Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die vom System bevorzugte Authentifizierung fordert Benutzer auf, sich mit der sichersten Methode anzumelden, die sie registriert haben. Es ist eine wichtige Sicherheitsverbesserung für Benutzer, die sich mit weniger sicheren Methoden wie Kennwörtern oder SMS authentifizieren.
Wenn ein Benutzer beispielsweise sowohl ein Kennwort als auch einen Passkey registriert hat, fordert die vom System bevorzugte Authentifizierung den Benutzer auf, sich mit dem Passkey anstelle des Kennworts anzumelden. Der Benutzer kann sich weiterhin mit einer anderen Methode anmelden, aber er wird zuerst aufgefordert, die sicherste Methode zu verwenden, die er registriert hat.
Die vom System bevorzugte Authentifizierung ist eine von Microsoft verwaltete Einstellung, die also eine Richtlinie mit drei Zuständen ist (aktiviert, deaktiviert oder von Microsoft verwaltet). Wenn Sie die vom System bevorzugte Authentifizierung nicht aktivieren möchten, ändern Sie den Status von Microsoft managed in Disabled, oder schließen Sie Benutzer und Gruppen aus der Richtlinie aus.
Nachdem die vom System bevorzugte Authentifizierung aktiviert wurde, erledigt das Authentifizierungssystem alle Aufgaben. Benutzer müssen keine Authentifizierungsmethode als ihren Standard festlegen, da das System immer die sicherste von ihnen registrierte Methode ermittelt und bereitstellt.
Wie die vom System bevorzugte Authentifizierung für die Anmeldung gilt
Die vom System bevorzugte Authentifizierung verfügt über drei Modi:
- Deaktiviert – Keine Änderung der Anmeldelogik.
- Aktiviert – Die vom System bevorzugte Authentifizierung gilt nur für den zweiten Faktor. Das vorhandene Anmeldeverhalten gilt weiterhin für die erststufige Authentifizierung.
- Microsoft managed – Die vom System bevorzugte Authentifizierung gilt sowohl für die erststufige als auch für die zweitstufige Authentifizierung. Das System wertet aus, welche Anmeldeinformationen für den Benutzer registriert sind, und wählt die methode mit dem höchsten Rang für jeden Authentifizierungsschritt aus.
Sowohl aktivierte als auch von Microsoft verwaltete Modi ermöglichen Administratoren das Einschließen oder Ausschließen bestimmter Benutzer oder Gruppen.
Tip
Wenn die vom System bevorzugte Authentifizierung nicht auf die erststufige Authentifizierung angewendet werden soll, wechseln Sie von Microsoft managed zu Enabled. Der Status "Aktiviert" wendet die vom System bevorzugte Logik nur auf den zweiten Faktor an.
Note
Die vom System bevorzugte Authentifizierung ist auf Benutzer und nicht auf Geräte ausgerichtet. Administratoren schließen Benutzer oder Gruppen ein oder aus, können das Feature jedoch bestimmten Geräten oder Gerätegruppen nicht zuweisen.
Bekannte Einschränkungen
- Wenn Sie die Richtlinie für eine Zielgruppe ändern, wirkt sich die Änderung möglicherweise nicht auf die nächste Anmeldung des Benutzers aus. Sie gilt für alle nachfolgenden Anmeldungen danach.
- Die Richtlinie für bedingten Zugriff wird nur für die zweitstufige Authentifizierung überprüft und gilt nicht für die erststufige Authentifizierung. Die Authentifizierung erfolgt zuerst, und der bedingte Zugriff wertet die Autorisierung aus. Die vom System bevorzugte Authentifizierung überschreibt keine Richtlinien für bedingten Zugriff oder anforderungen an die Authentifizierungsstärke.
Aktivieren der vom System bevorzugten Authentifizierung im Microsoft Entra Admin Center
Standardmäßig wird die vom System bevorzugte Authentifizierung für alle Benutzer Microsoft verwaltet.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Authentication Policy Administrator an.
- Navigieren Sie zu>ID-Authentifizierungsmethoden>.
- Wählen Sie für System-preferred authenticationMicrosoft-managed, Enabled oder Disabled aus, und schließen Sie alle Benutzer ein oder aus. Ausgeschlossene Gruppen haben Vorrang vor eingeschlossenen Gruppen.
- Nachdem Sie alle Änderungen vorgenommen haben, wählen Sie "Speichern" aus.
Aktivieren der vom System bevorzugten Authentifizierung mithilfe von Graph-APIs
Um die vom System bevorzugte Authentifizierung im Voraus zu aktivieren, wählen Sie eine einzelne Zielgruppe für die Schemakonfiguration aus, wie im Anforderungsbeispiel gezeigt.
Konfigurationseigenschaften der Authentifizierungsmethode
Standardmäßig wird die vom System bevorzugte Authentifizierung von Microsoft verwaltet.
| Eigentum | Typ | Beschreibung |
|---|---|---|
| excludeTarget | featureTarget | Eine einzelne Entität, die aus diesem Feature ausgeschlossen ist. Sie können nur eine Gruppe von der vom System bevorzugten Authentifizierung ausschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
| includeTarget | featureTarget | Eine einzelne Entität, die in diesem Feature enthalten ist. Sie können nur eine Gruppe für die vom System bevorzugte Authentifizierung einschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
| State | advancedConfigState | Mögliche Werte: enabled explicitly enables die feature für die selected group. Deaktiviert explicitly disables die feature für die selected group. Standard ermöglicht Microsoft Entra ID die Verwaltung, ob die Funktion für die ausgewählte Gruppe aktiviert ist oder nicht. |
FeatureTarget-Eigenschaften
Die vom System bevorzugte Authentifizierung kann nur für eine einzelne Gruppe aktiviert werden, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann.
| Eigentum | Typ | Beschreibung |
|---|---|---|
| ID | String | Die ID der Zielentität. |
| Zieltyp | featureTargetType | Die Art der Zielentität, wie z. B. eine Gruppe, eine Rolle oder eine administrative Einheit. Die möglichen Werte sind „group“, „administrativeUnit', „role“, „unknownFutureValue“. |
Verwenden Sie den folgenden API-Endpunkt, um systemCredentialPreferences zu aktivieren und Gruppen einzuschließen oder auszuschließen:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Note
Im Graph-Tester müssen Sie der Berechtigungen Policy.ReadWrite.AuthenticationMethod zustimmen.
Anforderung
Das folgende Beispiel schließt eine Beispielzielgruppe aus und schließt alle Benutzer ein. Weitere Informationen finden Sie unter authenticationMethodsPolicy aktualisieren.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
Wie bestimmt die vom System bevorzugte Authentifizierung die sicherste Methode?
Wenn sich ein Benutzer anmeldet, überprüft der Authentifizierungsprozess, welche Methoden registriert sind. Der Benutzer wird aufgefordert, sich mit der sichersten Methode gemäß der folgenden Reihenfolge anzumelden. Die Methodenreihenfolge ist dynamisch und aktualisiert, wenn sich die Sicherheitslandschaft ändert. Benutzer können jederzeit abbrechen und eine andere verfügbare Anmeldemethode auswählen. Wenn Ihre Organisation Über Richtlinien für bedingten Zugriff verfügt, die bestimmte Authentifizierungsmethoden erfordern, haben diese Richtlinien weiterhin Vorrang vor der vom System bevorzugten Authentifizierungsreihenfolge.
