Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Aktionen beschrieben, die zum Sichern und Verwalten von Anmeldeinformationen und Authentifizierungsmethoden in einer bildungsfähigen organization erforderlich sind, die mehrere Mandanten umfasst.
Anmeldeinformationen sind spezifisch für die Identität eines Benutzers. Beispielsweise der individuelle Benutzername und das Kennwort, die PIN oder biometrische Informationen. Jeder Benutzer, einschließlich IT-Administratoren, Lehrern, Mitarbeitern und Kursteilnehmern, verfügt über Anmeldeinformationen.
Eine Authentifizierungsmethode ist die Art und Weise, wie der Benutzer seine Anmeldeinformationen übermittelt oder bestätigt. Beispielsweise gibt ein Benutzer seine Anmeldeinformationen auf einem Anmeldebildschirm oder über die Microsoft Authenticator-App ein, in der er sein Konto eingerichtet hat.
Authentifizierungsmethoden können auch in Kategorien oder Typen unterteilt werden, z. B.:
Anmeldeauthentifizierung
Authentifizierung zur Kennwortzurücksetzung
Mehrstufige Authentifizierung
Bei der Anmeldeauthentifizierung gibt der Benutzer zunächst Anmeldeinformationen ein. Die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) und die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) sind zusätzliche Authentifizierungstypen.
Die folgende Tabelle zeigt, wie verschiedene Authentifizierungsmethoden in diesen Szenarien verwendet werden können.
| Authentifizierungsmethode | Anmeldeauthentifizierung | SSPR und MFA |
|---|---|---|
| Kennwort | Ja | |
| Windows Hello for Business | Ja | |
| Microsoft Authenticator-App | Ja (Vorschau) | MFA und SSPR |
| FIDO2-Sicherheitsschlüssel | Ja (Vorschau) | Nur MFA |
| SMS | Ja (Vorschau) | MFA und SSPR |
| Anruf | Nein | MFA und SSPR |
| Sicherheitsfragen | Nein | Nur SSPR |
| E-Mail-Adresse | Nein | Nur SSPR |
Hinweis
Um die Vorschaufunktion für die Anmeldeauthentifizierung zu aktivieren, öffnen Sie die Azure-Portal, wählen Sie Microsoft Entra ID > Sicherheitsauthentifizierungsmethoden > Authentifizierungsmethoden > Richtlinie (Vorschau) aus, und aktivieren Sie die Vorschaumethoden, die Sie ebenfalls verwenden möchten.
Authentifizierungstypen
Kennwörter und PINs sind gängige Anmeldeinformationstypen. Weniger gängige Typen sind Bildkennwörter und Mustersperren. Auch die biometrische Authentifizierung gewinnt an Beliebtheit. Biometrie identifiziert einen Benutzer durch Gesichtserkennung, einen Fingerabdruck oder einen Netzhautabdruck.
Kennwortlose Authentifizierung
Eine kennwortlose Lösung ist die bequemste und sicherste Authentifizierungsmethode. Die kennwortlose Authentifizierung beseitigt die Unannehmlichkeiten, sich Kennwörter merken und auf die mehrstufige Authentifizierung reagieren zu müssen. Es ist sicherer, da es das Risiko von Phishing- und Kennwortsprayangriffen verringert, indem Kennwörter als Angriffsfläche entfernt werden. Microsoft unterstützt die folgenden kennwortlosen Authentifizierungsmethoden
Windows Hello for Business. Windows Hello for Business ist ideal für Benutzer, die über einen bestimmten Windows-PC verfügen. Die biometrischen und PIN-Anmeldeinformationen sind an den PC des Benutzers gebunden, wodurch der Zugriff von einer anderen Person als dem angegebenen Benutzer verhindert wird und nicht autorisierter Zugriff verhindert wird. Mit der Integration der Public Key-Infrastruktur (PKI) und der integrierten Unterstützung für einmaliges Anmelden (Single Sign-On, SSO) bietet Windows Hello for Business eine bequeme Methode für den nahtlosen Zugriff auf Ressourcen lokal und in der Cloud.
Microsoft Authenticator-App: Die Authenticator-App wandelt Ihr iOS- oder Android-Smartphone in sichere, kennwortlose Anmeldeinformationen um. Benutzer können sich bei jeder Plattform oder jedem Browser anmelden, indem sie eine Benachrichtigung an ihr Telefon erhalten, eine auf dem Bildschirm angezeigte Nummer mit der Nummer auf ihrem Telefon abgleichen und dann ihre biometrischen (Touch- oder Gesichtseingabe) oder PIN-Anmeldeinformationen zur Bestätigung verwenden. In diesem Artikel wird zwar auf die Microsoft Authenticator-App verwiesen, es gibt jedoch weitere Authentifikator-Apps auf dem Markt.
FIDO2-Sicherheitsschlüssel. Mit FIDO2-Sicherheitsschlüsseln können sich Benutzer ohne Benutzernamen oder Kennwort mit einem externen Sicherheitsschlüssel oder einem in ein Gerät integrierten Plattformschlüssel bei ihren Ressourcen anmelden.
Weitere Informationen finden Sie unter Kennwortlose Authentifizierungsoptionen für Microsoft Entra ID.
Authentifizierung zur Kennwortzurücksetzung
Die Kennwortzurücksetzung von Benutzern ist eine der größten Kosten- und Volumenquellen für Helpdesks. Microsoft Entra ID Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) bietet Benutzern die Möglichkeit, ihr Kennwort ohne Beteiligung eines Administrators oder Helpdesks zu ändern oder zurückzusetzen. Neben der Senkung der Kosten verringert SSPR das Benutzerrisiko und verbessert den Sicherheitsstatus Ihrer organization. Wenn das Konto eines Benutzers gesperrt oder kompromittiert ist oder er sein Kennwort vergisst, kann er den Anweisungen folgen, um die Blockierung zu entsperren und wieder an die Arbeit zu gehen.
Jede Kennwortänderung mit SSPR erfordert, dass Kennwörter Microsoft Entra Kennwortrichtlinie entsprechen. Diese Richtlinien bestimmen die erforderliche Komplexität, Länge, Ablauf und zulässige Zeichen. Wenn das Kennwort die Richtlinienanforderungen für Microsoft Entra ID (oder lokales AD) nicht erfüllt, wird der Benutzer aufgefordert, es erneut zu versuchen.
Mehrstufige Authentifizierung
Es wird empfohlen, MFA für Studenten, Lehrkräfte, die IT-Abteilung und andere Mitarbeiter zu verlangen. Diese Gruppen können im Internet aktiver und daher anfälliger für einen Cyberangriff sein.
Die mehrstufige Authentifizierung erfordert, dass ein Benutzer eine zusätzliche Form der Authentifizierung bereitstellt. Es bietet zusätzliche Sicherheit, indem eine zweite Form der Authentifizierung erforderlich ist, z. B.:
Ein Code aus einer SMS-Nachricht.
Annehmen eines Telefonanrufs.
Bereitstellen eines Codes aus oder biometrischen Informationen in der Microsoft Authenticator-App.
Verwenden eines OAUTH-Hardwaretokens.
Aktivieren von SSPR und Azure MFA
Aktivieren Sie sowohl SSPR als auch MFA, um Ihre Umgebung sicherer zu halten. Benutzer müssen sich für diese Dienste registrieren.
Aktivieren von SSPR
SSPR wird im Azure-Portal unter Microsoft Entra ID > Kennwortzurücksetzung verwaltet und ermöglicht Ihnen die Auswahl aus der folgenden Liste der Authentifizierungsmethoden:
Empfohlen – in der Reihenfolge der Präferenz
Mobile App-Benachrichtigung (nur verfügbar, wenn Anzahl der zum Zurücksetzen erforderlichen Methoden auf 2 festgelegt ist)
Code für mobile Anwendungen
E-Mail
Mobiltelefon (SMS-Text)
Nicht empfohlen, wenn zwei empfohlene Optionen vorhanden sind
Bürotelefon (Sprachanruf)
Sicherheitsfragen
Hinweis
Die von Ihnen aktivierten Authentifizierungsmethoden sind für jedes Mitglied des Mandanten verfügbar. Da Sicherheitsfragen die am wenigsten sichere Option sind, empfehlen wir, sie nur zu aktivieren, wenn keine anderen Methoden verfügbar sind. Ein Telefonanruf an ein Bürotelefon könnte kompromittiert werden und wird auch nicht empfohlen, es sei denn, es gibt keine andere Option.
