MFA: Basiswissen
Multi-Faktor-Authentifizierung (MFA) mit Microsoft Entra
Die Multi-Faktor-Authentifizierung (MFA) ist ein Sicherheitsverfahren, bei dem Benutzer:innen beim Anmeldevorgang zusätzlich zur Eingabe ihres Kennworts ein weiteres Identifizierungsmerkmal nachweisen müssen – beispielsweise durch einen Code auf dem Smartphone, einen Fingerabdruckscan oder die Verwendung der Microsoft Authenticator-App.
Die ausschließliche Verwendung eines Kennworts zur Anmeldung stellt ein Sicherheitsrisiko dar. Ist das Kennwort unsicher oder wurde es kompromittiert, kann ein Angreifer damit Zugriff auf sensible Daten erhalten. Durch die Einführung eines zweiten Authentifizierungsfaktors wird die Sicherheit deutlich erhöht, da dieser zusätzliche Faktor nicht ohne Weiteres von einem Angreifer reproduziert werden kann.
Für die Microsoft Entra-MFA sind mindestens zwei der folgenden Authentifizierungsfaktoren erforderlich:
- Wissen: Eine dem Benutzer bekannte Information, z. B. ein Kennwort.
- Besitz: Ein Objekt, das sich im Besitz des Benutzers befindet, z. B. ein vertrauenswürdiges Gerät wie ein Smartphone oder ein Hardwareschlüssel.
- Biometrie: Ein körperliches Merkmal des Benutzers, z. B. Fingerabdruck oder Gesichtserkennung.
Die Microsoft Entra-MFA kann auch die Sicherheit bei der Kennwortzurücksetzung verbessern. Benutzer:innen, die sich für MFA registrieren, können sich gleichzeitig für die Self-Service-Kennwortzurücksetzung registrieren.
Statistiken zur MFA
- 99,9% weniger Hacks mit aktivierter MFA (Microsoft-Studie)
- 81% aller Datenverletzungen durch schwache/gestohlene Passwörter
- Über 4 Milliarden kompromittierte Passwörter bekannt
MFA in Microsoft 365/Entra:
Du musst keine Apps oder Dienste ändern, um die Microsoft Entra-Multi-Faktor-Authentifizierung verwenden zu können. Die Überprüfungsaufforderungen sind Teil der Microsoft Entra-Anmeldung, bei der die MFA-Aufforderung bei Bedarf automatisch angefordert und verarbeitet wird.
Typischer Ablauf:
- Benutzername + Passwort eingeben
- MFA-Aufforderung erscheint automatisch
- Zweiten Faktor bestätigen (z.B. Smartphone-Code)
- Anmeldung erfolgreich
Fazit: MFA ist die einfachste und wirksamste Methode, um Cyberangriffe zu verhindern. Es verwandelt einen einzelnen Angriffspunkt (Passwort) in eine mehrstufige Sicherheitsbarriere, die für Angreifer praktisch unüberwindbar wird.
Unterschiedliche MFA-Methoden
Empfohlene (sicherste) MFA-Methoden
Microsoft Entra ID bietet verschiedene MFA-Methoden, die nach Sicherheitsstufe geordnet sind:
1. Microsoft Authenticator App (EMPFOHLENER STANDARD)
- Bietet optimales Maß an Flexibilität und Benutzerfreundlichkeit: Überlegungen zur Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung – Microsoft Entra ID | Microsoft Learn
- Push-Benachrichtigungen – Benutzer tippt auf „Genehmigen“
- TOTP-Codes – Zeitbasierte Einmalpasswörter: In der App in das entsprechende Konto wechseln und Code kopieren)
- Kennwortlose Anmeldung möglich: Kennwortlose Anmeldung bei Microsoft Entra – Microsoft Entra ID | Microsoft Learn
2. Passkeys (FIDO2) (HOCHSICHERHEIT)
FIDO2 steht für „Fast IDentity Online 2“ – ein moderner Standard für kennwortlose und phishing-resistente Authentifizierung.
