Übersicht der kombinierten Registrierung von Sicherheitsinformationen für Microsoft Entra
Vor der kombinierten Registrierung registrierten Benutzer Authentifizierungsmethoden für die Multi-Faktor-Authentifizierung von Microsoft Entra und die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) getrennt voneinander. Benutzer waren verwirrt, dass ähnliche Methoden für Multi-Faktor-Authentifizierung und für SSPR verwendet wurden, sie sich jedoch für beide Funktionen registrieren mussten. Mit der kombinierten Registrierung können sich Benutzer jetzt einmalig registrieren und die Vorteile von Multi-Faktor-Authentifizierung und SSPR nutzen. Sehen Sie sich dieses Video zum Aktivieren und Konfigurieren der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID an.
Lesen Sie vor dem Aktivieren der neuen Funktion diese an Administratoren gerichtete Dokumentation und die benutzerorientierte Dokumentation, um sich mit der Funktionalität und den Auswirkungen dieser Funktion vertraut zu machen. Ziehen Sie für Ihre Schulungen die Benutzerdokumentation heran, um Ihre Benutzer auf die neue Oberfläche vorzubereiten und so einen erfolgreichen Rollout sicherzustellen.
Die Seiten von Mein Konto sind entsprechend den Spracheinstellungen auf dem Computer lokalisiert, der für den Zugriff auf die Seite verwendet wird. Microsoft speichert die aktuell verwendete Sprache im Browsercache, sodass nachfolgende Zugriffsversuche auf die Seiten weiterhin in der zuletzt verwendeten Sprache angezeigt werden. Wenn Sie den Cache löschen, werden die Seiten neu gerendert.
Wenn Sie eine bestimmte Sprache erzwingen möchten, können Sie am Ende der URL ?lng=<language>
hinzufügen. Dabei ist <language>
der Code der Sprache, in der Sie rendern möchten.
Verfügbare Methoden bei der kombinierten Registrierung
Die kombinierte Registrierung unterstützt die Authentifizierungsmethoden und Aktionen der folgenden Tabelle.
Methode | Register | Change | Löschen |
---|---|---|---|
Microsoft Authenticator | Ja (maximal 5) | Nein | Ja |
Andere Authenticator-App | Ja (maximal 5) | Nein | Ja |
Hardwaretoken | Nein | Nein | Ja |
Telefonnummer | Ja (maximal 2) | Ja | Ja |
Alternatives Telefon | Ja | Ja | Ja |
Büro-Telefon* | Ja | Ja | Ja |
Ja | Ja | Ja | |
Sicherheitsfragen | Ja | Keine | Ja |
Kennwörter | Nein | Ja | Nein |
App-Kennwörter* | Ja | Keine | Ja |
Passkey (FIDO2)* | Ja (maximal 10) | No | Ja |
Hinweis
Wenn Sie Microsoft Authenticator für den kennwortlosen Authentifizierungsmodus in der Richtlinie für Authentifizierungsmethoden aktivieren, müssen Benutzer auch die kennwortlose Anmeldung in der Authenticator-App aktivieren.
Ein alternatives Telefon kann nur im Verwaltungsmodus unter Sicherheitsinformationen registriert werden und erfordert, dass Sprachausgaben in der Richtlinie für Authentifizierungsmethoden aktiviert sind.
Büro-Telefon kann nur im Unterbrechungsmodus registriert werden, wenn die Eigenschaft Geschäftliches Telefon festgelegt wurde. Das Bürotelefon kann von Benutzenden im Verwaltungsmodus unter Sicherheitsinformationen ohne diese Anforderung hinzugefügt werden.
App-Kennwörter sind nur für Benutzer verfügbar, für die MFA benutzerbezogen erzwungen wird. App-Kennwörter sind für Benutzer, die über eine Richtlinie für bedingten Zugriff über die Multi-Faktor-Authentifizierung von Microsoft Entra aktiviert sind, nicht verfügbar.
Passkeys (FIDO2) können auch über eine benutzerdefinierte Client- oder Partnerintegration mit Microsoft Graph bereitgestellt werden. Weitere Informationen finden Sie in unseren APIs.
Benutzer können eine der folgenden Optionen als Standardmethode für die Multi-Faktor-Authentifizierung festlegen.