Es wird empfohlen, SSPR für alle Personen in Ihrem Mandanten verfügbar zu machen, mit Ausnahme von Schülern der Grund- und Mittelschule. Diese Kursteilnehmer haben möglicherweise keinen Zugriff auf eine erforderliche zweite Form der Authentifizierung. Diesen Kursteilnehmern sollte Lehrern oder anderen Mitarbeitern die Rolle Des Kennwortadministrators zugewiesen werden. So aktivieren Sie SSPR für alle Benutzer mit Ausnahme dieser Kursteilnehmer:
Erstellen Sie eine Microsoft 365-Gruppe mit einem beschreibenden Namen wie "SSPR" im Azure-Portal. Fügen Sie alle Personen außer Grund- und Mittelschülern hinzu. In Microsoft Entra ID können Sie attributbasierte Regeln erstellen, um dynamische Mitgliedschaften für Gruppen zu aktivieren. Wir empfehlen diesen Ansatz, wenn Sie bereits Attribute erfassen, die die Schülerstufe angeben. Wenn Sie externe Gäste einschließen müssen, lesen Sie Dynamische Gruppen und Microsoft Entra B2B-Zusammenarbeit.
Navigieren Sie zu Microsoft Entra ID >Sicherheitskennwortzurücksetzung> , wählen Sie Ausgewählt und dann diese Gruppe aus.
Aktivieren von Azure MFA
Es wird empfohlen, MFA in Ihren Mandanten zu aktivieren und MFA für IT-Administratoren und alle Personen mit Zugriff auf Schülerdatensätze zu verlangen, die nicht ihre eigenen oder die ihrer Kinder sind. Sie erzwingen MFA mithilfe von Richtlinien für bedingten Zugriff.
Sobald MFA aktiviert ist, sollten Benutzer eine der folgenden Optionen als Standardmethode für multi-Factor Authentication festlegen:
Microsoft Authenticator – Benachrichtigung (am empfohlensten)
Microsoft Authenticator-App oder Hardwaretoken – Code
SMS-Textnachricht
Telefonanruf (Am wenigsten empfohlen)
Hinweis
Es wird nicht empfohlen, MFA für Grund-, Mittel- und Oberstufenschüler zu aktivieren. MFA wird in der Regel verwendet, um eine Kompromittierung und Beschädigung von Konten durch einen böswilligten Akteur zu verhindern. Die Schüler sollten nur Zugang zu ihren eigenen Informationen haben, mit begrenztem Schadenspotenzial. Außerdem haben jüngere Schüler möglicherweise keinen Zugriff auf eine zweite Form der Authentifizierung.
Es gibt zwei Ansätze zum Aktivieren von Azure MFA. Es wird empfohlen, Microsoft Entra ID Protection zum Verwalten des Rollouts zu verwenden, indem eine Richtlinie für bedingten Zugriff konfiguriert wird, die eine MFA-Registrierung erfordert. Identity Protection erfordert, dass Ihre Administratoren über eine Microsoft Entra ID P2-Lizenz verfügen. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren der Azure Multi-Factor Authentication-Registrierungsrichtlinie.
Wenn Sie nicht über eine Microsoft Entra ID P2-Lizenz verfügen, können Sie unter bestimmten Umständen weiterhin eine Richtlinie für bedingten Zugriff verwenden, um Azure Multi-Factor Authentication zu erfordern. Wenn Ihre Administratoren nicht über Microsoft Entra ID P2-Lizenzen verfügen, finden Sie weitere Informationen unter Tutorial: Schützen von Benutzeranmeldungsereignissen mit Azure Multi-Factor Authentication.
