Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine Authentifizierungsstärke ist ein Microsoft Entra Conditional Access-Steuerelement, das angibt, welche Kombinationen von Authentifizierungsmethoden Benutzer für den Zugriff auf eine Ressource verwenden können. Benutzer können den Anforderungen an die Stärke genügen, indem sie sich mit einer beliebigen der erlaubten Kombinationen authentifizieren.
Eine Authentifizierungsstärke kann beispielsweise erfordern, dass Benutzer nur Phishing-beständige Authentifizierungsmethoden verwenden, um auf eine sensible Ressource zuzugreifen. Um auf eine nicht sensible Ressource zuzugreifen, können Administratoren eine weitere Authentifizierungsstärke erstellen, die weniger sichere mehrstufige Authentifizierungskombinationen (MFA) ermöglicht, z. B. ein Kennwort und eine Textnachricht.
Eine Authentifizierungsstärke basiert auf der Richtlinie für Authentifizierungsmethoden. Das heißt, Administratoren können Authentifizierungsmethoden für bestimmte Benutzer und Gruppen festlegen, die in Microsoft Entra-ID-Verbundanwendungen verwendet werden sollen. Eine Authentifizierungsstärke ermöglicht eine weitere Kontrolle über die Verwendung dieser Methoden, basierend auf bestimmten Szenarien wie sensiblem Ressourcenzugriff, Benutzerrisiko und Standort.
Voraussetzungen
- Um bedingten Zugriff zu verwenden, muss Ihr Mandant über eine Microsoft Entra ID P1-Lizenz verfügen. Wenn Sie nicht über diese Lizenz verfügen, können Sie eine kostenlose Testversion starten.
Szenarien für Authentifizierungsstärken
Authentifizierungsstärken können Kunden bei der Behandlung dieser Szenarien:
- Vorschreiben bestimmter Authentifizierungsmethoden für den Zugriff auf eine vertrauliche Ressource.
- Vorschreiben einer bestimmten Authentifizierungsmethode, wenn ein Benutzer eine sicherheitsrelevante Aktion in einer Anwendung ausführt (in Kombination mit dem Kontext der Authentifizierung für bedingten Zugriff).
- Benutzer müssen eine bestimmte Authentifizierungsmethode verwenden, wenn sie auf vertrauliche Anwendungen außerhalb des Unternehmensnetzwerks zugreifen.
- Vorschreiben sichererer Authentifizierungsmethoden für Benutzer, die hohem Risiko ausgesetzt sind.
- Vorschreiben bestimmter Authentifizierungsmethoden für Gastbenutzer, die auf einen Ressourcenmandanten zugreifen (in Kombination mit Einstellungen für den mandantenübergreifenden Zugriff).
Integrierte und benutzerdefinierte Authentifizierungsstärken
Administratoren können eine Authentifizierungsstärke für den Zugriff auf eine Ressource angeben, indem Sie mit dem Steuerelement Erfordern der Authentifizierungsstärke eine Richtlinie für bedingten Zugriff erstellen. Sie können aus drei integrierten Authentifizierungsstärken wählen: Multifactor authentication strength (Stärke für mehrstufige Authentifizierung), Passwordless MFA strength (Stärke für kennwortlose MFA) und Phishing-resistant MFA strength (Stärke für Phishing-sichere MFA). Sie können auch eine benutzerdefinierte Authentifizierungsstärke basierend auf den Kombinationen der Authentifizierungsmethode erstellen, die sie zulassen möchten.
Integrierte Authentifizierungsstärken
Integrierte Authentifizierungsstärken sind Kombinationen von Authentifizierungsmethoden, die Microsoft vordefiniert. Integrierte Authentifizierungsstärken stehen immer zur Verfügung und können nicht geändert werden. Microsoft aktualisiert integrierte Authentifizierungsstärken, wenn neue Methoden verfügbar werden.