- Hardware-Sicherheitsschlüssel (USB, Bluetooth, NFC): Vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) – Microsoft Entra ID | Microsoft Learn
- Geräteinterne Speicherung auf Smartphones/Tablets: Kennwortlose Anmeldung bei Microsoft Entra – Microsoft Entra ID | Microsoft Learn
- Basiert auf WebAuthn-Standard: Kennwortlose Anmeldung bei Microsoft Entra – Microsoft Entra ID | Microsoft Learn
- Phishing-resistent – höchste Sicherheitsstufe
3. Windows Hello for Business
- Biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung): Überlegungen zur Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung – Microsoft Entra ID | Microsoft Learn
- Kann als mehrstufige MFA-Anmeldeinformationen dienen: Authentifizierungsmethoden und Features – Microsoft Entra ID | Microsoft Learn
- PIN-basierte Alternative
Standard MFA-Methoden
4. Hardware-OATH-Token
OATH steht für „Open Authentication“ – ein offener Standard für Einmalpasswörter.
- Physische Geräte mit Zeitcodes: Überlegungen zur Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung – Microsoft Entra ID | Microsoft Learn
- Für Benutzer ohne Smartphone geeignet: Aktivität für Authentifizierungsmethoden – Microsoft Entra ID | Microsoft Learn
5. Software-OATH-Token (TOTP)
TOTP steht für „Time-based One-Time Password“ – zeitbasierte Einmalpasswörter.
- Von Microsoft Authenticator, Authenticator-Lite oder Drittanbieter-Apps Vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) – Microsoft Entra ID | Microsoft Learn
- Zeitbasierte Einmalpasswörter
- Funktioniert mit Google Authenticator und anderen Apps
6. Temporärer Zugriffspass
- Von Administrator ausgegebener zeitlich begrenzter Passcode: Überlegungen zur Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung – Microsoft Entra ID | Microsoft Learn
- Erste Position in der Sicherheitshierarchie: Vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) – Microsoft Entra ID | Microsoft Learn
- Für Notfälle und Onboarding
Weniger sichere MFA-Methoden (NICHT EMPFOHLEN):
7. SMS-Codes
- Microsoft empfiehlt, SMS nicht mehr zu verwenden: Telefonauthentifizierungsmethoden – Microsoft Entra ID | Microsoft Learn
- Textnachrichten mit Codes
- Kann als primärer Faktor für Ersthelfer-Szenarien genutzt werden: SMS-basierte Benutzeranmeldung für Microsoft Entra ID – Microsoft Entra ID | Microsoft Learn
8. Sprachanrufe
- Alternative zu SMS empfohlen: Microsoft Authenticator: Telefonauthentifizierungsmethoden – Microsoft Entra ID | Microsoft Learn
- Anrufe an Mobil- oder Geschäftstelefon
- Office-Telefonoption lässt nur Sprachanrufe zu: Verwalten von Authentifizierungsmethoden – Microsoft Entra ID | Microsoft Learn
9. E-Mail-Codes
- Nur für Self-Service-Kennwortrücksetzung, nicht für MFA: Verwalten von Authentifizierungsmethoden für Microsoft Entra-Multi-Faktor-Authentifizierung – Microsoft Entra ID | Microsoft Learn
- Nicht als zweiter Faktor für MFA verwendbar
Sicherheitshierarchie
Microsoft ordnet die Methoden nach Sicherheit:
- Temporärer Zugangspass
- Passkey (FIDO2)
- Microsoft Authenticator-Benachrichtigungen
- Zeitbasiertes Einmalpasswort (TOTP)
- Telefonie (SMS und Sprachanrufe)
- Zertifikatbasierte Authentifizierung: Vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) – Microsoft Entra ID | Microsoft Learn
Besonderheiten für unsere Kunden:
Bildungseinrichtungen
- Passwordless-Optionen: Windows Hello, Temporary Access Pass und FIDO2 – oft ideal für Schüler ohne Smartphones: Identity and Access Management for Advanced – A5 – Microsoft Education Solution Guide – M365 Education | Microsoft Learn
- Microsoft Authenticator ist meist die praktischste Lösung
- SMS/Anrufe nur als Backup-Methode
NPOs und Unternehmen
- Mehrere MFA-Methoden aktivieren, damit Benutzer eine passende Backup-Methode haben: Überlegungen zur Bereitstellung der Microsoft Entra-Multi-Faktor-Authentifizierung – Microsoft Entra ID | Microsoft Learn
- Unsichere Methoden wie SMS blockieren
System-bevorzugte MFA:
Microsoft aktiviert automatisch die sicherste verfügbare Methode für jeden Benutzer: Vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) – Microsoft Entra ID | Microsoft Learn – Benutzer können aber weiterhin andere registrierte Methoden wählen.
