und erfordert ein verknüpftes Abonnement. Wenn Ihr Abonnement abläuft oder gekündigt wird, können sich Endbenutzer nicht mehr per SMS authentifizieren, was sie je nach Ihren MFA-Richtlinien daran hindern könnte, sich anzumelden.
Tarif | Länder/Regionen |
---|---|
Telefonische Authentifizierung mit geringen Kosten | Australien, Brasilien, Brunei, Kanada, Chile, China, Kolumbien, Zypern, Nordmazedonien, Polen, Portugal, Südkorea, Thailand, Türkei, USA |
Telefonische Authentifizierung mit mittleren geringen Kosten | Grönland, Albanien, Amerikanisch-Samoa, Österreich, Bahamas, Bahrain, Bosnien und Herzegowina, Botswana, Costa Rica, Tschechische Republik, Dänemark, Estland, Färöer Inseln, Finnland, Frankreich, Griechenland, Hongkong, Ungarn, Island, Irland, Italien, Japan, Lettland, Litauen, Luxemburg, Macau, Malta, Mexiko, Mikronesien, Moldawien, Namibia, Neuseeland, Nicaragua, Norwegen, Rumänien, São Tomé und Príncipe, Seychellen, Singapur, Slowakei, Salomonen, Spanien, Schweden, Schweiz, Taiwan, Vereinigtes Königreich, Amerikanische Jungferninseln, Uruguay |
Telefonische Authentifizierung mit mittleren hohen Kosten | Andorra, Angola, Anguilla, Antarktis, Antigua und Barbuda, Argentinien, Armenien, Aruba, Ascension, Barbados, Belgien, Benin, Bolivien, Britische Jungferninseln, Bulgarien, Burkina Faso, Kamerun, Kaimaninseln, Zentralafrikanische Republik, Cookinseln, Kroatien, Diego Garcia, Dschibuti, Dominikanische Republik, Dominikanische Republik, Dominikanische Republik, Osttimor, Ecuador, El Salvador, Eritrea, Falklandinseln, Fidschi, Französisch-Guayana, Französisch-Polynesien, Gambia, Georgien, Deutschland, Gibraltar, Grenada, Guadeloupe, Guam, Guinea, Guyana, Honduras, Indien, Elfenbeinküste, Kenia, Kiribati, Laos, Liberia, Malaysia, Marshallinseln, Martinique, Mauritius, Monaco, Montenegro, Montserrat, Niederlande, Niederländische Antillen, Neukaledonien, Niue, Oman, Palau, Panama, Paraguay, Peru, Puerto Rico, Puerto Rico, Réunion, Ruanda, St. Helena, St. Kitts und Nevis, St. Lucia, St. Pierre und Miquelon, St. Vincent und die Grenadinen, Saipan, Samoa, San Marino, Saudi-Arabien, Sint Maarten, Slowenien, Südafrika, Südsudan, Suriname, Swasiland (Neuer Name: Königreich Eswatini), Tokelau, Tonga, Turks und Caicos, Tuvalu, Vereinigte Arabische Emirate, Vanuatu, Venezuela, Vietnam, Wallis und Futuna |
Telefonische Authentifizierung mit hohen Kosten | Liechtenstein, Bermuda, Kambodscha, Kap Verde, Demokratische Republik Kongo, Dominica, Ägypten, Äquatorialguinea, Ghana, Guatemala, Guinea-Bissau, Israel, Jamaika, Jamaika, Kosovo, Lesotho, Malediven, Mali, Mauretanien, Marokko, Mosambik, Papua-Neuguinea, Philippinen, Katar, Sierra Leone, Trinidad und Tobago, Ukraine, Simbabwe, Afghanistan, Algerien, Aserbaidschan, Bangladesch, Belarus, Belize, Bhutan, Burundi, Tschad, Komoren, Kongo, Äthiopien, Gabunische Republik, Haiti, Indonesien, Irak, Jordanien, Kuwait, Kirgisistan, Libanon, Libyen, Madagaskar, Malawi, Mongolei, Myanmar, Nauru, Nepal, Niger, Nigeria, Pakistan, Palästinensische Autonomiebehörde, Russland, Senegal, Serbien, Somalia, Sri Lanka, Sudan, Tadschikistan, Tansania, Togolesische Republik, Tunesien, Turkmenistan, Uganda, Usbekistan, Jemen, Sambia |
Abonnieren von Regionen für SMS-Verifizierung
Ab Januar 2025 werden einige Landesvorwahlen standardmäßig für die SMS-Verifizierung deaktiviert. Wenn Sie den Datenverkehr aus deaktivierten Regionen zulassen möchten, müssen Sie sie mithilfe der Microsoft Graph-Richtlinie onPhoneMethodLoadStartevent
für Ihre Anwendung aktivieren. Weitere Informationen finden Sie unter Regionen, bei denen die SMS-Verifizierung abonniert werden muss.
Nächste Schritte
Hinzufügen der Multi-Faktor-Authentifizierung (MFA) zu einer App.