Authentifizierungsmethoden Authentication Methods
Passwort, Authenticator, FIDO2, Windows Hello for Business, CBA, OATH, SSPR, System-preferred MFA und Graph-Referenz. Password, Authenticator, FIDO2, Windows Hello for Business, CBA, OATH, SSPR, system-preferred MFA, and Graph reference.
Phishing-resistent
Phishing resistant
FIDO2, Windows Hello for Business und CBA bieten den höchsten Schutz gegen Passwortdiebstahl und Adversary-in-the-Middle. FIDO2, Windows Hello for Business, and CBA provide the strongest protection against password theft and adversary-in-the-middle attacks.
Policy statt Einzelfall
Policy over exceptions
Die Authentication Methods Policy ersetzt verstreute Legacy-Einstellungen und erlaubt methodenbasierte Steuerung nach Gruppen. The Authentication Methods Policy replaces scattered legacy settings and enables method-based control by group.
System-preferred MFA
System-preferred MFA
Entra lenkt Benutzer automatisch auf die stärkste registrierte und verfügbare Methode. Entra automatically steers users toward the strongest registered and available method.
SSPR & Combined Registration
SSPR & combined registration
Registrierung, Wiederherstellung und Passwortlos-Strategien sollten als gemeinsamer Endbenutzerprozess entworfen werden. Registration, recovery, and passwordless strategies should be designed as one end-user experience.
Alle Authentifizierungsmethoden im Überblick All authentication methods at a glance
| Methode Method | Stärke / Einsatz Strength / use | Wichtiger Hinweis Key note |
|---|---|---|
| Passwort Password | Grundlegende Wissenskomponente; allein nicht ausreichend für privilegierte Szenarien. Basic knowledge factor; insufficient alone for privileged scenarios. | Immer mit starken Richtlinien, SSPR und Angriffserkennung kombinieren. Always combine with strong policy, SSPR, and attack detection. |
| Microsoft Authenticator Push Microsoft Authenticator push | Starke App-basierte MFA mit Nummernabgleich und Kontext. Strong app-based MFA with number matching and context. | Standardmethode für breite Belegschaft. Default method for broad workforce. |
| Authenticator passwordless phone sign-in Authenticator passwordless phone sign-in | Passwortlose Anmeldung mit Gerätebindung und Bestätigung in der App. Passwordless sign-in with device binding and in-app confirmation. | Ideal als Brücke in Richtung Passkeys und WHfB. Ideal bridge toward passkeys and WHfB. |
| FIDO2 Security Key FIDO2 security key | Phishing-resistente Anmeldung mit externem Sicherheitsschlüssel. Phishing-resistant sign-in with an external security key. | Besonders für Administratoren, Frontline und Shared Devices. Especially for administrators, frontline, and shared devices. |
| Windows Hello for Business Windows Hello for Business | Gerätegebundene Schlüsselpaar-basierte Anmeldung mit PIN/Biometrie. Device-bound key pair based sign-in with PIN/biometrics. | Cloud Kerberos Trust bevorzugt für moderne Hybrid-Szenarien. Prefer cloud Kerberos trust for modern hybrid scenarios. |
| Certificate-Based Authentication Certificate-Based Authentication | Smartcard- oder Zertifikatsanmeldung mit starker PKI-Bindung. Smartcard or certificate sign-in with strong PKI binding. | Wichtig für regulierte Umgebungen und vorhandene PKI. Important in regulated environments and existing PKI scenarios. |
| OATH Hardware Token OATH hardware token | Zeitbasierter Codegenerator ohne Smartphone. Time-based code generator without a smartphone. | Fallback für Spezialumgebungen. Fallback for special environments. |
| OATH Software Token OATH software token | TOTP in kompatiblen Apps. TOTP in compatible apps. | Weniger komfortabel als Authenticator Push. Less convenient than Authenticator push. |
| SMS SMS | Niederschwellig, aber mit höherem Abfang- und SIM-Swap-Risiko. Low barrier but higher interception and SIM-swap risk. | Nur als Übergangs- oder Fallbackmethode. Use only as a transition or fallback method. |
| Voice Call Voice call | Telefonischer zweiter Faktor für Legacy-Benutzergruppen. Phone call second factor for legacy user groups. | Barrierefrei, aber schwächer und teurer im Betrieb. Accessible but weaker and more expensive to operate. |
| Email OTP Email OTP | Einmalcode per E-Mail, vor allem für Gastzugriff und bestimmte B2B-Flows. One-time code via email, mostly for guest access and certain B2B flows. | Nicht als primäre Mitarbeiter-Methode planen. Do not plan as a primary employee method. |
