Häufig gestellte Fragen zur in Microsoft Entra-Multi-Faktor-Authentifizierung

Bei mehrstufigem Authentifizierungsserver werden Benutzerdaten nur auf den lokalen Servern gespeichert. Daten werden nicht dauerhaft in der Cloud gespeichert. Wenn der Benutzer die Überprüfung in zwei Schritten durchführt, sendet der Mehrstufige Authentifizierungsserver Daten an den Mehrstufigen Authentifizierungs-Clouddienst von Microsoft Entra für die Authentifizierung. Die Kommunikation zwischen mehrstufigem Authentifizierungsserver und dem mehrstufigen Authentifizierungs-Clouddienst verwendet Secure Sockets Layer (SSL) oder TLS (Transport Layer Security) über Port 443 ausgehend.

Wenn Authentifizierungsanforderungen an den Clouddienst gesendet werden, werden Daten für Authentifizierungs- und Verwendungsberichte gesammelt. Folgende Datenfelder werden in die Protokolle der zweistufigen Überprüfung einbezogen:

• eindeutige ID (Benutzername oder lokale Mehrstufige Authentifizierungsserver-ID)
• Vor- und Nachname (optional)
• E-Mail-Adresse (optional)
• Rufnummer (bei einer Authentifizierung per Sprachanruf oder SMS)
• Gerätetoken (für die Authentifizierung einer mobilen App)
• Authentifizierungsmodus
• Authentifizierungsergebnis
• Mehrstufiger Authentifizierungsservername
• mehrstufige Authentifizierungsserver-IP-
• Client-IP (falls verfügbar)

Die optionalen Felder können auf dem Mehrstufigen Authentifizierungsserver konfiguriert werden.

Das Authentifizierungsergebnis (Erfolg oder Ablehnung) und der Grund für etwaige Ablehnungen werden mit den Authentifizierungsdaten gespeichert. Diese Daten stehen in den Authentifizierungs- und Verwendungsberichten zur Verfügung.

Weitere Informationen finden Sie unter Datenresidenz und Daten von Kunden für die Multi-Faktor-Authentifizierung von Microsoft Entra.

In den USA werden die folgenden SMS-Kurzcodes verwendet:

• 97671
• 69829
• 51789
• 99399

In Kanada werden die folgenden Kurzcodes verwendet:

• 759731
• 673801

Eine einheitliche SMS- oder sprachbasierte Aufforderung zur Multi-Faktor-Authentifizierung, bei der die Zustellung immer über dieselbe Nummer erfolgt, kann nicht garantiert werden. Im Interesse unserer Benutzer*innen können wir jederzeit Kurzcodes hinzuzufügen oder entfernen, wenn wir Routenanpassungen zur Verbesserung der Zustellbarkeit von SMS-Nachrichten vornehmen.

Wir unterstützt keine Kurzcodes für Länder/Regionen außerhalb der USA und Kanadas.

Ja, in bestimmten Fällen, die in der Regel wiederholte Authentifizierungsanforderungen in einem kurzen Zeitfenster umfassen, drosselt Microsoft Entra mehrstufige Authentifizierungsversuche die Benutzeranmeldung, um Telekommunikationsnetzwerke zu schützen, MFA-Müdigkeit-Stil-Angriffe zu mindern und ihre eigenen Systeme für den Vorteil aller Kunden zu schützen.

Obwohl wir keine bestimmten Einschränkungsgrenzwerte teilen, basieren sie auf einer angemessenen Nutzung.

Nein. Durch individuelle Telefonanrufe oder SMS, die über Microsoft Entra-Multi-Faktor-Authentifizierung an Benutzer gesendet werden, entstehen für Sie keine Kosten. Bei Verwendung eines authentifizierungsbasierten MFA-Anbieters werden die Kosten für die einzelnen Authentifizierungen, aber nicht für die verwendete Methode in Rechnung gestellt.

Bei Ihren Benutzern können Kosten für die eingehenden Telefonanrufe oder SMS anfallen. Das hängt allerdings vom jeweiligen Netzbetreiber ab.

Die Abrechnung basiert auf der Anzahl von Benutzern, die zur Nutzung von Multi-Faktor-Authentifizierung konfiguriert sind – unabhängig davon, ob sie im Abrechnungsmonat eine zweistufige Überprüfung initiiert haben.

Wenn Sie einen benutzer- oder authentifizierungsbasierten MFA-Anbieter erstellen, wird das Azure-Abonnement Ihrer Organisation monatlich auf der Grundlage der Nutzung abgerechnet. Dieses Abrechnungsmodell ähnelt der Azure-Abrechnung für die Nutzung von virtuellen Computern und Web-Apps.

Wenn Sie ein Abonnement für Microsoft Entra-Multi-Faktor-Authentifizierung erwerben, fällt für Ihre Organisation lediglich die jährliche Lizenzgebühr für die einzelnen Benutzer an. Wenn Sie MFA-Lizenzen und Microsoft 365, Microsoft Entra ID P1 oder P2 oder Enterprise Mobility + Security besitzen, werden die Pakete so abgerechnet.

Weitere Informationen finden Sie unter Beziehen der Microsoft Entra-Multi-Faktor-Authentifizierung.

Das Feature „Sicherheitsstandards“ kann im Tarif „Microsoft Entra ID Free“ aktiviert werden. Bei Verwenden des Features „Sicherheitsstandards“ können alle Benutzer die Multi-Faktor-Authentifizierung mithilfe der Microsoft Authenticator-App nutzen. Es gibt keine Möglichkeit, bei Verwenden von „Sicherheitsstandards“ die Überprüfung per SMS oder Telefon zu verwenden. Die App Microsoft Authenticator muss genutzt werden.

Weitere Informationen finden Sie unter Was sind Sicherheitsstandards?.

Wenn Ihre Organisation MFA als eigenständigen Dienst mit nutzungsbasierter Abrechnung erwirbt, wählen Sie bei der Erstellung eines MFA-Anbieters ein Abrechnungsmodell aus. Das Abrechnungsmodell kann nach der Erstellung eines MFA-Anbieters nicht mehr geändert werden.

Falls Ihr MFA-Anbieter nicht mit einem Microsoft Entra-Mandanten verknüpft ist oder Sie den neuen MFA-Anbieter mit einem anderen Microsoft Entra-Mandanten verknüpfen, werden Benutzereinstellungen und Konfigurationsoptionen nicht übernommen. Darüber hinaus müssen vorhandene MFA-Server unter Verwendung von Aktivierungsanmeldeinformationen des neuen MFA-Anbieters erneut aktiviert werden. Das Reaktivieren der MFA-Server, um sie mit dem neuen MFA-Anbieter zu verknüpfen, wirkt sich nicht auf die Authentifizierung von Telefonanrufen und Sms aus, mobile App-Benachrichtigungen funktionieren jedoch nicht mehr für alle Benutzer, bis sie die mobile App reaktivieren.

Weitere Informationen zu MFA-Anbietern finden Sie unter Erste Schritte mit Azure Multi-Faktor-Authentifizierungsanbietern.

In einigen Fällen schon.

Wenn Ihr Verzeichnis über einen benutzerbasierten Microsoft Entra-Multi-Faktor-Authentifizierungsanbieter verfügt, können Sie MFA-Lizenzen hinzufügen. Benutzer mit Lizenzen fließen nicht in die benutzer-/nutzungsbasierte Abrechnung mit ein. Für Benutzer ohne Lizenz kann MFA weiterhin über den MFA-Anbieter aktiviert werden. Wenn Sie für alle Ihre Benutzer*innen, die für die Verwendung der Multi-Faktor-Authentifizierung konfiguriert sind, Lizenzen erwerben und zuweisen, können Sie den Anbieter für die Microsoft Entra-Multi-Faktor-Authentifizierung löschen. Sollten später einmal mehr Benutzer als Lizenzen vorhanden sein, können Sie jederzeit einen weiteren benutzerbasierten MFA-Anbieter erstellen.

Falls Ihr Verzeichnis über einen authentifizierungsbezogenen Microsoft Entra-Multi-Faktor-Authentifizierungsanbieter verfügt, werden Ihnen immer die einzelnen Authentifizierungen in Rechnung gestellt, solange der MFA-Anbieter mit Ihrem Abonnement verknüpft ist. Sie können Benutzern zwar MFA-Lizenzen zuweisen, Ihnen wird jedoch weiterhin jede Anforderung einer zweistufigen Überprüfung in Rechnung gestellt. Dabei spielt es keine Rolle, ob dem anfordernden Benutzer eine MFA-Lizenz zugewiesen ist.