Aktivieren der kombinierten Registrierung von Sicherheitsinformationen
Mit der kombinierten Registrierung von Sicherheitsinformationen können sich Benutzer einmal registrieren und die Vorteile von SSPR und Azure Multi-Factor Authentication (MFA) nutzen.
Aktivieren Sie die kombinierte Registrierung für alle Benutzer, und erstellen Sie eine Richtlinie für bedingten Zugriff, um die Registrierung für dieselben Benutzer zu erfordern, für die Sie SSPR aktiviert haben. Sie können dieselbe Office 365 Gruppe verwenden. Durch die Anforderung einer Registrierung wird erzwungen, wann und wie Sich Benutzer für SSPR und Azure MFA registrieren.
SSPR und MFA werden nur ausgelöst, wenn die Bedingungen einer Richtlinie für bedingten Zugriff den Benutzer dazu verpflichten. Sie müssen Richtlinien für bedingten Zugriff erstellen, um Ihre Sicherheitsrichtlinien zu erzwingen.
Hinweis
Für Mandanten, die vor August 2020 erstellt wurden, müssen Sie die kombinierte Registrierung von Sicherheitsinformationen aktivieren. Für Mandanten, die nach August 2020 erstellt wurden, ist dies standardmäßig aktiviert.
Weitere Informationen finden Sie unter Aktivieren der kombinierten Registrierung von Sicherheitsinformationen in Microsoft Entra ID.
Schulen der Benutzer
Bevor Benutzer SSPR oder MFA verwenden können, müssen sie ihre Sicherheitsinformationen registrieren. Wir empfehlen Ihnen, die Benutzererfahrung zu verstehen und dann einen Plan zu entwickeln, um das Bewusstsein zu teilen und Ihre Benutzer bei Bedarf zu schulen.
Weitere Informationen finden Sie in der folgenden Endbenutzerdokumentation:
Einrichten ihrer Sicherheitsinformationen über eine Anmeldeaufforderung
Einrichten der Microsoft Authenticator-App als Überprüfungsmethode
Einrichten einer Authentifikator-App als Zwei-Faktor-Überprüfungsmethode
Einrichten eines mobilen Geräts als Zwei-Faktor-Überprüfungsmethode
Einrichten eines Bürotelefons als Zwei-Faktor-Überprüfungsmethode
Microsoft bietet Endbenutzer-Kommunikationsvorlagen für MFA und SSPR. Sie können diese Vorlagen ändern, um Ihre Benutzer zu schulen. Wir stellen auch Bereitstellungspläne für verschiedene Authentifizierungsmethoden bereit. Weitere Informationen finden Sie unter Bereitstellen der Authentifizierung.
Installieren der Microsoft Authenticator-App
Benutzer, die die Microsoft Authenticator-App für SSPR oder MFA verwenden, müssen die neueste Version der Microsoft Authenticator-App installieren.
Google Android. Wechseln Sie auf Ihrem Android-Gerät zu Google Play, um die Microsoft Authenticator-App herunterzuladen und zu installieren.
Apple iOS. Wechseln Sie auf Ihrem Apple iOS-Gerät zum App Store, um die Microsoft Authenticator-App herunterzuladen und zu installieren.
Wenn sich benutzer derzeit nicht auf ihrem mobilen Gerät befinden, können sie die Microsoft Authenticator-App trotzdem abrufen, indem sie sich selbst einen Downloadlink von der Microsoft Authenticator-Seite senden.
Microsoft Entra Kennwortschutz
Trotz Ihrer Versuche, Benutzern Anleitungen zur Auswahl von Kennwörtern bereitzustellen, treten häufig schwache oder unsichere Kennwörter auf. Es ist nicht ungewöhnlich, dass Benutzer Kennwörter basierend auf leicht zu merkenden Begriffen wie dem Schulnamen, einem Team-Maskottchen, dem Namen eines beliebten Lehrers usw. erstellen.
