Fünf Wege zu MFA in Active Directory im Vergleich Multifaktor-Authentifizierung für privilegierte Active-Directory-Konten
Active Directory bildet den Kern vieler Identitätsinfrastrukturen, stellt aber keine native Multifaktor-Authentifizierung (MFA) für klassische Kennwortanmeldungen bereit. Der Schutz privilegierter Konten erfordert alternative Konzepte von Smartcard-Anmeldung über Endpunkt-Erweiterungen bis hin zu vorgelagerten Identitätskontrollen.
Active Directory liefert keine Bordmittel, die bei einer klassischen Domänenanmeldung mit Benutzername und Kennwort zusätzlich einen TOTP-Code, Push oder Hardware-Token abfragen. Damit bleibt MFA auf Domänenebene ohne zusätzliche Komponenten unerreichbar. Eine vollständige Microsoft-Umsetzung von MFA für interaktive Logons setzt eine Anmeldearchitektur voraus, die Entra ID als Kontrollpunkt nutzt. In hybriden Umgebungen laufen Identitäten weiterhin im lokalen Verzeichnis, die Anmeldeentscheidung und MFA-Durchsetzung wandern jedoch in Entra ID. Ohne diese Verlagerung bleibt nur Smartcard-Logon als Bordmittelpfad oder der Einsatz von Drittprodukten, die außerhalb von Active Directory zusätzliche Prüfungen erzwingen.
Smartcards als Bordmittel-MFA
Smartcard-Logon bildet den einzigen Bordmittelansatz, der eine echte Zwei-Faktor-Logik im Anmeldeprozess abbildet. Der Besitz der Karte oder des USB-Tokens liefert den ersten Faktor, also faktisch ein Zertifikat, das auf einem sicheren Speicher liegt, die PIN liefert den zweiten Faktor. Das Kennwort spielt in diesem Modell keine Rolle, da die Anmeldung auf Zertifikatsbasis erfolgt.
Melden Sie sich an oder registrieren Sie sich und lesen Sie weiter
Um diesen Artikel vollständig lesen zu können, müssen Sie registriert sein. Die kostenlose Registrierung bietet Ihnen Zugang zu exklusiven Fachinformationen.
Sie haben bereits ein Konto? Hier einloggen