Fazit: Microsoft Authenticator als Standard-Empfehlung, FIDO2/Passkeys für höchste Sicherheitsanforderungen, SMS/Anrufe sollten nur noch als Notfall-Backup dienen.
Welche MFA-Möglichkeiten bieten die unterschiedlichen Lizenzen?
Die Möglichkeiten zur Konfiguration und zum Bedingten Zugriff (Conditional Access) beim Handling der MFA sind von der jeweils eingesetzten Lizenz abhängig. Der Unterschied liegt darin, ob Entra ID Free, Entra ID P1 oder P2 zum Einsatz kommt.
Du kannst Entra ID Free-Benutzern über die Sicherheitsstandards die MFA für sämtliche Benutzer (inkl. Admins) nur aus- oder einschalten.
Entra ID Free-Benutzer sind nur „passive Empfänger“ von Conditional Access-Richtlinien. Selbst Admins mit Entra ID Free können selbst keine Conditional Access-Funktionen einrichten oder konfigurieren.
Als Admin mit Entra ID P1- oder Entra ID P2 kannst du hingegen Conditional Access konfigurieren (steuern) und zuweisen. Somit kannst du z. B. die MFA für Schüler ausschalten, aber gleichzeitig für Admins und Lehrkräfte einschalten.
Allen Benutzern steht auch noch die MFA pro Benutzer zur Verfügung. Mit dieser Methode kannst du für jeden einzelnen Benutzer die MFA aktivieren oder deaktivieren.
Bei Entra ID Free-Benutzern funktioniert das jedoch nur, wenn die Sicherheitsstandards deaktiviert sind.
Abhängig von der eingesetzten Entra ID-Lizenz stehen folgende MFA-Zuweisungsmethoden zur Verfügung:
- Sicherheitsstandards: MFA für alle ein oder ausschalten, keine weitere Konfiguration.
- Conditional Access: Sicherheitsstandards müssen deaktiviert sein, granulare Zuweisung und Konfiguration möglich, z. B. Admins = ja, Schüler = nein, Lehrkräfte = ja, in nicht vertrauenswürdigen Netzwerken = ja usw.
- MFA pro Benutzer: MFA pro Benutzer ein- oder ausschalten, keine weitere Konfiguration möglich, Sicherheitsstandards müssen deaktiviert sein.
| Entra ID | Sicherheitsstandards | Conditional Access | MFA pro Benutzer |
|---|---|---|---|
| MFA für alle aktivieren oder deaktivieren, keine weitere Konfiguration möglich. | Sicherheitsstandards müssen deaktiviert sein, granulare Zuweisung und Konfiguration möglich, z. B. Admins = ja, Schüler = Nein, Lehrkräfte = ja, usw. | MFA pro Benutzer ein oder ausschalten, keine weitere Konfiguration möglich. | |
| Free | ja | nein | ja, wenn Sicherheitsstandards deaktiviert sind. |
| P1 | nein | ja | Ja |
| P2 | nein | ja | ja |
Beispiele unterschiedlicher Lizenzen
Education-Lizenzen (für Bildungseinrichtungen)
Office 365 A1 (kostenfrei) und Office 365 A3 (kostenpflichtig), nur Entra ID Free
- Perfekte Basis für den Einstieg in die 365-Welt
- MFA: Nur Sicherheitsstandards (Entra ID Free)
- Microsoft Authenticator verfügbar
- Einschränkung: Keine flexiblen MFA-Regeln möglich
Microsoft 365 A3, beinhaltet Entra ID P1
- Entra ID P1 enthalten → Conditional Access verfügbar
- Alle MFA-Methoden nutzbar
- Flexible Regeln nach Standort, Gerät, Benutzergruppen
