MFA für riskante Anmeldungen nicht erforderlich

Multifaktor-Authentifizierung (MFA), früher bekannt als Zweifaktor-Authentifizierung (2FA), bietet robusten Schutz für Konten vor den Schwachstellen, die mit schwachen oder kompromittierten Passwörtern verbunden sind. In Übereinstimmung mit Best Practices und Branchenstandards ist es ratsam, die Authentifizierung zu blockieren oder nach MFA zu fragen, wenn eine Benutzeranmeldung gemäß den Kriterien von Microsoft Entra ID Protection riskant erscheint.

Wenn ein Angreifer sich mit einer beliebigen Methode ein Passwort eines Benutzers verschafft, blockiert MFA die Authentifizierung, indem sie einen zusätzlichen Faktor anfordert, z. B. einen zeitlich ablaufenden Code aus einer mobilen App, ein physisches Token, ein biometrisches Merkmal usw.

Microsoft Entra ID Protection ist ein Feature, das Microsoft Entra ID-P2-Lizenzen erfordert und riskante Anmeldungen in Entra ID identifiziert. Ein Anmelderisiko bezeichnet die Wahrscheinlichkeit, dass eine bestimmte Authentifizierungsanforderung nicht der autorisierte Identitätsbesitzer ist, basierend auf einer Liste von Erkennungen. Die Erkennung von Anmelderisiken umfasst 3 Stufen:

• Hoch
• Mittel
• Gering

Wenn Sie diese Anmelderisikostufe verwenden, kann die Multifaktor-Authentifizierung (MFA) durch zwei Schutzfunktionen ausgelöst werden: Richtlinien für bedingten Zugriff und Microsoft Entra ID Protection. Tenable empfiehlt, die Funktion über eine Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) zu konfigurieren, da diese zusätzliche Vorteile bietet, zum Beispiel verbesserte Diagnosedaten, nahtlose Integration mit dem Modus „Nur melden“, Unterstützung der Graph-API und die Möglichkeit, zusätzliche Attribute für bedingten Zugriff innerhalb der Richtlinie zu verwenden, wie z. B. Anmeldehäufigkeit. Die in Microsoft Entra ID Protection konfigurierten Legacy-Risikorichtlinien werden am 1. Oktober 2026 außer Betrieb genommen und müssen zu Richtlinien für bedingten Zugriff migriert werden Daher prüft dieser IoE nur auf Richtlinien für bedingten Zugriff.

Basierend auf dieser Empfehlung stellt der IoE sicher, dass mindestens eine (oder zwei separate) Richtlinien für bedingten Zugriff mit den folgenden Einstellungen vorhanden sind:

• „Benutzer“ ist so festgelegt, dass „Alle Benutzer“ eingeschlossen werden.
• „Zielressourcen“ ist auf „Alle Ressourcen“ festgelegt.
• „Bedingungen > Client-Apps“ ist auf „Nein“ („Nicht konfiguriert“) festgelegt. Alternativ kann es auf „Ja“ festgelegt werden, wobei die folgenden vier Optionen auszuwählen sind: „Browser“, „Mobile Apps und Desktopclients“, „Exchange ActiveSync-Clients“ und „Andere Clients“. Legen Sie
• „Bedingungen > Anmelderisiko“ auf „Ja“ fest und wählen Sie die Risikostufen „Hoch“ und „Mittel“ aus. Alternativ können Sie zwei separate Richtlinien konfigurieren – eine für die Risikostufe „Hoch“ und die andere für die Risikostufe „Mittel“ –, um denselben Effekt zu erzielen. Legen Sie
• „Grant“ (Zugriff gewähren) auf „Require multifactor authentication“ (Multi-Faktor-Authentifizierung erfordern) oder „Require authentication strength“ (Authentifizierungsstärke erfordern) mit einem der folgenden Werte fest: „Multifaktor-Authentifizierung“, „Passwordless MFA“ (Kennwortlose MFA) oder „Phishing-resistant MFA“ (Phishing-sichere MFA). Legen Sie
• „Sitzung -> Anmeldehäufigkeit“ auf „Jedes Mal“ fest.
• Legen Sie zuletzt die Option „Richtlinie aktivieren“ auf „Ein“ fest (nicht „Aus“ oder „Nur Bericht“).

Es muss eine aktivierte Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) für den Mandanten vorhanden sein, die alle Benutzer abdeckt und MFA in riskanten Anmeldesituationen fordert.

Dazu können Sie auf folgende Weise eine CAP erstellen:

• Konfigurieren Sie diese Bedingung in einer vorhandenen CAP unter Verwendung von „Bedingungen > Anmelderisiko“, wie in diesem Microsoft-Leitfaden beschrieben. Wenden Sie dabei die Einstellungen an, die in der Beschreibung des Indicator of Exposure angegeben sind.
• Erstellen Sie eine neue CAP und konfigurieren Sie sie entsprechend der in Beschreibung des IoE angegebenen Einstellungen.
• Erstellen Sie eine neue dedizierte CAP mithilfe der Microsoft-Vorlage „Multi-Faktor-Authentifizierung für erhöhtes Anmelderisiko erforderlich“. Diese Vorlage erfüllt alle Kriterien, die für diesen Indicator of Exposure erforderlich sind.

Hinweis: Wenn die Richtlinie für bedingten Zugriff für Anmelderisiken aktiviert ist, werden riskante Authentifizierungen für Benutzer, die sich noch nicht für die Multifaktor-Authentifizierung in Microsoft Entra registriert haben, automatisch blockiert. Eine MFA-Registrierung wird an dieser Stelle nicht angeboten. Um zu verhindern, dass Benutzer blockiert werden, stellen Sie sicher, dass sie im Vorfeld die MFA-Registrierung abschließen. Siehe auch die zugehörigen IoEs „Fehlende MFA für nicht-privilegiertes Konto“ und „Fehlende MFA für privilegiertes Konto“.

Sie können die Anmelderisiko-Richtlinie zwar direkt in Microsoft Entra ID Protection konfigurieren, dennoch betrachtet Microsoft diese Funktion als veraltet und plant, sie am 1. Oktober 2026 außer Betrieb zu nehmen. Microsoft empfiehlt Administratoren bereits dringend, Risikorichtlinien zu Richtlinien für bedingten Zugriff zu migrieren. Daher rät Tenable von der Verwendung von Legacy-Risikorichtlinien in Microsoft Entra ID Protection ab, und dieser IoE ignoriert sie.

Hinweis: Sowohl Microsoft als auch Tenable empfehlen, bestimmte Konten aus Richtlinien für bedingten Zugriff auszuschließen, um eine mandantenweite Kontosperre und unerwünschte Nebenwirkungen zu verhindern. Tenable empfiehlt außerdem, die Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen, um eine ordnungsgemäße Planung und ein korrektes Änderungsmanagement sicherzustellen und das Risiko zu mindern, sich selbst auszusperren. Insbesondere wenn Sie hybride Identitätslösungen wie Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung verwenden, müssen Sie das zugehörige Dienstkonto aus der Richtlinie ausschließen, da es die Richtlinie für bedingten Zugriff nicht erfüllen kann. Verwenden Sie die Aktion „Benutzer ausschließen“ und schließen Sie die Dienstkonten entweder direkt aus oder aktivieren Sie die Option „Verzeichnisrollen“ und wählen Sie die Rolle „Verzeichnissynchronisierungskonten“ aus.

Name: MFA für riskante Anmeldungen nicht erforderlich

Codename: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure