Bearbeiten

Freigeben über


Verwalten von Benutzerauthentifizierungsmethoden für Microsoft Entra-Multi-Faktor-Authentifizierung

Kontaktinformationen der Benutzer*innen in Microsoft Entra fallen in zwei unterschiedliche Kategorien:

  • Kontaktinformationen für öffentliche Profile, die im Benutzerprofil verwaltet werden und für Mitglieder Ihrer Organisation sichtbar sind. Bei Benutzern, die aus dem lokalen Active Directory synchronisiert werden, werden diese Informationen in den lokalen Windows Server Active Directory-Domänendiensten verwaltet.
  • Authentifizierungsmethoden, die immer privat sind und nur für die Authentifizierung verwendet werden, einschließlich Multi-Faktor-Authentifizierung. Administratoren können diese Methoden auf dem Blatt zur Authentifizierungsmethode eines Benutzers verwalten, und Benutzer können Ihre Methoden auf der Seite „Sicherheitsinformationen“ von MyAccount verwalten.

Bei der Verwaltung der Methoden der Microsoft Entra-Multi-Faktor-Authentifizierung für Ihre Benutzer*innen können Authentifizierungsadministrator*innen folgende Aktionen ausführen:

  • Hinzufügen von Authentifizierungsmethoden für einen bestimmten Benutzer, einschließlich der für MFA verwendeten Telefonnummern.
  • Setzt das Kennwort eines Benutzers zurück.
  • Anfordern einer erneuten Registrierung des Benutzers für MFA.
  • Widerrufen vorhandener MFA-Sitzungen.
  • Löschen der vorhandenen App-Kennwörter eines Benutzers

Hinweis

Die Screenshots in diesem Thema zeigen, wie Sie Benutzerauthentifizierungsmethoden mithilfe einer aktualisierten Oberfläche im Microsoft Entra Admin Center verwalten. Es gibt auch eine Vorversions-Erfahrung und Administratoren können über ein Banner im Admin Center zwischen den beiden Versionen umschalten. Die moderne Benutzeroberfläche verfügt über eine vollständige Parity mit der Vorversions-Erfahrung und verwaltet moderne Methoden wie befristeter Zugriffspass, Passkeys und andere Einstellungen. Die Vorversions-Erfahrung im Microsoft Entra Admin Center wird ab dem 31. Oktober 2024 eingestellt. Es gibt keine Aktion, die von Organisationen vor der Ausmusterung benötigt wird.

Voraussetzungen

Multi-Faktor-Authentifizierung von Microsoft Entra (standardmäßig aktiviert).

Hinzufügen oder Ändern von Authentifizierungsmethoden für einen Benutzer

Sie können Authentifizierungsmethoden für einen Benutzer mithilfe des Microsoft Entra Admin Centers oder von Microsoft Graph PowerShell hinzufügen oder ändern. Im Microsoft Entra Admin Center wird die Vorversions-Methode für die Verwaltung von Benutzerauthentifizierungsmethoden nach dem 31. Oktober 2024 eingestellt.

Hinweis

Aus Sicherheitsgründen sollten die Felder für die öffentlichen Kontaktinformationen eines Benutzers nicht zum Ausführen von MFA verwendet werden. Stattdessen sollten die Benutzer die Nummern für ihre Authentifizierungsmethoden eintragen, die für die MFA verwendet werden sollen.

Screenshot des Hinzufügens von Authentifizierungsmethoden über das Microsoft Entra Admin Center.

So fügen Sie Authentifizierungsmethoden für einen Benutzer im Microsoft Entra Admin Center hinzu oder ändern sie:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie den Benutzer aus, für den Sie eine Authentifizierungsmethode hinzufügen oder ändern möchten, und wählen Sie Authentifizierungsmethoden aus.
  4. Wählen Sie oben im Fenster + Authentifizierungsmethode hinzufügen aus.
    • Wählen Sie eine Methode aus (Telefonnummer oder E-Mail). „E-Mail“ kann für die Self-Service-Kennwortrücksetzung, aber nicht für die Authentifizierung verwendet werden. Wählen Sie beim Hinzufügen einer Telefonnummer einen Telefontyp aus, und geben Sie eine Telefonnummer in einem gültigen Format ein (beispielsweise +1 4255551234).
    • Wählen Sie Hinzufügen.

Benutzer können eigene Authentifizierungsmethoden in "Meine Anmeldungen" hinzufügen oder bearbeiten | Sicherheitsinformationen. Wenn Sie beispielsweise die Telefonnummer ändern möchten, wählen Sie "Telefonnummer" aus, und tippen Sie auf "Ändern".

Verwalten von Methoden mit PowerShell

Installieren Sie das Modul „Microsoft.Graph.Identity.Signins PowerShell“ mithilfe der folgenden Befehle.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Verwalten von Authentifizierungsoptionen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Authentifizierungsadministrierende können andere Benutzende auffordern, ihr Kennwort zurückzusetzen, sich erneut für MFA zu registrieren oder bestehende MFA-Sitzungen von ihrem Benutzerobjekt zu widerrufen. Benutzende können ihr eigenes Benutzerobjekt nicht aktualisieren. Um ihre eigenen Sicherheitsmethoden zu ändern oder zurückzusetzen, können die Benutzenden zu Sicherheitsinformationen oder zu Self-Service-Kennwortzurücksetzung wechseln, um ihr Kennwort zurückzusetzen. Um die Einstellungen von anderen Benutzenden zu verwalten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.

  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  3. Wählen Sie den Benutzer aus, für den Sie eine Aktion ausführen möchten, und wählen Sie anschließend Authentifizierungsmethoden aus. Wählen Sie dann am oberen Rand des Fensters eine der folgenden Optionen für den Benutzer aus:

    • Kennwort zurücksetzen: Das Benutzerkennwort wird zurückgesetzt, und ein temporäres Kennwort wird zugewiesen, das bei der nächsten Anmeldung geändert werden muss.
    • Erneute MFA-Registrierung erforderlich deaktiviert die Hardware-OATH-Token des Benutzers bzw. der Benutzerin und löscht die folgenden Authentifizierungsmethoden für ihn bzw. sie: Telefonnummern, Microsoft Authenticator-Apps und Software-OATH-Token. Bei Bedarf wird der Benutzer aufgefordert, bei der nächsten Anmeldung eine neue MFA-Authentifizierungsmethode einzurichten.
    • MFA-Sitzungen widerrufen: Löscht die gespeicherten MFA-Sitzungen des Benutzers bzw. der Benutzerin. Wenn auf dem Gerät gemäß Richtlinie das nächste Mal eine MFA erforderlich ist, muss der Benutzer bzw. die Benutzerin diese durchführen.

    Screenshot: Verwalten von Authentifizierungsmethoden über das Microsoft Entra Admin Center

Löschen vorhandener App-Kennwörter eines Benutzers

Bei Benutzern, die App-Kennwörter definiert haben, können Administratoren diese Kennwörter auch löschen, sodass keine Legacy-Authentifizierung in diesen Anwendungen mehr möglich ist. Diese Aktionen sind möglicherweise erforderlich, wenn Sie einen Benutzer unterstützen oder seine Authentifizierungsmethoden zurücksetzen müssen. Nicht-Browser-Apps, die diesen App-Kennwörtern zugeordnet waren, funktionieren erst wieder, wenn ein neues App-Kennwort erstellt wurde.

Um die App-Kennwörter eines Benutzers zu löschen, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.

  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  3. Wählen Sie Multi-Faktor-Authentifizierung aus. Scrollen Sie bei Bedarf nach rechts, um diese Menüoption anzuzeigen. Wählen Sie den unten gezeigten Beispielscreenshot aus, um das gesamte Fenster und die Menüposition anzuzeigen: Screenshot: Auswählen der Multi-Faktor-Authentifizierung im Fenster „Benutzer“ in Microsoft Entra ID.

  4. Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie verwalten möchten. Auf der rechten Seite wird eine Liste mit Optionen für schnelle Schritte angezeigt.

  5. Wählen Sie Benutzereinstellungen verwalten aus, und aktivieren Sie dann das Kontrollkästchen Alle vorhandenen App-Kennwörter löschen, die von den ausgewählten Benutzern erstellt wurden, wie im folgenden Beispiel gezeigt: Screenshot: Löschen aller vorhandenen App-Kennwörter

  6. Wählen Sie Speichern und dann Schließen aus.