Wenn Ihre Organisation ein nutzungsbasiertes Abrechnungsmodell verwendet, ist Microsoft Entra ID optional, aber nicht erforderlich. Wenn Ihr MFA-Anbieter nicht mit einem Microsoft Entra-Mandanten verknüpft ist, können Sie azure Multifactor Authentication Server nur lokal bereitstellen.

Microsoft Entra IDist für das Lizenzmodell erforderlich, da Lizenzen dem Microsoft Entra-Mandanten hinzugefügt werden, wenn Sie sie nach dem Kauf Benutzern im Verzeichnis zuweisen.

Bitten Sie Ihre Benutzer*innen, innerhalb von 5 Minuten bis zu fünfmal einen Telefonanruf oder eine SMS für die Authentifizierung anzufordern. Microsoft verwendet verschiedene Anbieter für die Übermittlung von Anrufen und SMS-Nachrichten. Wenn dies nicht funktioniert, öffnen Sie zur weiteren Problembehandlung einen Supportvorgang.

Sicherheits-Apps von Drittanbietern können auch die SMS-Nachricht oder den Telefonanruf mit dem Überprüfungscode blockieren. Wenn Sie eine Sicherheits-App eines Drittanbieters einsetzen, versuchen Sie, den Schutz zu deaktivieren, und fordern Sie dann die Zusendung eines weiteren MFA-Überprüfungscodes an.

Wenn die vorherigen Schritte nicht funktionieren, überprüfen Sie, ob Benutzer für mehrere Überprüfungsmethoden konfiguriert sind. Versuchen Sie, sich erneut anzumelden, aber wählen Sie auf der Anmeldeseite eine andere Überprüfungsmethode aus.

Weitere Informationen finden Sie in der Anleitung zur Problembehandlung für Endbenutzer.

Sie können den Benutzer auffordern, den Registrierungsprozess erneut zu durchlaufen, um das Benutzerkonto zurückzusetzen. Weitere Informationen finden Sie unter Verwalten von Benutzereinstellungen für die Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud.

Löschen Sie alle App-Kennwörter des Benutzers, um nicht autorisierte Zugriffe zu verhindern. Wenn der Benutzer über ein Ersatzgerät verfügt, kann er neue Kennwörter erstellen. Weitere Informationen finden Sie unter Verwalten von Benutzereinstellungen für die Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud.

Falls Ihre Organisation noch Legacyclients verwendet und Sie die Verwendung von App-Kennwörtern zugelassen haben, können sich Ihre Benutzer nicht mit ihrem Benutzernamen und Kennwort bei diesen Legacyclients anmelden. Stattdessen müssen sie App-Kennwörter einrichten. Ihre Benutzer müssen ihre Anmeldeinformationen löschen, die App neu starten und sich dann mit ihrem Benutzernamen und ihrem App-Kennwort (anstelle des regulären Kennworts) anmelden.

Wenn Ihre Organisation keine Legacyclients verwendet, sollten Sie die Erstellung von App-Kennwörtern durch Benutzer nicht zulassen.

Die Zustellung von SMS-Nachrichten kann nicht garantiert werden, da nicht kontrollierbare Faktoren die Zuverlässigkeit des Diensts beeinträchtigen können. Unter diese Faktoren fallen Bestimmungsland/-region, der Mobilfunkanbieter und die Signalstärke.

Sicherheits-Apps von Drittanbietern können auch die SMS-Nachricht oder den Telefonanruf mit dem Überprüfungscode blockieren. Wenn Sie eine Sicherheits-App eines Drittanbieters einsetzen, versuchen Sie, den Schutz zu deaktivieren, und fordern Sie dann die Zusendung eines weiteren MFA-Überprüfungscodes an.

Falls Ihre Benutzer häufig SMS-Empfangsprobleme haben, fordern Sie sie auf, die App Microsoft Authenticator oder die Telefonanrufmethode zu verwenden. Microsoft Authenticator kann Benachrichtigungen sowohl über Mobilfunk- als auch WLAN-Verbindungen empfangen. Darüber hinaus kann die mobile App Überprüfungscodes auch dann generieren, wenn das Gerät noch gar kein Signal empfangen hat. Die Microsoft Authenticator-App ist für Android, iOS und Windows Phone verfügbar.