Microsoft Entra Kennwortschutz enthält standardmäßig globale Listen mit gesperrten Kennwörtern. Diese Listen werden automatisch auf alle Benutzer angewendet, um Kennwörter zu erkennen und zu blockieren, die anfällig für Kennwortsprayangriffe sind. Um Ihre eigenen Sicherheitsanforderungen zu unterstützen, können Sie eigene Einträge in einer benutzerdefinierten Liste gesperrter Kennwörter definieren. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese Listen mit gesperrten Kennwörtern überprüft, um die Verwendung stärkerer Kennwörter zu erzwingen.
Smart Lockout schützt Sie auch vor bösbaren Akteuren, die Brute-Force-Methoden verwenden, um die Kennwörter Ihrer Benutzer zu erraten. Standardmäßig sperrt smart lockout das Konto nach 10 fehlgeschlagenen Versuchen für eine Minute von Anmeldeversuchen. Das Konto wird nach jedem fehlgeschlagenen Anmeldeversuch erneut gesperrt, zunächst für eine Minute und länger bei nachfolgenden Versuchen. Die intelligente Sperre ist für alle Microsoft Entra Kunden immer aktiviert. Die Standardeinstellungen bieten ein ausgewogenes Verhältnis von Sicherheit und Benutzerfreundlichkeit. Die Anpassung der Einstellungen für intelligente Sperrungen mit Werten, die für Ihre organization spezifisch sind, erfordert Microsoft Entra ID P1 oder höher für Ihre Benutzer.
Sicherheitsberichte
Verwenden Sie die Berichtsfunktionen, die in Microsoft Entra ID verfügbar sind, um ihre Gefährdung gegenüber potenziellen Bedrohungen zu begrenzen. Microsoft Entra ID unterstützt Überwachungsprotokoll- und Anmeldeberichte, Sicherheitsberichte zu Risikoerkennungen und Berichte, die Ihnen helfen, zu verstehen, wie Authentifizierungsmethoden für Azure MFA und SSPR in Ihrem organization funktionieren.
Identitätsschutz
Microsoft Entra ID verfügt über viele Funktionen, die automatisch Warnungen identifizieren und generieren, um die Latenz zwischen der Erkennung und der Reaktion auf Angriffe zu beseitigen. Um diese Funktionen in vollem Umfang nutzen zu können, empfehlen wir die Verwendung von Microsoft Entra ID Protection. Dieses Feature erfordert eine Microsoft Entra ID P2-Lizenz. Es wird empfohlen, Identity Protection mindestens für alle Administratoren zu verwenden.
Es gibt drei wichtige Berichte, die Administratoren für Untersuchungen in Identity Protection verwenden:
Bericht über riskante Benutzer. Benutzerrisiko gibt die Wahrscheinlichkeit an, dass die Identität eines Benutzers kompromittiert wird, und wird basierend auf Benutzerrisikoerkennungen für diese Identität berechnet. Eine Benutzerrisikorichtlinie ist eine Richtlinie für bedingten Zugriff, die die Risikostufe für einen bestimmten Benutzer oder eine bestimmte Gruppe auswertet. Basierend auf den Risikostufen "Niedrig", "Mittel" und "Hoch" kann eine Richtlinie so konfiguriert werden, dass der Zugriff blockiert oder eine sichere Kennwortänderung mithilfe der mehrstufigen Authentifizierung erforderlich ist.
Bericht zu riskanten Anmeldungen. Das Anmelderisiko ist die Wahrscheinlichkeit, dass eine andere Person als der Kontobesitzer versucht, sich mit der Identität anzumelden. Eine Anmelderisikorichtlinie ist eine Richtlinie für bedingten Zugriff, die die Risikostufe für einen bestimmten Benutzer oder eine bestimmte Gruppe auswertet. Basierend auf der Risikostufe (hoch/mittel/niedrig) kann eine Richtlinie so konfiguriert werden, dass der Zugriff blockiert oder die mehrstufige Authentifizierung erzwungen wird. Stellen Sie sicher, dass Sie die mehrstufige Authentifizierung bei Anmeldungen mit mittlerem oder höherem Risiko erzwingen.