| Temporary Access Pass Temporary Access Pass | Zeitlich begrenzter Pass für Bootstrapping von Passwortlos oder Recovery. Time-limited pass for passwordless bootstrap or recovery. | Stark für Erstregistrierung und Break-glass-onboarding. Powerful for first registration and recovery onboarding. |
| Spezialthema Special topic | Empfehlung Recommendation | Kommentar Comment |
|---|---|---|
| FIDO2 Attestation FIDO2 attestation | Attestierte Schlüssel erlauben Hersteller- oder AAGUID-basierte Zulassung. Attested keys allow vendor or AAGUID based allowlisting. | Für Hochsicherheit und Hardwarestandards sinnvoll. Useful for high security and hardware standards. |
| WHfB Key Trust WHfB key trust | Einfachster Einstieg in hybridem AD; Kerberos-Key in AD. Simplest entry in hybrid AD; Kerberos key in AD. | Benötigt passende Hybridvoraussetzungen. Requires the right hybrid prerequisites. |
| WHfB Certificate Trust WHfB certificate trust | Für Smartcard-ähnliche Anforderungen und bestehende PKI. For smartcard-like requirements and existing PKI. | Komplexer Betrieb mit Zertifikatslebenszyklus. More complex operations with certificate lifecycle. |
| WHfB Cloud Kerberos Trust WHfB cloud Kerberos trust | Bevorzugtes modernes Modell für Hybrid ohne komplexe Zertifikatskette. Preferred modern model for hybrid without complex certificate chains. | Reduziert Infrastruktur und beschleunigt Rollout. Reduces infrastructure and speeds rollout. |
Authentication Methods Policy, Registrierungskampagnen und System-preferred MFA Authentication Methods Policy, registration campaigns, and system-preferred MFA
| Richtlinienelement Policy element | Bedeutung Meaning | Praxis Practice |
|---|---|---|
| Zielgruppen Target groups | Methoden können pro Gruppe erlaubt, blockiert oder pilotiert werden. Methods can be allowed, blocked, or piloted per group. | Nutze gestaffelte Rollouts nach Persona. Use persona-based staged rollouts. |
| Registrierungskampagne Registration campaign | Erinnert Benutzer an Security Info Registrierung und priorisiert sichere Methoden. Prompts users to register security info and prioritize strong methods. | Mit Kommunikationsplan und Supportzeitraum kombinieren. Combine with communications and a support window. |
| System-preferred MFA System-preferred MFA | Entra wählt automatisch die beste vorhandene Methode. Entra automatically chooses the best available method. | Reduziert Helpdesk-Fälle und verbessert Sicherheit. Reduces helpdesk cases and improves security. |
| Methodenpriorität Method precedence | Phishing-resistente oder App-basierte Methoden vor SMS/Voice. Phishing-resistant or app-based methods before SMS/Voice. | Benutzer sehen weniger unsichere Optionen. Users see fewer weak options. |
| Combined Registration Combined registration | SSPR- und MFA-Daten werden in einer Experience erfasst. SSPR and MFA data are captured in one experience. | Der Standard für neue Rollouts. The default for new rollouts. |
| Authentication Strength Authentication strength | Enthaltene Methoden Included methods | Typische Verwendung Typical use |
|---|---|---|
| Multifaktor-Authentifizierung Multifactor authentication | Authenticator, FIDO2, WHfB, CBA, OATH, SMS/Voice je nach Konfiguration. Authenticator, FIDO2, WHfB, CBA, OATH, SMS/Voice depending on configuration. | Allgemeine MFA-Anforderung. General MFA requirement. |
| Passwordless MFA Passwordless MFA | FIDO2, WHfB, Authenticator phone sign-in. FIDO2, WHfB, Authenticator phone sign-in. | Schrittweiser Passwortabbau. Stepwise password reduction. |
| Phishing-resistant MFA Phishing-resistant MFA | FIDO2, WHfB, CBA. FIDO2, WHfB, CBA. | Administratoren, privilegierte Apps, sensible Daten. Administrators, privileged apps, sensitive data. |
| Custom Strength Custom strength | Organisationsspezifische Kombination aus zugelassenen Methoden. Organization-specific combination of allowed methods. | Spezielle Personas und Übergangsphasen. Special personas and transition phases. |
SSPR, Combined Registration und Passwortlos-Rollout SSPR, combined registration, and passwordless rollout
Self-Service Password Reset bleibt ein Kernbaustein, selbst wenn langfristig Passwortlos das Ziel ist. Die Recovery-Kette muss zu deiner bevorzugten Primärmethode passen und für hybride Umgebungen Passwort-Writeback, Sperrungsrichtlinien und Supportprozesse berücksichtigen. Self-Service Password Reset remains a core building block even when passwordless is the long-term target. The recovery chain must match your preferred primary method and, for hybrid estates, account for password writeback, lockout policy, and support processes.
| SSPR-Methode SSPR method | Stärken Strengths | Grenzen Limitations |
|---|---|---|
| Authenticator Notification/Code Authenticator notification/code | Stark, benutzerfreundlich, Cloud-nativ. Strong, user friendly, cloud native. | Gerätewechsel und Backup-Prozess definieren. Define device replacement and backup flow. |
| SMS SMS | Einfach für Massenrollout. Simple for mass rollout. | Schwächer, daher nicht einzige Recovery-Option. Weaker, so do not make it the only recovery option. |
| Voice Voice | Barrierefrei für bestimmte Zielgruppen. Accessible for certain user groups. | Schwächer und kostspieliger. Weaker and costlier. |
| Email Email | Relevant für Gast- und Sonderfälle. Relevant for guest and special cases. | Nicht für interne privilegierte Konten geeignet. Not suitable for internal privileged accounts. |
| Security Questions Security questions | Nur in bestimmten Szenarien sinnvoll. Only useful in specific scenarios. | Für privilegierte Konten vermeiden. Avoid for privileged accounts. |
| On-premises Writeback On-premises writeback | Hält Hybrid-Kennwortzustand konsistent. Keeps hybrid password state consistent. | Erfordert Connect/Cloud Sync-Abhängigkeiten und Tests. Requires Connect/Cloud Sync dependencies and testing. |
- Definiere Personagruppen: Admins, Standard User, Frontline, Gäste, Shared Devices. Define persona groups: admins, standard users, frontline, guests, shared devices.
- Starte Combined Registration mit Kommunikationskampagne und klaren Supportkanälen. Launch combined registration with a communication campaign and clear support channels.
- Migriere zuerst auf App-basierte MFA, danach auf Passwordless und zuletzt auf phishing-resistente Methoden für Hochrisiko-Personas. Move first to app-based MFA, then to passwordless, and finally to phishing-resistant methods for high-risk personas.
- Nutze TAP für Erstregistrierung, Gerätewechsel und Wiederherstellung gesperrter Benutzer. Use TAP for first registration, device replacement, and recovery of locked users.
- Schalte per-user MFA schrittweise ab und ersetze es durch Conditional Access plus Authentication Strengths. Retire per-user MFA gradually and replace it with Conditional Access plus authentication strengths.
Graph API, Berichte und PowerShell Graph API, reporting, and PowerShell
| API / Cmdlet API / cmdlet | Zweck Purpose | Bemerkung Remark |
|---|---|---|
| GET /policies/authenticationMethodsPolicy GET /policies/authenticationMethodsPolicy | Liest die globale Auth-Methoden-Policy. Reads the global authentication methods policy. | Für Soll-Ist-Abgleiche und Backups. Use for drift checks and backups. |
| PATCH /policies/authenticationMethodsPolicy PATCH /policies/authenticationMethodsPolicy | Ändert erlaubte Methoden und Einstellungen. Changes allowed methods and settings. | Änderungen zuerst im Pilot verifizieren. Validate changes in pilot first. |
| GET /users/{id}/authentication/methods GET /users/{id}/authentication/methods | Zeigt registrierte Methoden eines Benutzers. Shows a user’s registered methods. | Hilfreich für Support und Reporting. Useful for support and reporting. |
| POST /users/{id}/authentication/temporaryAccessPassMethods POST /users/{id}/authentication/temporaryAccessPassMethods | Erstellt einen Temporary Access Pass. Creates a Temporary Access Pass. | Für Bootstrap- und Recovery-Szenarien. For bootstrap and recovery scenarios. |
| Get-MgUserAuthenticationMethod Get-MgUserAuthenticationMethod | PowerShell-Äquivalent für registrierte Methoden. PowerShell equivalent for registered methods. | Graph PowerShell SDK erforderlich. Requires the Graph PowerShell SDK. |
| Get-MgReportAuthenticationMethodUserRegistrationDetail Get-MgReportAuthenticationMethodUserRegistrationDetail | Registrierungsstatus und Methodennutzung auslesen. Read registration state and method usage. | Ideal für Rollout-Dashboards. Ideal for rollout dashboards. |
JSON
JSON
{
"isUsableOnce": true,
"lifetimeInMinutes": 60,
"startDateTime": "2026-06-11T08:00:00Z"
}
PowerShell
PowerShell
Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All","Reports.Read.All"
Get-MgReportAuthenticationMethodUserRegistrationDetail -All |
Select-Object UserPrincipalName, IsMfaRegistered, IsSsprRegistered, DefaultMfaMethod| Migrationsschritt Migration step | Per-user MFA nach CA Per-user MFA to CA | Ziel Goal |
|---|---|---|
| Inventur Inventory | Benutzer mit Legacy-MFA-Status und Sonderfällen erfassen. Capture users with legacy MFA state and special cases. | Ausnahmen sichtbar machen. Make exceptions visible. |
| CA-Baseline CA baseline | Pilot-Policies mit Report-only und Authentication Strengths aufbauen. Build pilot policies with report-only and authentication strengths. | Sicheres Zielbild ohne produktiven Bruch. Secure target state without production breakage. |
| Methodenrollout Method rollout | Authenticator, FIDO2 oder WHfB registrieren lassen. Drive Authenticator, FIDO2, or WHfB registration. | Bereitschaft vor Umschaltung sicherstellen. Ensure readiness before cutover. |
| Legacy abschalten Turn off legacy | Per-user MFA und alte Portaloptionen entfernen. Remove per-user MFA and old portal settings. | Zentralisiertes Richtlinienmodell. Centralized policy model. |
Betriebscheckliste Operational checklist
| Checkpunkt Checkpoint | Erwarteter Zustand Expected state | Bewertung Assessment |
|---|---|---|
| System-preferred MFA aktiv System-preferred MFA enabled | Stärkste registrierte Methode wird priorisiert. Strongest registered method is prioritized. | Ja/Nein Yes/No |
| Per-user MFA ersetzt Per-user MFA replaced | Conditional Access und Strengths übernehmen. Conditional Access and strengths take over. | Ja/Nein Yes/No |
| SSPR Writeback getestet SSPR writeback tested | Hybrid-Kennwortänderung erfolgreich. Hybrid password change successful. | Ja/Nein Yes/No |
| FIDO2 Pilot FIDO2 pilot | Admins oder privilegierte Nutzer pilotiert. Admins or privileged users piloted. | Ja/Nein Yes/No |
| TAP-Runbook TAP runbook | Erstregistrierung und Recovery dokumentiert. First registration and recovery documented. | Ja/Nein Yes/No |
| Number Matching aktiv Number matching enabled | Authenticator Push gegen MFA fatigue gehärtet. Authenticator push hardened against MFA fatigue. | Ja/Nein Yes/No |
| Berichte etabliert Reports established | Registrierung und Methodennutzung ausgewertet. Registration and method use reviewed. | Ja/Nein Yes/No |
| Break-glass ohne Benutzerfriktion Break-glass without user friction | Notfallprozess separat und sicher. Emergency process separate and secure. | Ja/Nein Yes/No |
Glossar & Schnellreferenz Glossary & quick reference
| Begriff Term | Definition Definition |
|---|---|
| Authentication Strength Authentication Strength | Richtlinienobjekt für erlaubte starke Methoden. Policy object for allowed strong methods. |
| TAP TAP | Temporary Access Pass for bootstrap/recovery. Temporary Access Pass für Bootstrap/Recovery. |
| WHfB WHfB | Windows Hello for Business. Windows Hello for Business. |
| CBA CBA | Certificate-Based Authentication. Certificate-Based Authentication. |
| FIDO2 FIDO2 | Phishing-resistenter Hardware- oder Plattformschlüssel. Phishing-resistant hardware or platform key. |
| Combined Registration Combined Registration | Gemeinsame Registrierung für MFA und SSPR. Unified registration for MFA and SSPR. |
| SSPR SSPR | Self-Service Password Reset. Self-Service Password Reset. |
| Number Matching Number Matching | Bestätigungscode in Authenticator Push. Verification code in Authenticator push. |