Microsoft 365 EntraID | Authentifizierungsmethoden ⏱ 3 Min.

Microsoft 365 EntraID | Authentifizierungsmethoden

Microsoft 365

Microsoft 365 Entra ID: Authentifizierungsmethoden

Wenn der Bedingte Zugriff (Conditional Access) der Türsteher ist, dann sind die Authentifizierungsmethoden die Ausweise und Schlüssel, die deine Benutzer vorzeigen. Die Zeiten, in denen ein einfaches Passwort reichte, sind vorbei, und auch nicht jede MFA-Methode ist gleich sicher.

Das Ziel ist klar: moderne, phishing-resistente Verfahren erzwingen und veraltete Techniken wie SMS oder Sprachanruf abschalten.

1. Einstellungen & Richtlinien für Authentifizierungsmethoden

Hier definierst du global, welche Verfahren in deinem Tenant überhaupt zulässig sind. Unsichere Faktoren wie SMS oder Sprachanruf eliminierst du, weil sie nicht kryptografisch an den Anmeldevorgang gebunden sind und über SIM-Swapping oder SS7 umgangen werden können. Stattdessen setzt du auf Apps und Hardware-Keys.

Empfohlene Konfiguration - mehr im Guide: Einstellungen & Richtlinien

2. Kennwortschutz (Password Protection)

Auch auf dem Weg zu passwordless bleibt das Passwort oft der Fallback, deshalb muss es stark sein. Der Entra ID Kennwortschutz blockiert nicht nur naheliegende Passwörter wie "Sommer2025!", sondern gleicht gegen eine globale und eine organisationsspezifische Sperrliste ab, sodass vorhersehbare Muster aus Firmenname und Jahr gar nicht erst durchkommen.

Empfohlene Konfiguration - mehr im Guide: Kennwortschutz

3. Registrierungskampagne

Du hast den Microsoft Authenticator aktiviert, aber viele Nutzer hängen aus Gewohnheit noch an SMS? Die Registrierungskampagne bewegt sie sanft, aber bestimmt zur Migration.

Pfad:Schutz > Authentifizierungsmethoden > Registrierungskampagne

Meldet sich ein Nutzer an, der noch SMS verwendet, fordert Entra ID ihn auf, den Authenticator einzurichten. Die Konfiguration:

  • Status: Aktiviert oder "Von Microsoft verwaltet".
  • Tage, die der Nutzer die Aufforderung verschieben darf (Snooze): niedrig ansetzen, etwa 1 Tag. Je kleiner der Wert, desto häufiger die Erinnerung, was den Wechsel beschleunigt.
  • Authentifizierungsmethode: Microsoft Authenticator.

So migrierst du deine Belegschaft automatisiert auf die sicherere Methode, ohne jedem einzeln hinterhertelefonieren zu müssen.

4. Authentifizierungsstärken (Authentication Strengths)

Hier wird es granular. Für den Zugriff auf eine unkritische App reicht vielleicht eine schwächere MFA-Kombination, aber für das HR-System oder Admin-Portale willst du zwingend phishing-resistente Methoden sehen.

Pfad:Schutz > Authentifizierungsmethoden > Authentifizierungsstärken

Microsoft liefert drei eingebaute Stärken, die du später im Bedingten Zugriff referenzierst:

  • Multifaktor-Authentifizierung (MFA): die breite Basis, inklusive Passwort plus SMS, Sprachanruf, Authenticator-Push, OTP, FIDO2, Windows Hello for Business und zertifikatbasierter Authentifizierung.
  • Passwordless MFA: nur passwortlose Verfahren, also Windows Hello for Business, FIDO2-Sicherheitsschlüssel, gerätegebundene Passkeys und die passwortlose Anmeldung per Microsoft Authenticator.
  • Phishing-resistant MFA: die höchste Stufe mit kryptografischer Bindung. Sie umfasst Windows Hello for Business, FIDO2-Sicherheitsschlüssel, gerätegebundene Passkeys und zertifikatbasierte Authentifizierung (mehrstufig). SMS, Push und OTP sind hier bewusst ausgeschlossen.

Zusätzlich erstellst du benutzerdefinierte Stärken mit eigenen Kombinationen, etwa "nur FIDO2 für Globale Administratoren". Diese Stärken sind das Bindeglied zwischen der Methode und der Zugriffsrichtlinie: Die Methodenpolicy legt fest, was ein Nutzer registrieren darf, die Authentifizierungsstärke legt fest, was für eine bestimmte Ressource verlangt wird.

Bevor du eine phishing-resistente Stärke per Conditional Access erzwingst, registriere für jeden betroffenen Nutzer mindestens zwei Methoden. Geht ein FIDO2-Key verloren oder kaputt, sperrst du dich sonst aus. Für das initiale Onboarding passwortloser Verfahren nutzt du einen Temporary Access Pass (TAP), mit dem sich Nutzer erstmalig anmelden und ihre Methoden registrieren.

Aktualisiert:
Teilen:
Andreas Hepp

Andreas Hepp

Mit über 20 Jahren Erfahrung in der IT verbinde ich technisches Know-how mit strategischem Weitblick.

Unterstützung für dein Business gesucht? Hol dir Experten von "Pierro & Mai IT for Business" an deine Seite!

Dienstleistungen ansehen
0 Kommentare
Noch keine Kommentare

Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.

Kommentar hinterlassen

Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.

E-Mail Adresse wird nicht veröffentlicht.