Mit FIDO2 an Azure Active Directory anmelden

Die passwortlose Anmeldung ist dagegen wesentlich bequemer. Die Benutzer authentifizieren sich mit etwas, das sie haben und etwas, das sie sind oder wissen. Als Faktoren kommen zu Beispiel in Frage:

• Etwas, das Sie haben: Ein Windows 10- oder 11-Gerät, Telefon oder einen Sicherheits­schlüssel
• Etwas, das Sie sind oder wissen: Biometrischer Scanner oder PIN

Microsoft Azure Active Directory bietet aktuell drei Optionen für die kennwortlose Authentifizierung:

• Windows Hello for Business: Es ersetzt die Authentifizierung mit Benutzername und Kennwort durch eine solche, die auf einem asymmetrischen Schlüsselpaar basiert.
• Microsoft Authenticator App: Sie nutzt die schlüsselbasierte Authentifizierung, um Anmeldedaten zu aktivieren, die an ein Gerät gebunden sind, wobei das Gerät dafür eine PIN oder ein biometrisches Merkmal verwendet.
• FIDO2-Sicherheits­schlüssel: Er eignet sich besonders als Lösung für Unternehmen, deren PCs von mehreren Mitarbeitern verwendet werden, weil sich diese damit ohne Eingabe eines Benutzernamens authentifizieren können.

Funktionsweise der Anmeldung mit FIDO2

FIDO2-Keys ermöglichen eine schnelle Anmeldung an Betriebssystemen, Anwendungen und Services. Der für die Authentifizierung notwendige Austausch von Nachrichten wird mit dem privaten Schlüssel signiert, welcher auf dem FIDO2-Device gespeichert ist. Dieser kann mit einem biometrischen Merkmal oder einer PIN entsperrt werden.

Er wird mit dem öffentlichen Schlüssel, der in Azure Active Directory hinlegt  ist, validiert. Azure AD sendet dann ein Token oder einen Sitzungs-Cookie an das Gerät, um die erfolgreiche Authentifizierung und der Identität des Users zu bestätigen.

Nach dem Einstecken des Schlüssels und der Auswahl des Kontos auf dem Schlüssel erhält der Benutzer den Zugriff auf die Ressourcen, für die er berechtigt ist.

FIDO2-Authentifizierung in Azure Active Directory einrichten

Navigieren Sie im Azure-Portal zu Azure Active Directory => Security => Authentication methods => Policies und klicken auf FIDO2 Security Key. Hier können Sie die Methode für die Authentifizierung aktivieren und auswählen, für wen sie gelten soll.

FIDO2-Key durch die Benutzer aktivieren

Schauen wir uns nun an, wie ein FIDO2-aktivierter Benutzer seinen Schlüssel für die Verwendung mit Azure Active Directory konfiguriert. Zu diesem Zweck besucht er die Seite unter https://aka.ms/mysecurityinfo. und klickt auf Add method.

Anschließend wählt man den Sicherheitsschlüssel, wobei man sich zwischen USB und NFC entscheiden kann.

Im nächsten Schritt müssen Sie den Sicherheitsschlüssel berühren.

Erstellen Sie danach eine PIN, die Sie mit dem Sicherheitsschlüssel verknüpfen.

Abschließend muss man einen Namen für den FIDO2-Key vergeben. Dessen Konfiguration sollte nun erfolgreich beendet sein.

Fazit

Die kennwortlose Authentifizierung ist ein wichtiger Beitrag, um Unbefugten den Zugriff auf Konten zu verwehren und den Diebstahl von Identitäten zu verhindern. Azure Active Directory unterstützt dafür mehrere Verfahren, darunter FIDO2-Sicherheits­schlüssel.

FIDO2 bietet eine starke öffentlich-private Schlüssel­authentifizierung, die etwas, das Sie besitzen, mit etwas, das Sie wissen bzw. sind, kombiniert. Wie gezeigt, ist es relativ einfach, die FIDO2-Authentifizierung in Azure Active Directory zu aktivieren, und der Anmeldeprozess stellt sich aus der Sicht des Benutzers unkompliziert dar.