Bericht zu Risikoerkennungen. Ermöglicht Es Administratoren, die folgenden Arten von Risikoerkennungen zu identifizieren und zu beheben:
Atypischer Reiseverkehr
Anonyme IP-Adresse
Unbekannte Anmeldeeigenschaften
Mit Schadsoftware verknüpfte IP-Adresse
Kompromittierte Anmeldeinformationen
Microsoft Entra Threat Intelligence
Die folgende Ressource kann Ihnen helfen, Ihre Risikomanagementstrategien zu operationalisieren.
Microsoft verwaltet die Informationen aus Identity Protection-Berichten für einen begrenzten Zeitraum. Es wird empfohlen, sie zur weiteren Untersuchung und Korrelation regelmäßig in anderen Tools zu exportieren und zu archivieren. Mit den Microsoft Graph-APIs können Sie diese Daten für die weitere Verarbeitung in Tools wie Ihrer Siem-Lösung (Security and Information Event Management) sammeln. Informationen zum Implementieren dieser Berichte finden Sie unter Erste Schritte mit Microsoft Entra ID Protection und Microsoft Graph.
Überwachungsprotokolle und Anmeldeberichte
Der Bericht "Überwachungsprotokolle " konsolidiert die folgenden Berichte:
Prüfbericht
Aktivität zum Zurücksetzen des Kennworts
Registrierungsaktivität für die Kennwortzurücksetzung
Self-Service-Gruppenaktivität
Änderungen am Office365-Gruppennamen
Kontobereitstellungsaktivität
Kennwortrollover-status
Fehler bei der Kontobereitstellung
Authentifizierungsmethoden: Verwendung & Erkenntnisse
Microsoft Entra ID bietet Berichte, mit denen Sie sicherstellen können, dass Benutzer für MFA und SSPR registriert sind. Benutzer, die sich nicht registriert haben, müssen möglicherweise über den Prozess informiert werden.
Der Bericht "Usage & Insights" für Authentifizierungsmethoden enthält Informationen zur MFA- und SSPR-Nutzung und gibt Ihnen Einblicke in die Funktionsweise der einzelnen Methoden in Ihrem organization. Der Zugriff auf Anmeldeaktivitäten (sowie Überwachungen und Risikoerkennungen) für Microsoft Entra ID ist für die Problembehandlung, Nutzungsanalyse und forensische Untersuchungen von entscheidender Bedeutung.
Empfehlungen
Es wird empfohlen, dass Lehrkräfte, Administratoren und IT-Mitarbeiter nach Möglichkeit eine der kennwortlosen Authentifizierungsmethoden verwenden. Wenn Sie Kennwörter verwenden müssen, lesen Sie die Anleitungen zu Kennwörtern von Microsoft.
Authentifizierungsmethoden
In der folgenden Tabelle sind die Kontotypen und unsere Empfehlungen für alle drei Authentifizierungstypen zusammengefasst:
| Kontotyp | Anmelden | SSPR | Azure MFA |
|---|---|---|---|
| Schüler (Grundschule) | Kennwort | ||
| Schüler (Mittelschule) | Kennwort | ||
| Schüler (High School) | Kennwort oder PIN Authentifikator-App, wenn Smartphones verfügbar sind |
Persönliche E-Mail-Adresse des Schülers SMS Anruf |
|
| Studierende (Universität) | Kennwort oder PIN Authentifikator-App, wenn Smartphones verfügbar sind |
Authenticator-App SMS Persönliche E-Mail |
Authentifikator-App SMS Telefon |
| Lehrer | Windows Hello for Business (PIN oder Biometrie) FIDO 2-Sicherheitsschlüssel |
•Authentifikator-App SMS Persönliche E-Mail |
Authentifikator-App SMS Telefon |
| IT-Mitarbeiter | Kennwortlos (PIN, Biometrie, FIDO 2-Sicherheitsschlüssel) | Authenticator-App SMS Persönliche E-Mail |
Authentifikator-App SMS Telefon |
| Eltern | Kennwort (Azure AD B2C) | Authenticator-App SMS Anruf Persönliche E-Mail |
Authentifikator-App SMS Telefon |
Verteilung von Anmeldeinformationen
Es wird empfohlen, die Authentifizierung mit einer der folgenden Methoden an Grund- und Mittelschüler zu verteilen:
E-Mail-Adresse des Elternteils
Mobiltelefon oder Festnetztelefon der Eltern
Persönliche E-Mail-Adresse des Schülers (sofern vorhanden)
Eine gedruckte Kopie des temporären Kennworts des Schülers, das den Lehrern übermittelt wird
Kennwort an die registrierte Adresse des Kursteilnehmers senden
Für Lehrkräfte und IT-Administratoren, andere Mitarbeiter und Studenten von High School oder Universitäten verwenden Sie eine der folgenden Methoden:
Senden Sie das temporäre Kennwort per E-Mail an die persönliche E-Mail-Adresse.
