Freigeben über


Bedingter Zugriff: Authentifizierungsübertragung (Vorschau)

Die Authentifizierungsübertragung ist ein neuer Authentifizierungsflow, der die geräteübergreifende Anmeldung von PC zu Mobilgeräten für Microsoft-Apps vereinfacht. Mit der Authentifizierungsübertragung können Sie eine Authentifizierung von einem Gerät auf ein anderes übertragen, z. B. vom Desktop auf Mobilgeräte. Die Authentifizierungsübertragung erhöht die Bindung der Benutzer, indem sie auf mehreren Plattformen verbunden werden. Benutzer können einen QR-Code in einer authentifizierten App auf ihrem PC verwenden, um sich bei einer mobilen App anzumelden.

Screenshot einer Beispielrichtlinie für bedingten Zugriff mithilfe der Authentifizierung mit einem Blocksteuerelement.

Authentifizierungsübertragung und bedingter Zugriff

Bei der Authentifizierungsübertragung werden alle Richtlinien für den bedingten Zugriff von Microsoft Entra ausgewertet. Die Authentifizierungsübertragung überträgt nur Authentifizierungsansprüche und keine gerätebezogenen Ansprüche.

  • Wenn Benutzer mit der Authentifizierungsübertragung eine Multi-Faktor-Authentifizierung (MFA) auf ihrem PC durchführen, müssen sie sie nicht mehr auf ihrem mobilen Gerät ausführen.
  • Bei der Authentifizierungsübertragung werden Richtlinien für den bedingten Zugriff vor der Übertragung der Authentifizierung ausgewertet. Wenn eine Richtlinie für das mobile Gerät nicht erfüllt ist, wird der Benutzer aufgefordert, sich manuell anzumelden.
    • Die Authentifizierungsübertragung umgeht beim Übertragen der Authentifizierung auf mobile Geräte Lösungen für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) von Drittanbietern.
  • Mit der Authentifizierungsübertragung müssen sich Benutzer auf ihrem PC neu authentifizieren, wenn sie mit geschützten Sitzungstoken angemeldet sind, z. B. dem primären Aktualisierungstoken. Sie müssen nicht erneut für mobile Apps authentifiziert werden.

Authentifizierungsübertragung in Anmeldeprotokollen

Administratoren können die Anmeldeprotokolle überprüfen, um festzustellen, ob ihre Benutzer die Authentifizierungsübertragung für die Anmeldung verwenden. Die Verwendung der Authentifizierungsübertragung wird in den Microsoft Entra-Anmeldeprotokollen unter Authentifizierungsdetails angezeigt. Administratoren sehen alle Ereignisse, wobei das erste ein QR-Code als Authentifizierungsmethode ist.

Verwalten der Authentifizierungsübertragung für bestimmte Benutzer und Apps

Die Authentifizierungsübertragung ist standardmäßig für alle Benutzer aktiviert. Administratoren können die Authentifizierungsübertragung mithilfe von Richtlinien für den bedingten Zugriff und der Bedingung Authentifizierungsflowsverwalten. Diese Bedingung kann die Authentifizierungsübertragung auf bestimmte Benutzer oder Apps beschränken oder die Funktionalität deaktivieren.

Bei der Authentifizierungsübertragung werden alle anwendbaren Richtlinien für bedingten Zugriff überprüft, bevor der Benutzer bei einer mobilen App angemeldet wird. Wenn die erforderlichen Bedingungen nicht erfüllt sind, wird der Benutzer aufgefordert, sich bei der mobilen App zu authentifizieren.

Informationen zum Erstellen einer Richtlinie, in der die Bedingung der Authentifizierungsübertragung verwendet wird, finden Sie im Artikel Blockieren der Authentifizierungsübertragung mit einer Richtlinie für bedingten Zugriff.