Planen der mehrstufigen Authentifizierung für Office 365-Bereitstellungen

Bei der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) handelt es sich um eine Authentifizierungsmethode, bei der mehr als eine Überprüfungsmethode verwendet werden muss und Benutzeranmeldungen und Transaktionen eine zweite Sicherheitsebene hinzugefügt wird. Dabei sind mindestens zwei der folgenden Überprüfungsmethoden erforderlich:

  • Ein zufällig generierter Passcode

  • Ein Telefonanruf

  • Eine Smartcard (virtuell oder physisch)

  • Ein biometrisches Gerät

Mehrstufige Authentifizierung in Office 365

Office 365 verwendet die mehrstufige Authentifizierung, um zusätzliche Sicherheit zu bieten. Die Verwaltung erfolgt über das Office 365 Admin Center. Office 365 bietet die folgenden Azure Multi-Factor Authentication-Funktionen als Teil des Abonnements:

  • Die Möglichkeit zum Aktivieren und Erzwingen der mehrstufigen Authentifizierung für Endbenutzer

  • Die Verwendung einer mobilen App – online und mit Einmalkennwort (One-Time Password, OTP) – als zweiten Authentifizierungsfaktor

  • Die Verwendung eines Telefonanrufs als zweiten Authentifizierungsfaktor

  • Die Verwendung einer SMS als zweiten Authentifizierungsfaktor

  • Anwendungskennwörter für Nicht-Browser-Clients (z. B. die Microsoft Lync 2013-Kommunikationssoftware)

  • Microsoft-Standardbegrüßungen bei Authentifizierungstelefonanrufen

Die vollständige Liste der hinzugefügten Features finden Sie unter Funktionsweise von Azure Multi-Factor Authentication, Funktionsvergleich der Versionen. Wenn Sie den Azure Multi-Factor Authentication-Dienst erwerben, können Sie den vollen Funktionsumfang nutzen.

Sie erhalten jeweils unterschiedliche Funktionen, abhängig davon, ob Sie über eine Bereitstellung nur für die Cloud für Office 365 oder über eine hybride Einrichtung mit einmaligem Anmelden und Active Directory-Verbunddienste (AD FS) verfügen.

Wo verwalten Sie Ihre Office 365-Mandanten?

MFA-Optionen für den zweiten Authentifizierungsfaktor

Nur für die Cloud

Azure Active Directory MFA (Textnachricht oder Telefonanruf)

Hybride Einrichtung, lokal verwaltet

Wenn Sie Benutzeridentitäten lokal verwalten, sind die folgenden Optionen verfügbar:

  • Physische oder virtuelle Smartcard (AD FS)

  • Azure MFA (Modul für AD FS)

  • Azure AD MFA

Sie können auch eine der anderen MFA-Lösungen verwenden, die für Ihr lokales Verzeichnis angeboten werden. Andere Identitätsanbieter, die mit Azure AD-Verbund kompatibel sind, bieten z. B. möglicherweise verschiedene MFA-Lösungen an, die Sie gemäß den Spezifikationen des jeweiligen Identitätsanbieters verwalten können.

In der folgenden Abbildung wird veranschaulicht, wie die aktualisierten Office 2013-Geräte-Apps (unter Windows) Benutzern das Anmelden mit der MFA ermöglichen. Die Office 2013-Geräte-Apps unterstützen die mehrstufige Authentifizierung durch die Verwendung der Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL). Azure AD hostet eine Webseite, auf der sich Benutzer anmelden können. Der Identitätsanbieter kann Azure AD oder ein Verbundidentitätsanbieter wie AD FS sein. Bei der Authentifizierung für Verbundbenutzer werden die folgenden Schritte ausgeführt:

  1. Azure AD leitet den Benutzer zu der Anmeldewebseite weiter, die vom im Eintrag vermerkten Identitätsanbieter für den Office 365-Mandanten gehostet wird. Der Identitätsanbieter wird durch die im Anmeldenamen des Benutzers angegebene Domäne bestimmt.

  2. Der Benutzer meldet sich über sein Gerät auf der Anmeldeseite an.

  3. Wenn der Benutzer erfolgreich angemeldet wurde, gibt der Identitätsanbieter ein Token an Azure AD zurück.

  4. Azure AD gibt ein JSON-Webtoken (JWT) an die Office-Geräte-App zurück, und die Geräte-App wird mithilfe eines JWT mit Office 365 authentifiziert.

Dies wird in der folgenden Abbildung detailliert veranschaulicht:

Moderne Authentifizierung für Office 2013-Geräte-Apps

Softwareanforderungen

Zum Aktivieren der MFA für Office 2013-Client-Apps muss die folgende Software in Abhängigkeit davon installiert sein (die nachstehend aufgeführte oder eine höhere Version), ob Sie über eine Klick-und-Los-basierte Installation oder eine MSI-basierte Installation verfügen.

So ermitteln Sie, ob Ihre Office-Installation auf Klick-und-Los oder MSI basiert

  1. Starten Sie Outlook 2013.

  2. Wählen Sie im Menü Datei die Option Office-Konto aus.

  3. Für Klick-und-Los-Installationen von Outlook 2013 wird der Eintrag Updateoptionen angezeigt. Für MSI-basierte Installationen wird der Eintrag Updateoptionen nicht angezeigt.