Senden eines temporären Kennworts per SMS
Gedruckte Kopie des temporären Kennworts
Empfehlungen zur Kennwortsicherheit
IT-Administratoren sollten immer
Erzwingen des Ablaufs von anfänglichen oder erstmaligen Kennwörtern
Implementieren einer automatisierten Benachrichtigung über Kennwortänderung oder -zurücksetzung
Stellen Sie außerdem allen Benutzern die folgenden Kennwortsicherheitsempfehlungen bereit:
Notieren oder speichern Sie Ihr Kennwort nicht auf unsichere Weise.
Kennwörter nicht wiederverwenden – Verwalten Des Kennwortverlaufs
Geben Sie Ihr Kennwort für niemanden frei.
Verwenden Sie eine Passphrase anstelle eines Kennworts.
Ändern Sie Ihr Kennwort, wenn Sie vermuten, dass Ihr Konto kompromittiert wurde.
Setzen Sie ein angegebenes Kennwort vor der ersten Verwendung zurück.
Herausforderungen und Entschärfungen
Die Verwaltung von Anmeldeinformationen kann eine Herausforderung darstellen. In diesem Abschnitt werden Die Features in Microsoft Entra ID beschrieben, mit denen Sie die häufigsten Herausforderungen bewältigen können.
Kennwortablauf
Es wird nicht empfohlen, sich auf Kennwortablauf als Sicherheitsmaßnahme zu verlassen, da Kennwörter während der Schulferien ablaufen können, was zu einem hohen Helpdeskvolumen führen kann. Dieses hohe Volumen würde sich insbesondere auf jüngere Schüler auswirken, die nicht für SSPR eingerichtet sind, da sie möglicherweise keinen Zugriff auf zusätzliche Authentifizierungsformen haben. Mehrstufige Authentifizierung, Richtlinien für bedingten Zugriff und Sicherheitsüberwachung mindern Probleme besser als ablaufende Kennwörter.
Wenn für Ihre organization derzeit der Kennwortablauf aktiviert ist, empfehlen wir, dass ein globaler Administrator oder Benutzeradministrator das modul Microsoft Azure AD für Windows PowerShell verwendet, um festzulegen, dass Benutzerkennwörter nie ablaufen. oder verwenden Sie das [Set-MsolPasswordPolicy-Cmdlet](/powershell/module/msonline/set-msolpasswordpolicy), um den Ablaufzeitraum zu ändern.
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.
Aktualisieren von Benutzerinformationen
Administratoren verwalten häufig Benutzerdetails: Geräte, Sicherheitsinformationen und Kennwörter für jeden Benutzer. Das manuelle Aktualisieren dieser Informationen ist mühsam und zeitaufwändig.