- Microsoft Authenticator – Pushbenachrichtigungen oder kennwortlos
- Authenticator-App oder Hardwaretoken – Code
- Telefonanruf
- Textnachricht
Hinweis
Virtuelle Telefonnummern werden für Sprachanrufe oder SMS-Nachrichten nicht unterstützt.
Authentifikator-Apps von Drittanbietern bieten keine Pushbenachrichtigungen. Da auch weiterhin Authentifizierungsmethoden zu Microsoft Entra ID hinzugefügt werden, werden diese bei der kombinierten Registrierung verfügbar.
Modi der kombinierten Registrierung
Es gibt zwei Arten der kombinierten Registrierung:
- Beim Interruptmodus handelt es sich um eine assistentenähnliche Oberfläche, die für Benutzer angezeigt wird, wenn sie ihre Sicherheitsinformationen bei der Anmeldung registrieren oder aktualisieren.
- Der Verwaltungsmodus ist Teil des Benutzerprofils und ermöglicht Benutzern die Verwaltung ihrer Sicherheitsinformationen.
In beiden Modi müssen Benutzer, die bereits eine Methode registriert haben, die für die Multi-Faktor-Authentifizierung von Microsoft Entra verwendet werden kann, eine mehrstufige Authentifizierung ausführen, bevor sie auf ihre Sicherheitsinformationen zugreifen können. Benutzer müssen ihre Informationen bestätigen, bevor sie ihre zuvor registrierten Methoden weiterhin verwenden können.
Interruptmodus
Bei der kombinierten Registrierung werden sowohl Richtlinien für die Multi-Faktor-Authentifizierung als auch für die Self-Service-Kennwortzurücksetzung eingehalten, wenn beide für Ihren Mandanten aktiviert sind. Über diese Richtlinien wird gesteuert, ob die Anmeldung eines Benutzers unterbrochen und dieser aufgefordert wird, die Registrierung durchzuführen, und welche Methoden für die Registrierung verfügbar sind. Wenn nur eine SSPR-Richtlinie aktiviert ist, können Benutzer die Unterbrechung der Registrierung (auf unbestimmte Zeit) überspringen und sie zu einem späteren Zeitpunkt abschließen.
Im Folgenden sind mehrere Beispielszenarien aufgeführt, in denen Benutzer möglicherweise aufgefordert werden, ihre Sicherheitsinformationen zu registrieren oder zu aktualisieren:
- Durch Microsoft Entra ID Protection erzwungene MFA-Registrierung: Benutzer werden bei der Anmeldung aufgefordert, die Registrierung durchzuführen. Sie registrieren MFA-Methoden (Multi-Factor Authentication) und SSPR-Methoden (sofern sie für SSPR aktiviert sind).
- Durch benutzerspezifische Multi-Faktor-Authentifizierung erzwungene MFA-Registrierung: Benutzer werden bei der Anmeldung aufgefordert, die Registrierung durchzuführen. Sie registrieren MFA-Methoden (Multi-Factor Authentication) und SSPR-Methoden (sofern sie für SSPR aktiviert sind).
- Durch Richtlinien für bedingten Zugriff oder andere Richtlinien erzwungene MFA-Registrierung: Benutzer werden zur Registrierung aufgefordert, wenn sie eine Ressource verwenden, die Multi-Faktor-Authentifizierung erfordert. Sie registrieren MFA-Methoden (Multi-Factor Authentication) und SSPR-Methoden (sofern sie für SSPR aktiviert sind).
- Erzwungene SSPR-Registrierung: Benutzer werden bei der Anmeldung aufgefordert, die Registrierung durchzuführen. Sie registrieren nur SSPR-Methoden.
- Erzwungene SSPR-Aktualisierung: Benutzer werden in einem vom Administrator festgelegten Intervall aufgefordert, ihre Sicherheitsinformationen zu überprüfen. Die Benutzer prüfen ihre Informationen und können diese bestätigen oder bei Bedarf ändern.
Wenn die Registrierung erzwungen wird, wird den Benutzern die Mindestanzahl der Methoden angezeigt (angefangen bei der sichersten bis zur am wenigsten sicheren Methode), die erforderlich sind, um den MFA- (Multi-Factor Authentication) sowie den SSPR-Richtlinien zu entsprechen. Benutzer, welche die kombinierte Registrierung durchlaufen, bei der sowohl die MFA- als auch die SSPR-Registrierung erzwungen wird und die SSPR-Richtlinie zwei Methoden erfordert, müssen zuerst eine MFA-Methode als erste Methode registrieren und können eine andere MFA- oder SSPR-spezifische Methode als zweite registrierte Methode auswählen (z. B. E-Mail, Sicherheitsfragen usw.).
Betrachten Sie das folgende Beispielszenario:
- Ein Benutzer ist für SSPR aktiviert. Die SSPR-Richtlinie erfordert zwei Methoden für das Zurücksetzen, und die Microsoft Authenticator-App sowie die E-Mail-Adresse und das Telefon müssen aktiviert sein.
- Wenn sich der Benutzer registrieren möchte, sind zwei Methoden erforderlich:
- Standardmäßig werden dem Benutzer die Microsoft Authenticator-App und das Telefon angezeigt.
- Der Benutzer hat die Möglichkeit, statt der Authenticator-App oder des Telefons die E-Mail-Adresse zu registrieren.
Beim Einrichten von Microsoft Authenticator kann der Benutzer auf Ich möchte eine andere Methode einrichten klicken, um andere Authentifizierungsmethoden zu registrieren. Die Liste der verfügbaren Methoden wird durch die Richtlinie für Authentifizierungsmethoden für den Mandanten bestimmt.
Im folgenden Flussdiagramm sind die Methoden beschrieben, die einem Benutzer angezeigt werden, wenn seine Anmeldung unterbrochen und er aufgefordert wird, die Registrierung durchzuführen:
Wenn Sie Multi-Faktor-Authentifizierung und SSPR aktiviert haben, sollten Sie die MFA-Registrierung erzwingen.
Wenn Benutzer über die SSPR-Richtlinie in regelmäßigen Abständen aufgefordert werden, ihre Sicherheitsinformationen zu überprüfen, wird die Anmeldung der Benutzer unterbrochen, und es werden alle registrierten Methoden angezeigt. Sie können die aktuellen Informationen bestätigen, wenn diese auf dem neuesten Stand sind, oder ggf. Änderungen vornehmen. Benutzer müssen die Multi-Faktor-Authentifizierung durchführen, um auf diese Seite zugreifen zu können.
Verwaltungsmodus
Benutzende können zu Sicherheitsinformationen gehen oder Sicherheitsinformationen aus „Mein Konto“ auswählen. Dort können Benutzer Methoden hinzufügen, vorhandene Methoden löschen oder ändern, die verwendete Standardmethode ändern und vieles mehr.
Sitzungssteuerelemente für die kombinierte Registrierung
Standardmäßig erzwingt die kombinierte Registrierung eine starke Authentifizierung aller MFA-fähigen Benutzenden, bevor sie sich registrieren oder ihre Sicherheitsinformationen verwalten. Wenn ein Benutzer bzw. eine Benutzerin derzeit angemeldet ist und zuvor MFA als Teil einer gültigen Sitzung abgeschlossen hat, ist standardmäßig keine zusätzliche MFA erforderlich, es sei denn, die Person versucht, eine Hauptschlüssel-Methode (FIDO2) hinzuzufügen oder zu ändern. Das Hinzufügen oder Ändern eines Hauptschlüssels (FIDO2) erfordert, dass sich die Benutzenden innerhalb der letzten 5 Minuten stark authentifiziert haben. Wenn MFA in den letzten 5 Minuten noch nicht abgeschlossen wurde, wird die Person aufgefordert, sich anzumelden und die neue MFA abzuschließen. Organisationen können die Authentifizierungsanforderungen ändern, indem sie Richtlinien für den bedingten Zugriff zur Sicherung der Sicherheitsinformationsregistrierung definieren..
Kombinierte Registrierungssitzungen sind nur 15 Minuten gültig. Wenn die Registrierung oder Verwaltung eines Benutzers bzw. einer Benutzerin länger als diese Zeitspanne dauert, läuft die Sitzung ab und die Person wird aufgefordert, sich erneut anzumelden, um fortzufahren.
Wichtige Verwendungsszenarien
Ändern eines Kennworts in MySignIns
Ein Benutzer navigiert zu Sicherheitsinformation. Nach der Anmeldung können Benutzer*innen ihr Kennwort aktualisieren. Wenn sich ein*e Benutzer*in mit einem Kennwort und einer Multi-Faktor-Authentifizierungsmethode authentifiziert, kann er bzw. sie die erweiterte Benutzeroberfläche verwenden, um das Kennwort zu ändern, ohne das vorhandenes Kennwort einzugeben. Anschließend wird das aktualisierte Kennwort für den Benutzer auf der Seite „Sicherheitsinformation“ angezeigt. Authentifizierungsmethoden wie befristeter Zugriffspass (Temporary Access Pass, TAP) werden für Kennwortänderungen nur unterstützt, wenn die Benutzer*innen ihr vorhandenes Kennwort kennen.
Hinweis
Wenn Sie Links haben, die auf die alte Funktion zum Ändern von Passwörtern verweisen, aktualisieren Sie diese auf den folgenden Weiterleitungslink, um Benutzer auf die neue Funktion zum Ändern von Passwörtern in Meine Anmeldungen zu verweisen: https://go.microsoft.com/fwlink/?linkid=2224198.
Schützen der Registrierung von Sicherheitsinformationen mit bedingtem Zugriff
Mit Benutzeraktionen in der Richtlinie für bedingten Zugriff kann sichergestellt werden, wann und wie sich Benutzer für die Multi-Faktor-Authentifizierung von Microsoft Entra registrieren, und auch die Self-Service-Kennwortzurücksetzung ist möglich. Diese Funktionalität kann in Organisationen aktiviert werden, in denen sich Benutzer an einem zentralen Ort, z. B. einem vertrauenswürdigen Netzwerkspeicherort während des Onboardings von Personal, für Multi-Faktor-Authentifizierung und SSPR von Microsoft Entra registrieren sollen. Erfahren Sie mehr über das Konfigurieren allgemeiner Richtlinien für bedingten Zugriff zum Schützen der Registrierung von Sicherheitsinformationen.
Einrichten der Sicherheitsinformationen bei der Anmeldung
Ein Administrator hat die Registrierung erzwungen.
Ein Benutzer hat nicht alle erforderlichen Sicherheitsinformationen eingerichtet und öffnet das Microsoft Entra Admin Center. Nach der Eingabe des Benutzernamens und Kennworts wird der Benutzer aufgefordert, die Sicherheitsinformationen einzurichten. Der Benutzer führt dann die im Assistenten angezeigten Schritte zum Einrichten der erforderlichen Sicherheitsinformationen aus. Wenn es Ihre Einstellungen zulassen, kann der Benutzer auch andere Methoden als die standardmäßig angezeigten einrichten. Nach Abschluss des Assistenten überprüfen die Benutzer die eingerichteten Methoden sowie ihre Standardmethode für die Multi-Faktor-Authentifizierung. Um den Einrichtungsvorgang abzuschließen, bestätigt der Benutzer die Informationen und navigiert dann zum Microsoft Entra Admin Center.
Einrichten der Sicherheitsinformationen unter „Mein Konto“
Ein Administrator hat die Registrierung nicht erzwungen.
Ein Benutzer, der noch nicht alle erforderlichen Sicherheitsinformationen eingerichtet hat, navigiert zu https://myaccount.microsoft.com. Der Benutzer wählt im linken Bereich Sicherheitsinformation aus. Dort gibt der Benutzer das Hinzufügen einer Methode an, wählt eine der verfügbaren Methoden aus und führt die Schritte zum Einrichten dieser Methode aus. Nach Abschluss des Vorgangs wird dem Benutzer die eingerichtete Methode auf der Seite „Sicherheitsinformation“ angezeigt.
Andere Methoden nach teilweiser Registrierung einrichten
Wenn ein Benutzer die MFA- oder SSPR-Registrierung aufgrund bestehender, vom Benutzer oder Administrator durchgeführter Registrierungen von Authentifizierungsmethoden teilweise erfüllt hat, werden die Benutzer nur dann aufgefordert, zusätzliche Informationen zu registrieren, die gemäß den Richtlinieneinstellungen für Authentifizierungsmethoden zulässig sind, wenn eine Registrierung erforderlich ist. Wenn dem Benutzer mehr als eine andere Authentifizierungsmethode zur Auswahl und Registrierung zur Verfügung steht, wird bei der Registrierung die Option Ich möchte eine andere Methode einrichten angezeigt, mit der der Benutzer die gewünschte Authentifizierungsmethode einrichten kann.
Löschen der Sicherheitsinformationen unter „Mein Konto“
Ein Benutzender, der zuvor mindestens eine Methode festgelegt hat, navigiert zu Sicherheitsinformationen. Der Benutzer löscht eine der zuvor registrierten Methoden. Anschließend wird diese Methode nicht mehr auf der Seite „Sicherheitsinformation“ angezeigt.
Ändern der Standardmethode unter „Mein Konto“
Ein Benutzender, der zuvor mindestens eine Methode festgelegt hat, die für die Multifaktor-Authentifizierung verwendet werden kann, navigiert zu Sicherheitsinformationen. Der Benutzer ändert die aktuell verwendete Standardmethode in eine andere Standardmethode. Anschließend wird die neue Standardmethode auf der Seite „Sicherheitsinformation“ angezeigt.
Wechseln des Verzeichnisses
Eine externe Identität (z. B. ein B2B-Benutzer) muss das Verzeichnis wechseln, um die Sicherheitsregistrierungsinformationen für einen Drittanbietermandanten zu ändern. Außerdem sind Benutzer, die auf einen Ressourcenmandanten zugreifen, möglicherweise irritiert, wenn sie Änderungen in ihrem Basismandanten vornehmen, diese Änderungen aber nicht im Ressourcenmandanten angezeigt werden.
Beispielsweise legt ein Benutzer die Pushbenachrichtigung der Microsoft Authenticator-App als primäre Authentifizierungsmethode für die Anmeldung beim Basismandanten fest, hat aber auch die SMS/Text-Option eingerichtet. Dieser Benutzer hat auch die SMS/Text-Option für einen Ressourcenmandanten konfiguriert. Wenn dieser Benutzer die SMS/Text-Option als eine der Authentifizierungsoptionen für den Basismandanten entfernt, ist er vermutlich irritiert, wenn er sich beim Zugriff auf den Ressourcenmandanten mit der SMS/Text-Option authentifizieren soll.
Um im Microsoft Entra Admin Center das Verzeichnis zu wechseln, klicken Sie auf den Benutzerkontonamen in der oberen rechten Ecke und dann auf Verzeichnis wechseln.
Oder Sie können einen Mandanten nach URL angeben, um auf Sicherheitsinformationen zuzugreifen.
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
Hinweis
Kunden, die versuchen, sich über die kombinierte Registrierung oder die Seite „Meine Anmeldungen“ zu registrieren oder Sicherheitsinformationen zu verwalten, sollten einen modernen Browser wie Microsoft Edge verwenden.
IE11 wird für die Erstellung einer Webansicht oder eines Browsers in Anwendungen nicht offiziell unterstützt, da es nicht in allen Szenarien wie erwartet funktioniert.
Anwendungen, die nicht aktualisiert wurden und weiterhin die Azure AD-Authentifizierungsbibliothek (ADAL) verwenden, die auf Legacy-Webansichten basieren, können auf ältere Versionen des Internet Explorers zurückgreifen. In diesen Szenarien sehen die Benutzer eine leere Seite, wenn sie auf die Seite „Meine Anmeldungen“ weitergeleitet werden. Wechseln Sie zu einem modernen Browser, um dieses Problem zu beheben.
Nächste Schritte
Erste Informationen finden Sie unter Aktivieren der Self-Service-Kennwortzurücksetzung und Aktivieren der Multi-Faktor-Authentifizierung von Microsoft Entra.
Erfahren Sie, wie Sie die kombinierte Registrierung in Ihrem Mandanten aktivieren oder die erneute Registrierung von Authentifizierungsmethoden durch Benutzer erzwingen.
Sie können auch den Artikel Verfügbare Methoden für Multi-Faktor-Authentifizierung und SSPR von Microsoft Entra lesen.