Beispielsweise ermöglicht die integrierte Authentifizierungsstärke der phishingresistenten MFA-Stärke Kombinationen von:
- Anmeldeinformationen für Windows Hello for Business oder Plattformanmeldeinformationen
- FIDO2-Sicherheitsschlüssel
- Zertifikatbasierte Microsoft Entra-Authentifizierung (mehrstufige)
In der folgenden Tabelle sind Kombinationen von Authentifizierungsmethoden für jede integrierte Authentifizierungsstärke aufgeführt. Diese Kombinationen umfassen Methoden, die Benutzer registrieren müssen und die Administratoren in der Richtlinie für Authentifizierungsmethoden oder die Richtlinie für ältere MFA-Einstellungen aktivieren müssen:
- MFA-Stärke: Die gleiche Gruppe von Kombinationen, die verwendet werden können, um die Einstellung "Mehrstufige Authentifizierung erfordern" zu erfüllen.
- Kennwortlose MFA-Stärke: Umfasst Authentifizierungsmethoden, die MFA erfüllen, aber kein Kennwort erfordern.
- Phishing-beständige MFA-Stärke: Umfasst Methoden, die eine Interaktion zwischen der Authentifizierungsmethode und der Anmeldeoberfläche erfordern.
| Kombination der Authentifizierungsmethoden | MFA-Stärke | Stärke für kennwortlose MFA | Stärke für Phishing-sichere MFA |
|---|---|---|---|
| FIDO2-Sicherheitsschlüssel | ✅ | ✅ | ✅ |
| Anmeldeinformationen für Windows Hello for Business oder Plattformanmeldedaten | ✅ | ✅ | ✅ |
| Zertifikatbasierte Authentifizierung (mehrstufige) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (Telefonanmeldung) | ✅ | ✅ | |
| Temporäre Zugangsberechtigung (einmaliger und mehrfacher Verwendung) | ✅ | ||
| Kennwort plus etwas, das der Benutzerhat 1 | ✅ | ||
| Federated Single-Factor plus etwas, das der Benutzer hat1 | ✅ | ||
| Föderiertes Mehrfaktoren | ✅ | ||
| Zertifikatbasierte Authentifizierung (Einzelfaktor) | |||
| SMS-Anmeldung | |||
| Kennwort | |||
| Einzelfaktor-Verbundanmeldung |
1Etwas, das der Benutzer hat, bezieht sich auf eine der folgenden Methoden: Textnachricht, Sprache, Push-Benachrichtigung, Software-OATH-Token oder Hardware-OATH-Token.
Mit dem folgenden API-Aufruf können Sie Definitionen aller integrierten Authentifizierungsstärken auflisten:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Benutzerdefinierte Authentifizierungsstärken
Administratoren für bedingten Zugriff können auch benutzerdefinierte Authentifizierungsstärken erstellen, die genau ihren Zugriffsanforderungen entsprechen. Weitere Informationen finden Sie unter Erstellen und Verwalten benutzerdefinierter Authentifizierungsstärken für bedingten Zugriff.
Begrenzungen
Auswirkung einer Authentifizierungsstärke auf die Authentifizierung: Richtlinien für bedingten Zugriff werden erst nach der anfänglichen Authentifizierung ausgewertet. Daher schränkt eine Authentifizierungsstärke die anfängliche Authentifizierung eines Benutzers nicht ein.
Angenommen, Sie verwenden die eingebaute Phishing-resistente MFA-Stärke. Ein Benutzer kann weiterhin ein Kennwort eingeben, muss sich aber mit einer Phishing-resistenten Methode anmelden, z. B. einen FIDO2-Sicherheitsschlüssel, bevor er fortfahren kann.
Nicht unterstützte Kombination von Berechtigungssteuerungen: Sie können die Steuerelemente Mehrstufige Authentifizierung anfordern und Authentifizierungsstärke anfordern nicht gemeinsam in derselben Richtlinie für bedingten Zugriff verwenden. Der Grund dafür ist, dass die integrierte Mehrfaktor-Authentifizierungsstärke gleichbedeutend mit dem Kontrollmechanismus für die Anforderung von Mehrfaktor-Authentifizierung ist.
Nicht unterstützte Authentifizierungsmethode: Die Einmalige E-Mail-Authentifizierungsmethode (Gastauthentifizierungsmethode) wird derzeit in den verfügbaren Kombinationen nicht unterstützt.
Windows Hello for Business: Wenn sich der Benutzer mit Windows Hello for Business als primäre Authentifizierungsmethode anmeldet, kann er verwendet werden, um eine Authentifizierungsstärkeanforderung zu erfüllen, die Windows Hello for Business enthält. Wenn sich der Benutzer jedoch mit einer anderen Methode (z. B. einem Kennwort) als primäre Authentifizierungsmethode anmeldet und die Authentifizierungsstärke Windows Hello for Business erfordert, wird der Benutzer nicht aufgefordert, sich mit Windows Hello for Business anzumelden. Der Benutzer muss die Sitzung neu starten, Anmeldeoptionen auswählen und eine Methode auswählen, die für die Authentifizierungsstärke erforderlich ist.
Bekannte Probleme
Authentifizierungsstärke und Anmeldehäufigkeit: Wenn eine Ressource eine Authentifizierungsstärke und eine Anmeldehäufigkeit erfordert, können Benutzer beide Anforderungen zu zwei unterschiedlichen Zeiten erfüllen.
Angenommen, eine Ressource erfordert einen Passkey (FIDO2) für die Authentifizierungsstärke zusammen mit einer 1-Stunden-Anmeldehäufigkeit. Ein Benutzer hat sich mit einem Passkey (FIDO2) angemeldet, um vor 24 Stunden auf die Ressource zuzugreifen.
Wenn der Benutzer sein Windows-Gerät mithilfe von Windows Hello for Business entsperrt, kann er erneut auf die Ressource zugreifen. Die gestrige Anmeldung erfüllt die Anforderung an die Authentifizierungsstärke, und die heutige Geräteentsperrung erfüllt die Anforderung an die Anmeldehäufigkeit.
Häufig gestellte Fragen
Sollte ich eine Authentifizierungsstärke oder die Richtlinie für Authentifizierungsmethoden verwenden?
Eine Authentifizierungsstärke basiert auf der Richtlinie für Authentifizierungsmethoden . Mit der Richtlinie für Authentifizierungsmethoden können Sie Authentifizierungsmethoden festlegen und konfigurieren, die Benutzer und Gruppen über die Microsoft Entra-ID hinweg verwenden können. Eine Authentifizierungsstärke ermöglicht eine weitere Einschränkung von Methoden für bestimmte Szenarien, z. B. sensiblen Ressourcenzugriff, Benutzerrisiko und Standort.
Angenommen, der Administrator einer Organisation namens Contoso möchte Benutzern die Verwendung von Microsoft Authenticator entweder mit Pushbenachrichtigungen oder kennwortlosen Authentifizierungsmodus ermöglichen. Der Administrator wechselt zu den Authenticator-Einstellungen in der Richtlinie für Authentifizierungsmethoden , bezieht die Richtlinie für die relevanten Benutzer ein und legt den Authentifizierungsmodus auf "Beliebig" fest.
Für die vertraulichste Ressource von Contoso möchte der Administrator den Zugriff nur auf kennwortlose Authentifizierungsmethoden beschränken. Der Administrator erstellt eine neue Richtlinie für den bedingten Zugriff mithilfe der integrierten Stärke der MFA-Authentifizierung ohne Kennwort .
Daher können Benutzer in Contoso auf die meisten Ressourcen im Mandanten zugreifen, indem sie ein Kennwort und eine Pushbenachrichtigung von Authenticator oder nur Authenticator (Telefonanmeldung) verwenden. Wenn die Benutzer im Mandanten jedoch auf die vertrauliche Anwendung zugreifen, müssen sie Authenticator (Telefonanmeldung) verwenden.