Fehlende MFA für nicht-privilegiertes Konto

• Dieser IoE funktioniert aufgrund von Datenverfügbarkeitsbeschränkungen von Microsoft nur mit einer Microsoft Entra ID-P1- oder -P2-Lizenz. Daher gibt er keine Ergebnisse zu Entra ID-Free-Mandanten zurück.*

Multifaktor-Authentifizierung (MFA) oder vorher Zweifaktor-Authentifizierung (2FA) bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Wenn ein Angreifer sich mit einer beliebige Methode ein Passwort eines Benutzers verschafft, blockiert MFA die Authentifizierung, indem sie einen zusätzlichen Faktor anfordert, z. B. einen zeitlich ablaufenden Code aus einer mobilen App, ein physisches Token, ein biometrisches Merkmal usw.

Dieser Indicator of Exposure warnt Sie, wenn ein Konto keine registrierte MFA-Methode hat oder wenn Sie MFA erzwingen. ohne eine Methode zu registrieren. Letzteres kann Angreifern mit einem Passwort erlauben, ihre eigenen MFA-Methoden zu registrieren, und stellt ein Sicherheitsrisiko dar. Dieser Indicator of Exposure kann jedoch nicht darüber Auskunft geben, ob Microsoft Entra ID MFA erzwingt oder nicht, da Richtlinien für bedingten Zugriff die Verwendung von MFA in Abhängigkeit von dynamischen Kriterien erfordern können.

Sie können außerdem die Funktionen „Aktivität für Authentifizierungsmethoden“ und „MFA-Berichte“ in Entra ID verwenden.

Siehe auch den zugehörigen IoE „Fehlende MFA für privilegiertes Konto“ für privilegierte Konten.

Deaktivierte Benutzer werden ignoriert, da sie nicht unmittelbar von Angreifern missbraucht werden können, und außerdem aufgrund einer Einschränkung der Microsoft Graph-API, die einen falschen MFA-Status für deaktivierte Benutzer meldet.

Für alle gemeldeten Benutzer, auch für nicht privilegierte, müssen MFA-Methoden registriert und erzwungen werden, um ihren Schutz vor Passwortangriffen zu erhöhen.

Für Microsoft Entra ID bietet Microsoft eine Vorlage für Richtlinien für bedingten Zugriff namens Require MFA for all users. Diese Richtlinie fordert Benutzer zum Registrieren einer MFA-Methode auf, wenn sie sich nach der MFA-Erzwingung zum ersten Mal authentifizieren. Wir empfehlen, die Anweisungen in der Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen. Insbesondere wenn Sie hybride Identitätslösungen wie Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung verwenden, müssen Sie das zugehörige Dienstkonto aus der Richtlinie ausschließen, da es die Richtlinie für bedingten Zugriff nicht erfüllen kann. Verwenden Sie die Aktion „Benutzer ausschließen“ und schließen Sie die Dienstkonten entweder direkt aus oder aktivieren Sie die Option „Verzeichnisrollen“ und wählen Sie die Rolle „Verzeichnissynchronisierungskonten“ aus.

Weitere Informationen zu Microsoft Entra MFA finden Sie in diesem Abschnitt der Dokumentation zur Microsoft Entra-Authentifizierung (siehe auch verwandte Seiten).

Name: Fehlende MFA für nicht-privilegiertes Konto

Codename: MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure