Mit der Authenticator App an M365 oder Azure AD ohne Kennwort anmelden


    Tags: , ,

    MFA oder kennwortlos mit Microsoft Authenticator App anmeldenIn der Cloud ist eine sichere Authen­tifizierung unerlässlich. Eine reine Anmeldung mit Benutzer­name und Pass­wort erfüllt diese Anfor­derung nicht. Dieses simple Verfahren lässt sich mittels MFA ab­sichern oder durch kenn­wortlose Methoden ersetzen. Azure AD unterstützt mehrere davon, darunter auch die Authenticator App.

    Für Nutzer im Azure Active Directory empfiehlt Microsoft die kenn­wortlose Authenti­fizierung mittels Windows Hello, FIDO2-Sicherheits­schlüssel oder der Microsoft Authenticator-App. Anwender können sich zwar auch mit Benutzername und Passwort anmelden, sollten das aber unbedingt in Kom­bination mit MFA tun.

    Folgende Abbildung zeigt Microsofts Hierarchie der sicheren Anmelde­verfahren:

    Die Stärke der verschiedenen Azure-Authentifizierungsmethoden nach Einschätzung von Microsoft

    Wie man sieht, lässt sich die Authenticator App sowohl für die primäre Authentifizierung (zum Beispiel "kennwortlos") als auch für die sekundäre Authentifizierung (für Self-Service Password Reset (SSPR) oder MFA) verwenden. Folgende Tabelle von Microsoft gibt Auskunft über mögliche Kombi­nationen:

    Methode Primäre Authentifizierung Sekundäre Authentifizierung
    Windows Hello for Business Ja MFA
    Microsoft Authenticator-App Ja MFA und SSPR
    FIDO2-Sicherheitsschlüssel Ja MFA
    OATH-Hardwaretoken (Vorschau) Nein MFA und SSPR
    OATH-Softwaretoken Nein MFA und SSPR
    SMS Ja MFA und SSPR
    Anruf Nein MFA und SSPR
    Kennwort Ja  

    Kombinierte Sicherheitsinformationen konfigurieren

    Microsoft empfiehlt die so genannte kombinierte Registrierung von Sicherheits­informationen, um das Onboarding zu vereinfachen. Sie legt die möglichen Verfahren zur Authentifizierung einheitlich für MFA und Self-Service Password Reset (SSPR) fest.

    Um diese zu aktivieren, müssen Sie als globaler Administrator im Azure-AD-Blade des Azure-Portals auf Benutzer­einstellungen klicken und dann ganz unten dem Link bei Benutzerfeatures => Einstellungen für Benutzerfeatures verwalten folgen.

    Hier muss der Schieber für Benutzer können die Registrierungs­funktion für kombinierte Sicherheits­informationen verwenden (neue Mandanten werden automatisch aktiviert) auf Alle setzen.

    Anmeldung per Authenticator aktivieren

    Um die kenn­wortlose Authen­tifizierung mit dem Authenticator zu verwenden, wechseln Sie nun im Azure-AD-Blade zu Sicherheit => Authentifizierungs­methoden => Richtlinie und folgen dem Link Microsoft Authenticator.

    Setzen Sie dann im Abschnitt Basics den Schieber Aktivieren auf Ja und wählen bei Ziel wahlweise Alle Benutzer oder Benutzer auswählen. Mit einem Klick auf die 3 Punkte rechts können Sie dann auch den Authenti­fizierungs­modus (Push bzw. Kennwortlos) konfigurieren.

    Das Einrichten des Authentifizierungsmodus für Microsoft Authenticator

    Anmeldemethode vom Benutzer auswählen lassen

    Anschließend kann der betreffende Benutzer die gewünschte Sicherheits­methode in seinem Konto hinzufügen. Dazu meldet er sich bei seinem Cloud-Konto an und klickt bei Sicherheitsinformationen auf Informationen aktualisieren.

    Hat er sich dazu noch einmal authentifiziert, dann kann er mit Anmeldemethode hinzufügen und der Auswahl des Eintrages Authenticator zunächst dafür sorgen, dass er die Authenticator App zur Anmeldung verwenden kann.

    Auswählen einer konfigurierten Authentifizierungsmethode für Cloud-Benutzer in Kontoprofil.

    Smartphone registrieren

    Möchte ein Cloud-Benutzer die Authenticator App für die kenn­wortlose Authentifizierung verwenden, dann muss sein Smartphone als Device im Azure AD registriert sein.

    Um das zu erreichen, fügt er das entsprechende Cloud-Konto seiner App hinzu, am einfachsten mittels QR-Codes.

    Das Einrichten eines Kontos im Microsoft-Authenticator erfolgt über einen QR-Code.

    Existiert das Azure-AD-Konto in der Authenticator-App, dann kann der Nutzer dort die Option Anmeldung per Telefon einrichten (Ohne Kennwort anmelden) auswählen.

    Kennwortlose Authentifizierung in der Authenticator-App unter Android aktivieren

    Anschließend sollte das Gerät als Azure AD registered in Geräteverwaltung des Azure AD auftauchen.

    Das Smartphone mit der Authenticator App muss im Azure AD registriert sein.

    Natürlich lässt sich ein Gerät nur von genau einem Benutzer im Azure AD registrieren. Dieser kann sich fortan zum Beispiel kennwortlos beim Azure-Portal, im Applikations-Portal oder unter Microsoft 365 authentifizieren.

    Dazu muss er beim nächsten Anmeldeversuch die im Logon-Dialog angezeigte Zahl in seine Authenticator-App eintippen und anschließend seine Identität mittels Smartphones über ein biometrisches Verfahren wie Finger­abdruck­sensor oder FaceID beweisen.

    Authentifiziert sich ein Benutzer von einem Windows-Gerät aus, das sich im Besitz des Unternehmens befindet, lässt sich dafür auch dessen Hello-Support nutzen.

    Kennwortlose Authentifizierung eines Cloud-Benutzers mittels App

    Fazit

    Die kennwortlose Anmeldung ist für reine Cloud-Benutzer ziemlich einfach einzurichten.  Microsoft bietet dafür mehrere Optionen, neben FIDO2-Sicherheits­schlüsseln, Windows Hello for Business oder der zertifikats­basierten Authentifizierung zählt dazu auch die Anmeldung per Authenticator App.

    Sobald der Administrator die App als Verfahren freigeschaltet hat, kann der Benutzer dieses über sein Konto auswählen. Soll die App für die kennwortlose Authentifizierung genutzt werden, dann muss man das betreffende Gerät dafür im Azure AD registrieren.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links