Tags: Authentifizierung, Azure, Active Directory
Viele Unternehmen überlegen, wie sie auf die Authentifizierung mittels Kennwort verzichten können. Wenn sie Azure Active Directory (Azure AD) nutzen, dann haben sie einige alternative Methoden für eine passwortlose Anmeldung. Dazu gehören etwa die zertifikatbasierte Authentifizierung oder die Verwendung eines FIDO2-Security-Schlüssels.
Das Hinzufügen eines weiteren Faktors erhöht ohne Zweifel die Sicherheit der Authentifizierung mittels Passwort. Allerdings verlangt MFA vom Benutzer einen zusätzlichen Schritt, so dass dieses Verfahren umständlich sein kann. Darüber hinaus muss er sich immer noch das Passwort für sein Konto merken.
Die passwortlose Anmeldung ist dagegen wesentlich bequemer. Die Benutzer authentifizieren sich mit etwas, das sie haben und etwas, das sie sind oder wissen. Als Faktoren kommen zu Beispiel in Frage:
- Etwas, das Sie haben: Ein Windows 10- oder 11-Gerät, Telefon oder einen Sicherheitsschlüssel
- Etwas, das Sie sind oder wissen: Biometrischer Scanner oder PIN
Microsoft Azure Active Directory bietet aktuell drei Optionen für die kennwortlose Authentifizierung:
- Windows Hello for Business: Es ersetzt die Authentifizierung mit Benutzername und Kennwort durch eine solche, die auf einem asymmetrischen Schlüsselpaar basiert.
- Microsoft Authenticator App: Sie nutzt die schlüsselbasierte Authentifizierung, um Anmeldedaten zu aktivieren, die an ein Gerät gebunden sind, wobei das Gerät dafür eine PIN oder ein biometrisches Merkmal verwendet.
- FIDO2-Sicherheitsschlüssel: Er eignet sich besonders als Lösung für Unternehmen, deren PCs von mehreren Mitarbeitern verwendet werden, weil sich diese damit ohne Eingabe eines Benutzernamens authentifizieren können.
Funktionsweise der Anmeldung mit FIDO2
FIDO2-Keys ermöglichen eine schnelle Anmeldung an Betriebssystemen, Anwendungen und Services. Der für die Authentifizierung notwendige Austausch von Nachrichten wird mit dem privaten Schlüssel signiert, welcher auf dem FIDO2-Device gespeichert ist. Dieser kann mit einem biometrischen Merkmal oder einer PIN entsperrt werden.
Er wird mit dem öffentlichen Schlüssel, der in Azure Active Directory hinlegt ist, validiert. Azure AD sendet dann ein Token oder einen Sitzungs-Cookie an das Gerät, um die erfolgreiche Authentifizierung und der Identität des Users zu bestätigen.
Nach dem Einstecken des Schlüssels und der Auswahl des Kontos auf dem Schlüssel erhält der Benutzer den Zugriff auf die Ressourcen, für die er berechtigt ist.
FIDO2-Authentifizierung in Azure Active Directory einrichten
Navigieren Sie im Azure-Portal zu Azure Active Directory => Security => Authentication methods => Policies und klicken auf FIDO2 Security Key. Hier können Sie die Methode für die Authentifizierung aktivieren und auswählen, für wen sie gelten soll.
FIDO2-Key durch die Benutzer aktivieren
Schauen wir uns nun an, wie ein FIDO2-aktivierter Benutzer seinen Schlüssel für die Verwendung mit Azure Active Directory konfiguriert. Zu diesem Zweck besucht er die Seite unter https://aka.ms/mysecurityinfo. und klickt auf Add method.
Anschließend wählt man den Sicherheitsschlüssel, wobei man sich zwischen USB und NFC entscheiden kann.
Im nächsten Schritt müssen Sie den Sicherheitsschlüssel berühren.
Erstellen Sie danach eine PIN, die Sie mit dem Sicherheitsschlüssel verknüpfen.
Abschließend muss man einen Namen für den FIDO2-Key vergeben. Dessen Konfiguration sollte nun erfolgreich beendet sein.
Fazit
Die kennwortlose Authentifizierung ist ein wichtiger Beitrag, um Unbefugten den Zugriff auf Konten zu verwehren und den Diebstahl von Identitäten zu verhindern. Azure Active Directory unterstützt dafür mehrere Verfahren, darunter FIDO2-Sicherheitsschlüssel.
FIDO2 bietet eine starke öffentlich-private Schlüsselauthentifizierung, die etwas, das Sie besitzen, mit etwas, das Sie wissen bzw. sind, kombiniert. Wie gezeigt, ist es relativ einfach, die FIDO2-Authentifizierung in Azure Active Directory zu aktivieren, und der Anmeldeprozess stellt sich aus der Sicht des Benutzers unkompliziert dar.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
Weitere Links