Microsoft 365 MFA einrichten – Schritt-für-Schritt
Multi-Faktor-Authentifizierung (MFA) ist der effektivste Schutz gegen Kontoübernahmen. 99,9% aller Kontoübernahme-Angriffe können durch MFA verhindert werden. In Microsoft 365 lässt sie sich einfach einrichten.
Für Administratoren: MFA aktivieren
Option A: Security Defaults aktivieren (einfachste Methode)
- admin.microsoft.com → Azure Active Directory Admin Center
- Azure Active Directory → Eigenschaften
- Unten: "Sicherheitsstandardwerte verwalten"
- "Sicherheitsstandardwerte aktivieren" auf Ja stellen
- Speichern
Security Defaults erzwingen MFA für alle Benutzer und blockieren Legacy-Authentifizierung.
Option B: MFA für einzelne Benutzer aktivieren
- admin.microsoft.com → Benutzer → Aktive Benutzer
- Oben: Multi-Faktor-Authentifizierung
- Benutzer auswählen → Aktivieren
Option C: Bedingter Zugriff (Conditional Access) – empfohlen für Unternehmen
Azure AD → Sicherheit → Bedingter Zugriff → Neue Richtlinie
Richtlinie: "Alle Benutzer → Alle Cloud-Apps → MFA erforderlich"
Ausnahmen möglich für:
- Vertrauenswürdige IP-Adressen (z.B. Büronetz)
- Bestimmte Geräte (Intune-verwaltet)
- Bestimmte Benutzergruppen
Für Benutzer: MFA einrichten
Schritt 1: Aufforderung beim Anmelden
Beim nächsten Anmelden erscheint: "Weitere Informationen erforderlich" → Weiter
Schritt 2: Authenticator App einrichten (empfohlen)
- Auf dem Smartphone: Microsoft Authenticator App installieren (kostenlos)
- Im Browser: QR-Code scannen
- App → "Konto hinzufügen" → "Geschäfts- oder Schulkonto"
- Kamera auf QR-Code richten
- Test-Bestätigung durchführen
Schritt 3: Alternative – SMS einrichten
- "Ich möchte eine andere Methode einrichten" → Telefon
- Handynummer eingeben
- Bestätigungscode per SMS eingeben
MFA-Methoden im Vergleich
| Methode | Sicherheit | Benutzerfreundlichkeit |
|---|---|---|
| Authenticator App (Push) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| TOTP (Zeitbasierter Code) | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| SMS | ⭐⭐⭐ | ⭐⭐⭐⭐ |
| Hardware-Token (FIDO2) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
| E-Mail (OTP) | ⭐⭐ | ⭐⭐⭐ |
Empfehlung: Microsoft Authenticator mit Push-Benachrichtigungen.
FAQ
Was tun, wenn das MFA-Gerät verloren geht?
Admin kann MFA für den Benutzer zurücksetzen:
- admin.microsoft.com → Benutzer → Benutzer auswählen → MFA zurücksetzen
Kann ich MFA für einzelne Apps deaktivieren?
Mit Conditional Access: Ja. Zum Beispiel: für Benutzer im Büronetz (bekannte IP) kein MFA erforderlich.
Ist SMS-MFA sicher genug für Unternehmen?
SMS-MFA ist besser als kein MFA, aber anfällig für SIM-Swapping. Für Unternehmen empfehlen wir Authenticator App oder FIDO2-Keys.
IT-Sicherheit in Heidelberg
MFA einrichten, Conditional Access konfigurieren oder Microsoft 365 Security-Audit? SeeColors IT berät und implementiert IT-Sicherheitslösungen für Unternehmen in Heidelberg, Mannheim und dem Rhein-Neckar-Kreis.
➡️ Sicherheits-Beratung anfragen | ☎ +49 170 403 9558