- Empfohlen bei Intune-Einsatz
Microsoft 365 A5, beinhaltet Entra ID P2
- Entra ID P2 enthalten → P1 und alle erweiterten Sicherheitsfunktionen
- Risikobasierte Richtlinien für automatische MFA-Anpassung
- Identity Protection – erkennt verdächtige Anmeldungen automatisch
- Erweiterte Compliance und Datenschutz-Funktionen
Business-Lizenzen (für kleine/mittlere Unternehmen und MPOs bis max. 300 Benutzer)
Microsoft 365 Business Basic
- MFA: Nur Sicherheitsstandards (Entra ID Free)
- Web- und mobile Versionen von Office-Apps
- Grundlegende MFA ohne Anpassungsmöglichkeiten
Microsoft 365 Business Standard
- Nur Sicherheitsstandards (Entra ID Free)
- Alle Office-Applikationen wie Word, Excel, PowerPoint
- Desktop-Apps enthalten, aber noch keine erweiterten Sicherheitsfunktionen
Microsoft 365 Business Premium
- Entra ID P1 enthalten → Conditional Access verfügbar
- Zugriff auf Conditional Access-Funktionen
- Erweiterte Identitätsverwaltung mit dynamischen Gruppen
- Multifaktor-Authentifizierung mit Anpassungsmöglichkeiten
- Zusätzlich: Microsoft Defender, Intune-Geräteverwaltung
- Kann auf Terminalserver installiert werden
Enterprise-Lizenzen (für große Unternehmen > 300 Benutzer)
Microsoft 365 E3
- Entra ID P1 enthalten
- Conditional Access für komplexe MFA-Szenarien
- Alle MFA-Methoden verfügbar
- Session-Management und geografische Einschränkungen
Microsoft 365 E5
- Entra ID P2 enthalten → P1 und alle Premium-Sicherheitsfunktionen
- Risikobasierte Authentifizierung
- Identity Protection mit automatischer Bedrohungserkennung
- Automatische MFA-Richtlinien für Administratoren
- Erweiterte Compliance- und Governance-Features
Konkrete Empfehlungen
Für Schulen und Bildungseinrichtungen:
- Start: Office 365 A1 (kostenlos) zum Testen
- Upgrade zu: Microsoft 365 A3 für professionelle MFA-Implementierung
- Nur bei höchsten Sicherheitsanforderungen: A5
Für NPOs und Unternehmen < 300 Mitarbeiter und Non-Profits:
- Minimum: Microsoft 365 Business Premium
- Deutlich erhöhte Sicherheit gegenüber Business Standard
- Conditional Access ermöglicht MFA nur außerhalb vertrauenswürdiger Netzwerke
Für größere kommerzielle Unternehmen und NPOs > 300 Mitarbeiter:
- Minimum: Microsoft 365 E3 als Standard
- Hochregulierte Branchen: E5 für risikobasierte Sicherheit
Wie funktioniert die MFA bei gemischten Lizenzen?
Bei gemischten Entra ID-Lizenzen in einem Tenant hast du unterschiedliche MFA-Funktionen je nach Benutzerlizenz. Einsatz von gemischten Lizenzen bedeutet z.B. Entra Free und Entra P1 bzw. P2 werden gemeinsam eingesetzt.
Grundprinzip: Sicherheitsstandards und Benutzer- und Gruppenlizenzzuweisungen werden über Admin Center verwaltet – jeder Benutzer hat individuelle Berechtigungen, basierend auf seiner zugewiesenen Lizenz. Bei gemischten Entra ID-Lizenzen in einem Tenant hast du also unterschiedliche MFA-Funktionen je nach Benutzerlizenz.