In einigen Fällen schon.

Für unidirektionale SMS mit MFA Server v7.0 oder höher können Sie die Einstellungen für das Zeitlimit durch Festlegen eines Registrierungsschlüssels konfigurieren. Nachdem der MFA-Clouddienst die Textnachricht gesendet hat, wird der Überprüfungscode (oder die Einmalkennung) an den MFA-Server zurückgegeben. MFA-Server speichert den Code standardmäßig für 300 Sekunden im Arbeitsspeicher. Wenn der Benutzer seinen Code nicht innerhalb dieser 300 Sekunden eingibt, wird die Authentifizierung verweigert. Im Folgenden werden die Schritte für das Ändern der standardmäßigen Zeitlimiteinstellung beschrieben:

1. Gehe zu HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Erstellen Sie einen DWORD-Registrierungsschlüssel namens pfsvc_pendingSmsTimeoutSeconds, und legen Sie den Zeitraum in Sekunden fest, über den MFA Server Einmalkennungen speichern soll.

Wenn die Benutzer nicht innerhalb des Zeiteinschränkungen auf die SMS antworten, wird ihre Authentifizierung verweigert.

Für unidirektionale SMS mit Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud (einschließlich des AD FS-Adapters oder der Netzwerkrichtlinienservererweiterung) können Sie die Timeouteinstellung nicht konfigurieren. Microsoft Entra ID speichert den Überprüfungscode für 180 Sekunden.

Wenn Sie den multistufigen Authentifizierungsserver verwenden, können Sie time-based, one-time-password (TOTP)-Token von Drittanbietern importieren und diese dann für die Überprüfung in zwei Schritten verwenden.

Sie können ActiveIdentity-Token verwenden, die OATH TOTP-Token sind, wenn Sie den geheimen Schlüssel in einer CSV-Datei ablegen und in multifaktorbasierte Authentifizierungsserver importieren. Sie können OATH-Token mit Active Directory Federation Services (AD FS), mit formularbasierter IIS-Authentifizierung (Internet Information Services) sowie mit Remote Authentication Dial-In User Service (RADIUS) verwenden, sofern das Clientsystem diese Benutzereingabe annehmen kann.

Sie können OATH TOTP-Drittanbietertoken mit folgenden Formaten importieren:

• Portable Symmetric Key Container (PSKC)
• CSV, wenn die Datei eine Seriennummer, einen geheimen Schlüssel im Base 32-Format, und ein Zeitintervall enthält

Ja, aber wenn Sie Windows Server 2012 R2 oder höher verwenden, können Sie Terminaldienste nur mithilfe von Remotedesktopgateway (RD-Gateway) schützen.

Sicherheitsänderungen in Windows Server 2012 R2 haben geändert, wie ein mehrstufiger Authentifizierungsserver eine Verbindung mit dem Sicherheitspaket für lokale Sicherheitsstellen (Local Security Authority, LSA) in Windows Server 2012 und früheren Versionen herstellt. Bei der Verwendung von Terminaldiensten unter Windows Server 2012 oder einer älteren Version können Sie eine Anwendung mit der Windows-Authentifizierung sichern. Wenn Sie Windows Server 2012 R2 verwenden, benötigen Sie ein RD-Gateway.

Wenn mehrstufige Authentifizierungsanrufe über das öffentliche Telefonnetz getätigt werden, werden sie manchmal über einen Netzbetreiber weitergeleitet, der die Anrufer-ID nicht unterstützt. Aus diesem Grund ist die Anzeige der Rufnummer nicht garantiert, obwohl das Multi-Faktor-Authentifizierungssystem sie immer sendet.

Benutzer können aus mehreren Gründen zur Registrierung ihrer Sicherheitsinformationen aufgefordert werden:

• Unter Umständen hat der Administrator den Benutzer in Microsoft Entra ID für MFA aktiviert, der Benutzer hat jedoch noch keine Sicherheitsinformationen für sein Konto registriert.
• Für den Benutzer wurde die Self-Service-Kennwortzurücksetzung in Microsoft Entra ID aktiviert. Mithilfe der Sicherheitsinformationen kann der Benutzer sein Kennwort zurücksetzen, falls er es einmal vergessen sollte.
• Der Benutzer hat auf eine Anwendung mit einer Richtlinie für bedingten Zugriff zugegriffen, die MFA erfordert, und hat sich bislang noch nicht für MFA registriert.
• Der Benutzer registriert ein Gerät bei in Microsoft Entra ID (einschließlich in Microsoft Entra Join), und Ihre Organisation schreibt MFA für die Geräteregistrierung vor, der Benutzer hat sich bislang aber noch nicht für MFA registriert.
• Der Benutzer generiert Windows Hello for Business unter Windows 10 (wofür MFA erforderlich ist) und hat sich bislang noch nicht für MFA registriert.
• Eine von der Organisation erstellte und aktivierte MFA-Registrierungsrichtlinie wurde auf den Benutzer angewendet.
• Der Benutzer hat sich zwar bereits für MFA registriert, dabei aber eine Überprüfungsmethode gewählt, die inzwischen von einem Administrator deaktiviert wurde. Daher muss der Benutzer die MFA-Registrierung erneut durchlaufen und eine neue Standardüberprüfungsmethode auswählen.

Bitten Sie den Benutzer, das folgende Verfahren zu befolgen, um sein Konto aus Microsoft Authenticator zu entfernen und es anschließend erneut hinzuzufügen:

1. Wechseln Sie zum betroffenen Kontoprofil, und melden Sie sich mit einem Organisationskonto an.
2. Wählen Sie Zusätzliche Sicherheitsüberprüfung aus.
3. Entfernen Sie das vorhandene Konto aus der App Microsoft Authenticator.
4. Wählen Sie Konfigurieren vonaus, und folgen Sie dann den Anweisungen, um den Microsoft Authenticator neu zu konfigurieren.

Der 0x800434D4L- Fehler tritt auf, wenn Sie versuchen, sich bei einer Nichtbrowseranwendung anzumelden, die auf einem lokalen Computer installiert ist und nicht mit Konten funktioniert, die eine Überprüfung in zwei Schritten erfordern.

Eine Problemumgehung für diesen Fehler besteht darin, separate Benutzerkonten für administratorbezogene und nichtadmin-Vorgänge zu verwenden. Später können Sie Postfächer zwischen Ihrem Administratorkonto und ihrem Nichtadmin-Konto verknüpfen, damit Sie sich mit Ihrem nichtadmin-Konto bei Outlook anmelden können. Weitere Informationen über diese Lösung und wie ein Administrator die Möglichkeit erhält, den Inhalt des Postfachs eines Benutzers zu öffnen und anzuzeigen, finden Sie in Verwalten von Berechtigungen für Empfänger.

Fehler 1073741715 = Status Fehlgeschlagene Anmeldung -> Der Anmeldeversuch ist ungültig. Dies ist entweder auf einen falschen Benutzernamen oder eine falsche Authentifizierung zurückzuführen.

Ein möglicher Grund für diesen Fehler: Wenn die eingegebenen primären Anmeldeinformationen korrekt sind, liegt möglicherweise ein Konflikt zwischen der unterstützten NTLM-Version auf dem MFA-Server und dem Domänencontroller vor. MFA-Server unterstützt nur NTLMv1 (LmCompatabilityLevel=1 bis 4) und nicht NTLMv2 (LmCompatabilityLevel=5).

Nächste Schritte

Wenn Ihre Frage hier nicht beantwortet wird, sind die folgenden Supportoptionen verfügbar:

• Durchsuchen Sie die Microsoft Support Wissensdatenbank nach Lösungen für häufige technische Probleme.
• Suchen und durchsuchen Sie technische Fragen und Antworten aus der Community oder stellen Sie Ihre eigene Frage in den Microsoft Entra Q&A.
• Wenden Sie sich über Multifactor Authentication Server-Support an Microsoft Professional. Es ist hilfreich, wenn Sie uns so viele Informationen wie möglich über Ihr Problem geben, wenn Sie sich mit uns in Verbindung setzen. Diese Informationen können die Website umfassen, auf der der Fehler aufgetreten ist, den spezifischen Fehlercode, die spezifische Sitzungs-ID, und die ID des Benutzers, der den Fehler beobachtet hat.