Wenn sich das System im Zustand Microsoft managed befindet, wertet das System die verfügbaren Anmeldeinformationen aus und wählt die Methode mit dem höchsten Rang sowohl für die erststufige als auch für die zweitstufige Authentifizierung aus.
| Rank | Credential | Kategorie | Erfüllt die Anforderung für |
|---|---|---|---|
| 1 | Temporärer Zugriffspass (TAP) | Wiederherstellung | Ein-Faktor-Authentifizierung (1FA) + Mehrfaktor-Authentifizierung (MFA) |
| 2 | Passkey1 | Phishing-widerstandsfähig | Ein-Faktor-Authentifizierung (1FA) + Mehrfaktor-Authentifizierung (MFA) |
| 3 | Zertifikatbasierte Authentifizierung (CBA) | Phishing-widerstandsfähig | 1FA oder 1FA + MFA |
| 4 | Microsoft Authenticator-Benachrichtigungen | Kennwortlos | Ein-Faktor-Authentifizierung (1FA) + Mehrfaktor-Authentifizierung (MFA) |
| 5 | Externe mehrstufige Authentifizierung (MFA) | — | Mehrfaktor-Authentifizierung (MFA) |
| 6 | Zeitbasiertes einmaliges Kennwort (TOTP)2 | — | Mehrfaktor-Authentifizierung (MFA) |
| 7 | Telefonie3 | — | Mehrfaktor-Authentifizierung (MFA) |
| 8 | QR-Code | Mitarbeiter an vorderster Front | 1FA |
| 9 | Passwort | — | 1FA |
1Umfasst Sicherheitsschlüssel, Passkeys in der Authenticator-App, synchronisierte Kennungen, Windows Hello for Business und macOS Platform SSO.
2Umfasst Hardware- oder Software-TOTP von Microsoft Authenticator, Authenticator Lite oder Anwendungen von Drittanbietern.
3Umfasst SMS und Sprachanrufe.
Important
Die zertifikatbasierte Authentifizierung (Certificate Based Authentication, CBA) wurde zuvor aufgrund bekannter Probleme mit der CBA und der vom System bevorzugten Authentifizierung zuletzt in der vom System bevorzugten Authentifizierungsreihenfolge platziert. Nachdem diese Probleme behoben wurden, wurde die zertifikatbasierte Authentifizierung ab dem 18. März 2026 an die dritte Position in der Authentifizierungsreihenfolge verschoben.
Bei dem derzeit von Microsoft verwalteten Verhalten werden Benutzer gemäß der vom System bevorzugten MFA-Reihenfolge zu den jeweils besten verfügbaren Authentifizierungsmethoden für den ersten und zweiten Faktor geleitet. Dies vermeidet zwar, dass die Kennwortseite standardmäßig angezeigt wird, aber Benutzer auf Geräten ohne Zertifikate scheitern während der CBA sofort und müssen manuell Auf andere Weise anmelden auswählen, um mit einer anderen Methode fortzufahren.
Wie wirkt sich die vom System bevorzugte Authentifizierung auf die NPS-Erweiterung aus?
Die vom System bevorzugte Authentifizierung wirkt sich nicht auf Benutzer aus, die sich mit der Netzwerkrichtlinienservererweiterung (Network Policy Server, NPS) anmelden. Diese Benutzer sehen keine Änderungen an ihrer Anmeldeerfahrung.
Wie wirkt sich die vom System bevorzugte Authentifizierung auf die Anmeldung mit dem ersten Faktor aus?
Wenn auf von Microsoft verwaltet festgelegt, wendet das System die Rangfolge der Anmeldeinformationen sowohl auf die Authentifizierung mit dem ersten als auch mit dem zweiten Faktor an. Wenn ein Benutzer z. B. sowohl ein Kennwort als auch einen Kennungsschlüssel registriert hat, wird er bei der erststufigen Anmeldung anstelle des Kennworts mit dem Kennungsschlüssel aufgefordert. Der Benutzer kann weiterhin andere Anmeldeoptionen auswählen.
Wenn die Einstellung auf Aktiviert festgelegt ist, gilt die Rangfolge der Anmeldeinformationen nur für die Zwei-Faktor-Authentifizierung. Das Anmeldeverhalten bei der Anmeldung mit dem ersten Faktor bleibt unverändert.
Können Benutzer weiterhin eine andere Anmeldemethode auswählen?
Ja. Die vom System bevorzugte Authentifizierung fordert Benutzer mit den am höchsten bewerteten Anmeldeinformationen auf, aber Benutzer können während der Anmeldung weiterhin andere zulässige Methoden auswählen.