MFA-Funktionen nach Lizenz:
Benutzer mit Entra ID Free:
- Nur Sicherheitsstandards verfügbar
- Grundlegende Features für die Multi-Faktor-Authentifizierung: Versionen der Multi-Faktor-Authentifizierung von Microsoft Entra und Verbrauchspläne – Microsoft Entra ID | Microsoft Learn
- Microsoft Authenticator nutzbar (Push + TOTP)
- Keine Conditional Access-Richtlinien möglich
- Keine benutzerdefinierten MFA-Regeln
- Keine Wahl der MFA-Methoden
Benutzer mit Entra ID P1:
- Alle MFA-Methoden verfügbar
- Conditional Access-Funktionen nutzbar: Microsoft Entra-Lizenzierung – Microsoft Entra | Microsoft Learn
- Flexible MFA-Regeln nach Standort, Gerät, Netzwerk, Anwendung…
- Erweiterte Authentifizierungsmethoden
- Session-Management und Anmeldehäufigkeit
Praktische Auswirkungen
Administrative Herausforderungen
❌ Problematisch:
Gemischte Umgebung:
- 50 Benutzer mit Entra ID Free
- 20 Benutzer mit Entra ID P1Konsequenzen:
- Zwei verschiedene MFA-Systeme parallel
- Sicherheitsstandards für Free-Benutzer (alle oder niemand)
- Conditional Access nur für P1-Benutzer
- Sicherheitsstandards und Conditional Access können nicht gleichzeitig aktiv sein. Conditional Access funktioniert nur, wenn die Sicherheitsstandards deaktiviert sind.
Der Konflikt
Sicherheitsstandards (Free):
- Gelten für ALLE Benutzer im Mandanten
- Können nicht granular gesteuert werden
- Ein-/Ausschalter für die gesamte Organisation
Conditional Access (P1):
- Funktioniert nur mit P1/P2-Lizenzen
- Granulare Steuerung möglich
- Wenn Sicherheitsstandards aktiviert sind, können Conditional Access-Richtlinien zwar erstellt werden, aber sie sind nicht eingeschaltet.
Lösungsansätze:
Option 1: Sicherheitsstandards für alle
✅ Funktioniert für:
- Grundschutz für alle Benutzer
- Einfache Verwaltung
- Kostengünstige Lösung
❌ Einschränkungen:
- Keine flexiblen Regeln für P1-Benutzer
- P1-Lizenzkosten ohne vollen Nutzen
- Keine erweiterten MFA-OptionenOption 2: Conditional Access (empfohlen)
Vorgehensweise:
1. Sicherheitsstandards DEAKTIVIEREN
2. Conditional Access-Richtlinien erstellen
3. P1-Benutzer: Erweiterte MFA-Regeln
4. Free-Benutzer: Basis-MFA über Conditional Access-Richtlinien
⚠️ Wichtig: Free-Benutzer können von Conditional Access-Richtlinien
betroffen sein, aber keine eigenen CA-Features nutzen. Das bedeutet,
dass Regelungen aus den Conditional Access-Richtlinien für den
grundlegenden MFA-Einsatz angewandt werden, aber z.B. die
MFA-Methoden nicht angepasst werden können.Option 3: Vollständige P1-Migration
✅ Beste Lösung:
Einheitliche MFA-VerwaltungAlle erweiterten Features nutzbarKonsistente SicherheitsrichtlinienEinfachere Administration
Kosten (Richtwerte):
ca. 6,00€/Jahr pro Faculty-Benutzer für P1 (Bildungseinrichtungen)ca. 16,00/Jahr pro Benutzer für P1 (Non Profit Organisationen)ca. 55,50/Jahr pro Benutzer für P1 (Kommerzieller Einsatz)
Option 4: Pro-Benutzer MFA
Pro-Benutzer MFA für Entra ID Free-User aktivieren (Sicherheitsstandards müssen deaktiviert sein)Conditional Access für P1-UserInkonsistente SicherheitsrichtlinienKomplexere Administration
Empfehlung für unsere Kunden:
Kleine Organisationen (< 50 Benutzer):
Einheitliche Lizenzierung wählen:
- Entweder alle Free mit Sicherheitsstandards
- Oder alle P1 für professionelle Kontrolle
- Mischung vermeiden – führt zu Komplexität
Größere Organisationen (> 50 Benutzer):
Rollout-Strategie:
Phase 1: Pilotgruppe mit P1-Lizenzen
- IT-Administratoren
- Führungskräfte
- Sensitive Bereiche
Phase 2: Schrittweise Migration
