Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: 
Externe Mandanten (weitere Informationen)
Mit der nativen Authentifizierung von Microsoft Entra können Sie die volle Kontrolle über die Gestaltung des Anmeldevorgangs Ihrer mobilen und Desktop-Anwendung haben. Im Gegensatz zu browserbasierten Lösungen können Sie mit der nativen Authentifizierung visuell ansprechende, pixelgenaue Authentifizierungsbildschirme erstellen, die nahtlos in die Benutzeroberfläche Ihrer App integriert werden. Mit diesem Ansatz können Sie die Benutzeroberfläche u. a. mit Designelementen, Logoplatzierung und Layout vollständig anpassen, um ein einheitliches Branding sicherzustellen.
Der standardmäßige Anmeldevorgang für Apps, der auf einer vom Browser delegierten Authentifizierung beruht, führt häufig zu einem unterbrechenden Übergang während der Authentifizierung. Benutzer werden zur Authentifizierung zunächst vorübergehend zu einem Systembrowser weitergeleitet und dann nach Abschluss des Anmeldeprozesses zurück zur App geleitet.
Während die browserdelegierte Authentifizierung Vorteile bietet, z. B. reduzierte Angriffsvektoren und Unterstützung für einmaliges Anmelden (Single Sign-On, SSO), bietet sie eingeschränkte Anpassungsoptionen für die Benutzeroberfläche.
Verfügbare Authentifizierungsmethoden
Derzeit unterstützt die native Authentifizierung den lokalen Kontoidentitätsanbieter für zwei Authentifizierungsmethoden:
- Anmeldung mit per Email gesendetem Einmal-Passcode (OTP)
- Anmeldung mit E-Mail- und Kennwort mit Unterstützung für die Self-Service-Kennwortzurücksetzung (SSPR)
Die native Authentifizierung unterstützt noch keine Verbundidentitätsanbieter wie Social-Media- oder Unternehmensidentitäten.
Anwendungsszenarien für die native Authentifizierung
Wenn es um die Implementierung der Authentifizierung für mobile und Desktop-Apps auf External ID geht, haben Sie zwei Möglichkeiten:
- Von Microsoft gehostete browserdelegierte Authentifizierung.
- Vollständig benutzerdefinierte, SDK-basierte native Authentifizierung.
Der gewählte Ansatz hängt von den spezifischen Anforderungen Ihrer App ab. Obwohl jede App über eigene Authentifizierungsanforderungen verfügt, gibt es einige allgemeine Überlegungen, die Sie berücksichtigen sollten. Unabhängig davon, ob Sie systemeigene Authentifizierung oder browserdelegierte Authentifizierung auswählen, unterstützt Microsoft Entra External ID beide.
In der folgenden Tabelle werden die beiden Authentifizierungsmethoden verglichen, um eine Entscheidungshilfe für die richtige Option für Ihre App zu bieten.
| Browserdelegierte Authentifizierung | Native Authentifizierung | |
|---|---|---|
| Authentifizierungsvorgang für Benutzer | Benutzer werden für die Authentifizierung zunächst zu einem Systembrowser oder eingebetteten Browser weitergeleitet und dann nach Abschluss des Anmeldeprozesses zurück zur App geleitet. Diese Methode wird empfohlen, wenn sich die Umleitung nicht negativ auf die Endbenutzererfahrung auswirkt. | Die Benutzer haben eine umfassende, native Anmelde- und Anmeldeerfahrung, ohne die App zu verlassen. |
| Anpassungserlebnis | Verwaltete Branding- und Anpassungsoptionen sind als sofort einsatzbereite Funktion verfügbar. | Dieser API-zentrierte Ansatz bietet ein hohes Maß an Anpassung, umfassende Flexibilität beim Entwurf und die Möglichkeit, maßgeschneiderte Interaktionen und Abläufe zu erstellen. |
| Anwendbarkeit | Er ist geeignet für Mitarbeiter-, B2B- und B2C-Apps und kann für native Apps, Single-Page-Webanwendung und Web-Apps verwendet werden. | Bei Erstanbieter-Apps für Kunden, wenn ein und dieselbe Entität den Autorisierungsserver und die App betreibt und Benutzende beide als ein und dieselbe Entität wahrnehmen. |
| Aufwand für Inbetriebnahme | Niedrig. Kann direkt aus der Verpackung verwendet werden. | Hoch. Der Entwickler erstellt, besitzt und verwaltet die Authentifizierung. |
| Wartungsaufwand | Niedrig. | Hoch. Für jedes Feature, das Microsoft veröffentlicht, müssen Sie das SDK aktualisieren, um es zu verwenden. |
| Security | Die sicherste Option. | Die Sicherheitsverantwortung wird mit Entwicklern geteilt, und bewährte Methoden müssen befolgt werden. Anfällig für Phishingangriffe. |
| Unterstützte Sprachen und Frameworks |
|
|
Verfügbarkeit von Funktionen
Die folgende Tabelle zeigt die Verfügbarkeit von Features für die native und browserdelegierte Authentifizierung.
| Browserdelegierte Authentifizierung | Native Authentifizierung | |
|---|---|---|
| Registrieren und Anmelden mit einmaler E-Mail-Kennung (OTP) | ✔️ | ✔️ |
| Registrieren und Anmelden mit E-Mail und Kennwort | ✔️ | ✔️ |
| Anmelden mit E-Mail und Kennwort kann Benutzernamen (Alias) und Kennwort verwenden | ✔️ | ✔️ |
| Self-Service-Kennwortzurücksetzung(Self-Service Password Reset, SSPR) | ✔️ | ✔️ |
| Anbieter von benutzerdefinierten Ansprüchen | ✔️ | ✔️ |
| Multi-Faktor-Authentifizierung mit Einmal-Passcode (OTP) per E-Mail | ✔️ | ✔️ |
| Mehrstufige Authentifizierung mit einmaliger SMS-Kennung (OTP) | ✔️ | ✔️ |
| Social-Identity-Provider-Anmeldung | ✔️ | ❌ |
| Einmaliges Anmelden (Single Sign-On, SSO) | ✔️ | ❌ |
So aktivieren Sie die native Authentifizierung
Überprüfen Sie zunächst die Richtlinien für die Verwendung der systemeigenen Authentifizierung. Führen Sie dann eine interne Diskussion mit der unternehmensbesitzenden Person, dem Designer- und Entwicklungsteam Ihrer Anwendung, um festzustellen, ob eine native Authentifizierung erforderlich ist.
Wenn Ihr Team feststellt, dass die systemeigene Authentifizierung für Ihre Anwendung erforderlich ist, führen Sie die folgenden Schritte aus, um die systemeigene Authentifizierung im Microsoft Entra Admin Center zu aktivieren:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Navigieren Sie zu App registrations und wählen Sie die App-Registrierung aus, für die Sie öffentliche Client- und systemeigene Authentifizierungsflüsse aktivieren möchten.
- Wählen Sie unter Verwalten die Option Authentifizierung aus.
- Aktivieren Sie unter Erweiterte Einstellungen die Option zum Zulassen öffentlicher Clientflows:
- Wählen Sie für Folgende Mobilgerät- und Desktopflows aktivieren die Option Ja aus.
- Wählen Sie für Native Authentifizierung aktivieren die Option Ja aus.
- Klicken Sie auf die Schaltfläche Speichern.
Aktualisieren Ihres Konfigurationscodes
Nachdem Sie die systemeigenen Authentifizierungs-APIs im Admin Center aktiviert haben, müssen Sie den Konfigurationscode Ihrer Anwendung dennoch aktualisieren, um systemeigene Authentifizierungsflüsse für Android oder iOS/macOS zu unterstützen. Dazu müssen Sie das Feld „Aufforderungstyp“ zu Ihrer Konfiguration hinzufügen. Abfragetypen sind eine Liste der Werte, die die App verwendet, um Microsoft Entra über die von ihr unterstützte Authentifizierungsmethode zu benachrichtigen. Weitere Informationen zu systemeigenen Authentifizierungsabfragetypen finden Sie in systemeigenen Authentifizierungsabfragetypen. Wenn die Konfiguration nicht aktualisiert wird, um systemeigene Authentifizierungskomponenten zu integrieren, können die systemeigenen Authentifizierungs-SDKs und APIs nicht verwendet werden.
Risiko der Aktivierung der nativen Authentifizierung
Die systemeigene Authentifizierung von Microsoft Entra unterstützt das einmalige Anmelden (Single Sign-On, SSO) nicht, und die Verantwortung für die Gewährleistung der Sicherheit der App liegt bei Ihrem Entwicklungsteam.
So verwenden Sie die native Authentifizierung
Sie können Apps erstellen, die native Authentifizierung verwenden, indem Sie unsere nativen Authentifizierungs-APIs oder das Microsoft Authentication Library (MSAL)-SDK für Android, iOS, macOS und Webanwendungen verwenden. Wir empfehlen, möglichst MSAL zum Hinzufügen der nativen Authentifizierung zu Ihren Apps zu verwenden.
Weitere Informationen zu systemeigenen Authentifizierungsbeispielen und Lernprogrammen finden Sie in der folgenden Tabelle:
| Sprache/ Plattform |
Schnellstart | Anleitung zur Implementierung und Integration |
|---|---|---|
| Android (Kotlin) | • Anmelden von Benutzern | • Anmelden von Benutzern |
| iOS (Swift) | • Anmelden von Benutzern | • Anmelden von Benutzern |
| macOS (Swift) | • Anmelden von Benutzern | • Anmelden von Benutzern |
| React (Next.js) | • Schnellstart | • Tutorials |
| Angular | • Schnellstart | • Tutorials |
Wenn Sie planen, eine mobile App in einem Framework zu erstellen, das derzeit von MSAL nicht unterstützt wird, können Sie unsere Authentifizierungs-API verwenden. Weitere Informationen finden Sie in der Referenz zur nativen Authentifizierungs-API.