    Grafik, die zeigt, wie Sie feststellen können, ob sich bei einer Office 2013-Installation um eine Klick-und-Los-Installation oder um eine MSI-basierte Installation handelt

Klick-und-Los-basierte Installationen

Für Klick-und-Los-basierte Installationen muss die folgende Software mit der unten aufgeführten oder einer höheren Dateiversion installiert sein. Wenn Ihre Dateiversion nicht der aufgeführten Dateiversion entspricht oder höher ist, aktualisieren Sie Ihre Version mithilfe der folgenden Schritte.

Dateiname

Installationspfad auf Ihrem Computer

Dateiversion

MSO.DLL

C:\Programme\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\MSO.DLL

15.0.4753.1001

CSI.DLL

CSI.DLL C:\Programme\Microsoft Office 15\root\office15\csi.dll

15.0.4753.1000

Groove.EXE

C:\Programme\Microsoft Office 15\root\office15\GROOVE.exe

15.0.4763.1000

Outlook.exe

C:\Programme\Microsoft Office 15\root\office15\OUTLOOK.exe

15.0.4753.1002

ADAL.DLL

C:\Programme\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\ADAL.DLL

1.0.2016.624

Iexplore.exe

C:\Programme\Internet Explorer

Variierend

MSI-basierte Installationen

Für MSI-basierte Installationen muss die folgende Software mit der unten aufgeführten oder einer höheren Dateiversion installiert sein. Wenn Ihre Dateiversion nicht der aufgeführten Dateiversion entspricht oder höher ist, aktualisieren Sie Ihre Version mithilfe des Links in der Spalte "KB-Artikel aktualisieren".

Dateiname

Installationspfad auf Ihrem Computer

Wo das Update abgerufen werden kann

Version

MSO.DLL

C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE15\MSO.DLL

KB3085480

15.0.4753.1001

CSI.DLL

C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE15\Csi.dll

KB3085504

15.0.4753.1000

Groove.exe

C:\Programme\Microsoft Office\Office15\GROOVE.EXE

KB3085509

15.0.4763.1000

Outlook.exe

C:\Programme\Microsoft Office\Office15\OUTLOOK.EXE

KB3085495

15.0.4753.1002

ADAL.DLL

C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE15\ADAL.DLL

KB3055000

1.0.2016.624

Iexplore.exe

C:\Programme\Internet Explorer

MS14-052

Nicht anwendbar

Aktivieren der MFA

Zum Aktivieren der MFA müssen Sie die folgenden Schritte ausführen:

  1. Aktivieren Sie die Clients für die moderne Authentifizierung:

  2. Einrichten der mehrstufigen Authentifizierung für Office 365

  3. Informieren Sie die einzelnen Benutzer darüber, wie sie sich über MFA anmelden: Anmelden bei Office 365 mit 2-Schritt-Überprüfung.

Wichtig : Wenn Sie Ihre Benutzer für Azure AD MFA aktiviert haben und die Benutzer Geräte mit Office 2013 nutzen, die nicht für die moderne Authentifizierung aktiviert sind, müssen die Benutzer auf diesen Geräten App-Kennwörter verwenden. Weitere Informationen zu App-Kennwörtern und deren Verwendung finden Sie hier: App-Kennwörter bei Azure Multi-Factor Authentication.

Häufig gestellte Fragen (FAQ)

Häufig gestellte Fragen zur modernen Authentifizierung (Wiki-Artikel)

Bekannte Probleme:   

Moderne Authentifizierung in Office 2013 und Office 365 ProPlus: Wichtige Informationen vor dem Onboarding

Beheben von Problemen bei der Azure Multi-Factor Authentication:   

Lesen Sie Problembehandlung bei der Azure Multi-Factor Authentication.

Behandlung von Anmeldeproblemen bei der modernen Authentifizierung in Office 2013 bei Verwendung von AD FS

Wenn alternative IDs nicht funktionieren:   

Verwenden von PowerShell zum Korrigieren von doppelten Benutzerprinzipalnamen (User Principal Name, UPN)

Skript zum Beheben von doppelten Benutzerprinzipalnamen (User Principal Name, UPN)

Clientzugriffsfilterung:   

Richtlinien für die moderne Authentifizierung und für die Clientzugriffsfilterung in Office 2013 und Office 365 ProPlus: Wichtige Informationen vor dem Onboarding

Welche Apps unterstützen MFA?   

Windows

Mac

iOS

Android-Smartphone

Android-Tablet

Die moderne Authentifizierung für Word 2013, Word 2016, Excel 2013, Excel 2016, PowerPoint 2013, PowerPoint 2016, OneNote 2013, OneNote 2016, Project 2013, Project 2016, Visio 2013, Visio 2016, Lync 2013 und Skype for Business wird in dieser Version unterstützt.

Die moderne Authentifizierung für Word 2016 für Mac, Excel 2016 für Mac und PowerPoint 2016 für Mac wird in dieser Version unterstützt.

Die moderne Authentifizierung für Word für iPad, Excel für iPad und PowerPoint für iPad wird in dieser Version unterstützt.

Die moderne Authentifizierung für Word für Android, Excel für Android und PowerPoint für Android wird in dieser Version unterstützt.

Die moderne Authentifizierung für Word für Android, Excel für Android und PowerPoint für Android wird in dieser Version unterstützt.

Die moderne Authentifizierung für Outlook 2013 und Outlook 2016 wird in dieser Version unterstützt.

Die moderne Authentifizierung für Outlook 2016 für Mac wird in dieser Version unterstützt.

Die moderne Authentifizierung für Outlook für iPad wird in dieser Version unterstützt.

Symbol für LinkedIn Learning Neu bei Office 365?
Entdecken Sie kostenlose Videokurse für Office 365-Administratoren und IT-Experten, bereitgestellt von LinkedIn Learning.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×