Microsoft Authenticator-App auf dem Smartphone

Was ist die Microsoft Authenticator App?

Die Microsoft Authenticator App ist eine kostenlose App für Smartphones (iOS/Android), die als zweiter Faktor bei der Anmeldung dient. Sie ersetzt bzw. ergänzt SMS oder Anrufe zur Identitätsbestätigung.

Wie funktioniert sie?

Zwei Hauptmethoden:

1. Push-Benachrichtigung (empfohlen):
   • Du meldest dich am PC an
   • Auf dem Handy erscheint eine Benachrichtigung
   • Du tippst auf die Benachrichtigung und bestätigst mit einer Zahl, die am PC angezeigt wird
   • Fertig – du bist angemeldet
2. Einmalcode (Time-based One Time Password (OTP):
   • Die App zeigt einen 6-stelligen Code an, der alle 30 Sekunden wechselt
   • Du gibst diesen Code am PC ein
   • Funktioniert auch ohne Internetverbindung auf dem Handy

Warum sollte man sie unbedingt nutzen?

Sicherheit:

• Viel sicherer als SMS: SMS können abgefangen werden (SIM-Swapping-Angriffe)
• Phishing-resistent: Bei Push-Benachrichtigungen siehst du den Standort und weitere Details der Anmeldung
• Keine Telefonnummer nötig: Funktioniert auch im Ausland ohne Roaming
• Offline nutzbar: Codes funktionieren auch ohne Internet

Benutzerfreundlichkeit:

• Schneller: Ein Tipp statt Warten auf SMS und Code eintippen
• Zuverlässiger: Keine verzögerten oder verlorenen SMS
• Ein Gerät für alles: Verwaltet alle deine MFA-Konten an einem Ort
• Funktioniert überall: Nicht nur Microsoft – auch Google, Facebook, Dropbox, etc.

Kostenersparnis:

• SMS kosten oft Geld (je nach Land und Anbieter)
• Anrufe als MFA-Methode sind teurer
• Mit Authenticator: Keine laufenden Kosten

Wichtige Features:

Cloud-Backup:

• Konten werden in der Cloud gesichert
• Bei neuem Handy: Anmelden und alles ist wieder da
• Wichtig: Muss in den Einstellungen aktiviert werden und ein persönliches Microsoft-Konto muss vorhanden sein!

Passwortloser Login:

• Bei entsprechender Konfiguration kannst du dich ganz ohne Passwort anmelden
• Nur mit Authenticator und biometrischer Freigabe (Fingerabdruck/Face ID)

Mehrere Konten:

• Du kannst beliebig viele Konten hinzufügen
• Privat und geschäftlich in einer App
• Alle Microsoft-Konten + andere Dienste

Besonders relevant:

Lehrer/Dozenten:

• Nutzen oft mehrere Geräte (privat/schulisch)
• Arbeiten auch von zu Hause
• Benötigen schnellen, unkomplizierten Zugriff

Schüler/Studierende:

• Haben fast alle Smartphones
• Sind mit Apps vertraut
• SMS-Empfang oft unsicher (Prepaid-Karten)

Administratoren:

• Keine SMS-Kosten für die Einrichtung
• Weniger Support-Anfragen (wenn Backup aktiviert ist)
• Zentrale Verwaltung möglich

Empfehlung:

1. Pflicht: Authenticator App als primäre MFA-Methode
2. Backup aktivieren lassen: Unbedingt in der App einrichten
3. Zweite Methode registrieren: Telefonnummer als Fallback
4. Wiederherstellungscodes: Generieren und sicher aufbewahren (z.B. ausgedruckt im Safe)

Mögliche Probleme:

Nutzer:

• Manchmal überfordert mit der App
  • Hier kannst du Telefonnummer als Alternative anbieten
  • Oder persönliche Einrichtungshilfe anbieten

Kein Smartphone:

• Selten, aber kommt vor
• Alternative: Hardware-Token (FIDO2-Schlüssel wie YubiKey)
• Oder Telefonnummer mit Anruf statt SMS

Datenschutzbedenken:

• Manche wollen keine Microsoft-App auf privatem Handy
• Hier hilft Aufklärung: Die App hat keine weitreichenden Berechtigungen
• Liest keine anderen Daten aus
• Sie betreibt nur einen minimalen Datenverkehr
• Sie ist kostenfrei

Einrichtung (Kurzfassung):

1. App aus App Store/Play Store installieren
2. Bei erster Anmeldung am PC wird automatisch zur Einrichtung aufgefordert
3. QR-Code mit App scannen
4. Konto ist hinzugefügt
5. Backup in App-Einstellungen aktivieren

Was ist wenn kein Zugriff mehr auf das Smartphone besteht?

Situation: Ein Mitarbeiter hat ein neues Smartphone gekauft, sein altes Smartphone bereits zurückgesetzt oder entsorgt und er hat kein Backup auf seinem alten Smartphone in der Microsoft Authenticator-App durchgeführt. Alternative Methoden funktionieren nicht oder sind nicht eingerichtet. Nun hast er keinen Zugriff auf die Authentifizierungsdaten in der App, er kannst sich nicht mehr zur Anmeldung Authentifizieren und hat somit keinen Zugriff auf sein Microsoft 365-Konto.

Wenn der User noch irgendwo angemeldet ist (z.B. am PC):

1. Neue MFA-Methode hinzufügen:

• Auf https://mysignins.microsoft.com gehen (oder https://account.activedirectory.windowsazure.com/proofup.aspx)
• Bei Sicherheitsinformationen auf Methode hinzufügen klicken
• Neue Telefonnummer oder neues Gerät registrieren
• Alte Methode danach löschen

Wenn der User komplett ausgesperrt ist:

Als Administrator musst du:

• Diesem Link ins Entra Admin Center zur Pro-Benutzer MFA folgen
• Den betroffenen User auswählen
• Auf MFA-Einstellungen für Benutzer klicken
• Option Bereitstellung der Kontaktmethoden bei ausgewählten Benutzern erneut anfordern wählen
• Der User muss sich dann neu für MFA registrieren (QR-Code erneut scannen)

Alternative über Entra Admin Center:

• Multifaktor Authentifizierung
• Unter Konfigurieren > Zusätzliche Einstellungen für die cloudbasierte Multi-Faktor-Authentifizierung
• Wie oben beschrieben fortfahren

Wenn Authenticator-Backup aktiviert war:

• Neue Microsoft Authenticator App installieren
• Mit dem gleichen Microsoft-Konto anmelden
• Die Konten werden automatisch wiederhergestellt
• Aber: Das funktioniert nur, wenn der User vorher das Cloud-Backup aktiviert hatte (viele machen das nicht)

Wichtige Hinweise:

Proaktive Maßnahmen:

• Immer mehrere MFA-Methoden registrieren (Telefonnummer + Authenticator)
• Backup in Authenticator App aktivieren (Einstellungen → Cloud-Backup)
• Wiederherstellungscodes generieren und sicher aufbewahren

Stand: 15.10.2025