Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards


    Tags: , , ,

    Azure AD Certificate-based Authentication Das Azure Active Directory unter­stützt mehrere Ver­fahren zur Anmeldung, die ohne Passwort aus­kommen. Eines davon ist die Certificate-based Authen­tication (CBA), die aktuell als Preview vorliegt. Vor ihrer finalen Freigabe beseitigte Microsoft noch einige Einschränkungen, darunter die fehlende Unter­stützung für Smartcards.

    Es ist erklärtes Ziel von Microsoft, die bloße Anmeldung mit Benutzername und Kennwort weit­gehend zu verbannen. Neben der Absicherung dieser simplen Authenti­fizierung durch MFA bietet der Hersteller für Azure AD mehrere Verfahren an, die kein Passwort benötigen:

    • Windows Hello for Business
    • Authenticator App
    • FIDO2
    • zertifikatbasierte Authentifizierung

    Die neuste davon ist CBA. Sie befindet sich aktuell noch in einer Public Preview und wies bis vor kurzem einige gravierende Einschränkungen auf. Microsoft reagierte nun mit der Ankündigung weiterer Features:

    • Bei der Anmeldung an Windows 11 (22H2) können sich Benutzer mit den X.509-Zertifikaten auf ihren Smartcards direkt gegen Azure AD (AAD) authentifizieren.
    • Sind die Endgeräte Mitglied im AAD (entweder direkt oder über eine hybride Konfiguration mit einem On-prem-AD), dann können die User dank SSO sofort auf alle Anwendungen zugreifen, die mit dem AAD integriert sind.
    • CBA unterstützt nun auch mobile Geräte (Android und iOS), und zwar dort sowohl die nativen Web-Browser (Chrome bzw. Safari) als auch mehrere Microsoft-Apps (darunter Teams, Office mobile, OneDrive oder Outlook). Die benötigten Zertifikate müssen über ein MDM wie Intune auf die Geräte geladen werden.

    Neues gibt es auch für die Verwaltung dieses Features. Admins müssen nun nicht mehr auf PowerShell zurückgreifen, um die Zertifikate in das Azure AD hochzuladen. Vielmehr lässt sich das nun über das Azure Portal erledigen.

    Die Zertifikate für CBA lassen sich nun direkt in das Azure Portal hochladen und dort verwalten.

    Die Web-Konsole unterstützt das Hochladen von Root-CAs und allen Zwischen­zertifikaten, die man dort nachher einsehen oder löschen kann. Zudem lässt sich die Gültigkeit der Zertifikate dort anhand des Ablaufdatums leicht verifizieren.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links