- Abteilungsweise P1-Rollout
- Conditional Access-Richtlinien ausweiten
Phase 3: Vollständige Migration
- Alle Benutzer auf P1
- Sicherheitsstandards abschalten
- Einheitliche CA-RichtlinienHäufige Probleme und Lösungen:
Problem: MFA funktioniert nicht für einige Benutzer
Ursache: Wenn Lizenzen für Conditional Access ablaufen, werden Richtlinien nicht automatisch deaktiviert oder gelöscht: Microsoft Entra licensing – Microsoft Entra | Microsoft Learn
Lösung:
- Lizenzzuweisungen überprüfen
- Richtlinien-Scope kontrollieren
- Ausschlussgruppen definieren
Problem: Zu komplexe Verwaltung
Lösung:
- Migration zu einheitlicher Lizenzierung
- Klare Dokumentation der Benutzergruppen
- Regelmäßige Lizenz-Audits
Praktisches Beispiel:
Ausgangslage: Schule mit 100 Lehrern
- 20 Verwaltungslehrer (P1)
- 80 Fachlehrer (Free)
Empfohlenes Vorgehen:
- Conditional Access aktivieren
- Basis-MFA für alle über CA-Richtlinie
- Erweiterte Regeln für P1-Benutzer:
- Administratoren: MFA bei jedem Log-in
- Sensitive Anwendungen: Zusätzliche Sicherheit
- Migration zu Education A3 planen (enthält P1)
Fazit: Gemischte Lizenzen sind technisch möglich, aber administrativ kompliziert. Am besten einheitliche Lizenzierung anstreben oder klare Rollout-Strategie für schrittweise Migration zu P1/P2 entwickeln.
Wie wird Conditional Access aktiviert?
Conditional Access wird aktiviert, sobald du eine entsprechende Richtlinie erstellst und aktivierst, vorausgesetzt, die betroffenen Benutzer haben eine gültige Entra ID P1 oder P2 Lizenz.
Wichtig: Es gibt keinen separaten Schalter, um Conditional Access „einzuschalten“.
Die Funktion ist immer verfügbar, sobald die Lizenz vorhanden ist. Du kannst beliebig viele Richtlinien erstellen, testen (im „Nur Bericht“-Modus) und aktivieren oder deaktivieren.
Wenn du keine Richtlinien aktivierst, ist Conditional Access zwar technisch verfügbar, aber nicht wirksam.
Was ist in den „Sicherheitsstandards“ voreingestellt?
Die „Security Defaults“ (Sicherheitsstandards) in Microsoft 365 sind eine Sammlung von vorkonfigurierten Sicherheitseinstellungen, die Microsoft bereitstellt. Die „Sicherheitsstandards“ (Security Defaults) in Microsoft 365 sind eine Gruppe von Basissicherheitseinstellungen, die Microsoft automatisch für neue Tenants aktiviert.
Hier ist, was voreingestellt ist und worauf du achten musst:
Multi-Faktor-Authentifizierung (MFA):
- Alle Benutzer müssen sich für MFA registrieren (meist Microsoft Authenticator App)
- MFA wird für alle Benutzer bei jedem Login verlangt
- Administratoren müssen bei jedem Zugriff MFA verwenden
Legacy-Authentifizierung blockiert:
- Alte Protokolle wie POP3, IMAP, SMTP ohne moderne Authentifizierung werden blockiert
- Betrifft ältere E-Mail-Clients und Apps
Schutz für privilegierte Aktivitäten:
- Erhöhte Sicherheitsanforderungen für Admin-Konten
- Zugriff auf Azure Portal, PowerShell und andere Admin-Tools erfordert MFA
Blockierung verdächtiger Anmeldeversuche:
- Automatische Blockierung bei erkannten Risiken
Worauf du achten musst:
- Einige Organisationen nutzen noch ältere Geräte oder Apps, die Legacy-Authentifizierung benötigen
- Kopierer/Scanner, die E-Mails versenden, funktionieren oft nicht mehr
- Ältere Smartphones können Probleme haben
- Vorher Geräte und Anwendungen prüfen
- Benutzer müssen Smartphones für MFA haben
- Alternative: Conditional Access Policies statt Security Defaults (mehr Flexibilität, aber komplexer, erfordert evtl. andere Lizenzen)
Stand: 25.10.2025