Um diese Herausforderung zu bewältigen, sollten Administratoren von Benutzern die Verwendung von "Mein Konto" verlangen. Mein Konto ist ein Self-Service-Portal, das Endbenutzern Folgendes ermöglicht:
Einrichten der Self-Service-Kennwortzurücksetzung
Konfigurieren der zweistufigen Authentifizierung
Ändern eines Kennworts
Deaktivieren eines Geräts, wenn es verloren geht oder gestohlen wird
Verwalten von Gruppenabonnements
Studierende und Lehrkräfte benötigen häufig Zugriff auf Gruppen zu Zugriffs- oder Kommunikationszwecken. Die schiere Anzahl von Gruppen und die Häufigkeit, mit der sich die Benutzeranforderungen in Bildungseinrichtungen ändern, können die Gruppenverwaltung zu einer entmutigenden Aufgabe für Administratoren machen.
In Microsoft 365 EDU wird jede gruppe, die über School Data Sync erstellt wurde, automatisch zu einer Verwaltungseinheit der Schule hinzugefügt, um die delegierte und bereichsbezogene Verwaltung für die Gruppen in dieser Schule zu erleichtern.
Für die Delegierung und Verwaltung einzelner Gruppen gibt es zwei zusätzliche Optionen.
Die delegierte Gruppenverwaltung ermöglicht es Administratoren, die Verwaltung der Gruppenmitgliedschaft an einen Geschäftsinhaber zu delegieren. Wenn Ihre Schule beispielsweise über eine App verfügt, auf die nur Schüler in einer bestimmten Abteilung zugreifen sollen, fügen Sie in der Regel Benutzer zu einer Gruppe hinzu und weisen dem Gruppenzugriff zu. Anschließend können Sie Aufgaben für die Mitgliedschaftsverwaltung an einen Mitarbeiter in dieser Abteilung delegieren. Die Abteilung verwaltet dann die Mitgliedschaft in der Gruppe, wodurch Der Zugriff auf die Anwendung ermöglicht wird. In einem akademischen Umfeld empfehlen wir dies über Self-Service-Gruppenverwaltung.
Die Self-Service-Gruppenverwaltung ermöglicht es jedem Benutzer, einschließlich Kursteilnehmern, eigene Sicherheitsgruppen oder Microsoft 365-Gruppen in Microsoft Entra ID zu erstellen und zu verwalten. Der Besitzer der Gruppe kann Mitgliedschaftsanforderungen genehmigen oder ablehnen und die Steuerung der Gruppenmitgliedschaft delegieren. Überprüfen Sie gründlich, ob die Möglichkeit, Gruppen zu erstellen, ein gewünschter Zustand für Ihre organization ist.
Hinweis
Die Funktionen für delegierte Gruppenverwaltung und Self-Service-Gruppenverwaltung sind nur für Microsoft 365-Gruppen und Microsoft Entra Sicherheitsgruppen verfügbar. Sie sind für E-Mail-aktivierte Sicherheitsgruppen oder Verteilerlisten nicht verfügbar.
Zu viele Kennwörter, um sich zu merken
Schüler und Mitarbeiter greifen auf mehrere Anwendungen zu, um ihre Schularbeit abzuschließen, sodass sie sich möglicherweise mehrere eindeutige Kennwörter merken müssen. Microsoft bietet mehrere Risikominderungen an.
Es wird empfohlen, Microsoft Entra einmaliges Anmelden (Single Sign-On, SSO) für alle kompatiblen Anwendungen zu aktivieren, damit Benutzer mit ihren Organisationsanmeldeinformationen auf alle Ressourcen zugreifen können.
Windows 10 Geräte, die Microsoft Entra oderMicrosoft Entra hybrid eingebunden sind, greifen nahtlos auf Anwendungen zu, die SSO aktiviert sind, vorausgesetzt, der angemeldete Benutzer hat Zugriff.
Wenn Ihr organization hybrid ist und computer mit Versionen von Windows 8 oder früheren Versionen ausgeführt werden, können Sie auch nahtloses einmaliges Anmelden implementieren. Nahtloses einmaliges Anmelden vermeidet Kennwortaufforderungen, wenn sich Lehrkräfte und Mitarbeiter über das Organisationsnetzwerk anmelden.