Mit der Authenticator App an M365 oder Azure AD ohne Kennwort anmelden


    Tags: , ,

    MFA oder kennwortlos mit Microsoft Authenticator App anmeldenIn der Cloud ist eine sichere Authen­tifizierung unerlässlich. Eine reine Anmeldung mit Benutzer­name und Pass­wort erfüllt diese Anfor­derung nicht. Dieses simple Verfahren lässt sich mittels MFA ab­sichern oder durch kenn­wortlose Methoden ersetzen. Azure AD unterstützt mehrere davon, darunter auch die Authenticator App.

    Für Nutzer im Azure Active Directory empfiehlt Microsoft die kenn­wortlose Authenti­fizierung mittels Windows Hello, FIDO2-Sicherheits­schlüssel oder der Microsoft Authenticator-App. Anwender können sich zwar auch mit Benutzername und Passwort anmelden, sollten das aber unbedingt in Kom­bination mit MFA tun.

    Folgende Abbildung zeigt Microsofts Hierarchie der sicheren Anmelde­verfahren:

    Die Stärke der verschiedenen Azure-Authentifizierungsmethoden nach Einschätzung von Microsoft

    Wie man sieht, lässt sich die Authenticator App sowohl für die primäre Authentifizierung (zum Beispiel "kennwortlos") als auch für die sekundäre Authentifizierung (für Self-Service Password Reset (SSPR) oder MFA) verwenden. Folgende Tabelle von Microsoft gibt Auskunft über mögliche Kombi­nationen:

    Methode Primäre Authentifizierung Sekundäre Authentifizierung
    Windows Hello for Business Ja MFA
    Microsoft Authenticator-App Ja MFA und SSPR
    FIDO2-Sicherheitsschlüssel Ja MFA
    OATH-Hardwaretoken (Vorschau) Nein MFA und SSPR
    OATH-Softwaretoken Nein MFA und SSPR
    SMS Ja MFA und SSPR
    Anruf Nein MFA und SSPR
    Kennwort Ja  

    Kombinierte Sicherheitsinformationen konfigurieren

    Microsoft empfiehlt die so genannte kombinierte Registrierung von Sicherheits­informationen, um das Onboarding zu vereinfachen. Sie legt die möglichen Verfahren zur Authentifizierung einheitlich für MFA und Self-Service Password Reset (SSPR) fest.

    Um diese zu aktivieren, müssen Sie als globaler Administrator im Azure-AD-Blade des Azure-Portals auf Benutzer­einstellungen klicken und dann ganz unten dem Link bei Benutzerfeatures => Einstellungen für Benutzerfeatures verwalten folgen.

    Hier muss der Schieber für Benutzer können die Registrierungs­funktion für kombinierte Sicherheits­informationen verwenden (neue Mandanten werden automatisch aktiviert) auf Alle setzen.

    Anmeldung per Authenticator aktivieren

    Um die kenn­wortlose Authen­tifizierung mit dem Authenticator zu verwenden, wechseln Sie nun im Azure-AD-Blade zu Sicherheit => Authentifizierungs­methoden => Richtlinie und folgen dem Link Microsoft Authenticator.

    Setzen Sie dann im Abschnitt Basics den Schieber Aktivieren auf Ja und wählen bei Ziel wahlweise Alle Benutzer oder Benutzer auswählen. Mit einem Klick auf die 3 Punkte rechts können Sie dann auch den Authenti­fizierungs­modus (Push bzw. Kennwortlos) konfigurieren.

    Das Einrichten des Authentifizierungsmodus für Microsoft Authenticator

    Anmeldemethode vom Benutzer auswählen lassen

    Anschließend kann der betreffende Benutzer die gewünschte Sicherheits­methode in seinem Konto hinzufügen. Dazu meldet er sich bei seinem Cloud-Konto an und klickt bei Sicherheitsinformationen auf Informationen aktualisieren.

    Hat er sich dazu noch einmal authentifiziert, dann kann er mit Anmeldemethode hinzufügen und der Auswahl des Eintrages Authenticator zunächst dafür sorgen, dass er die Authenticator App zur Anmeldung verwenden kann.

    Auswählen einer konfigurierten Authentifizierungsmethode für Cloud-Benutzer in Kontoprofil.

    Smartphone registrieren

    Möchte ein Cloud-Benutzer die Authenticator App für die kenn­wortlose Authentifizierung verwenden, dann muss sein Smartphone als Device im Azure AD registriert sein.

    Um das zu erreichen, fügt er das entsprechende Cloud-Konto seiner App hinzu, am einfachsten mittels QR-Codes.

    Das Einrichten eines Kontos im Microsoft-Authenticator erfolgt über einen QR-Code.

    Existiert das Azure-AD-Konto in der Authenticator-App, dann kann der Nutzer dort die Option Anmeldung per Telefon einrichten (Ohne Kennwort anmelden) auswählen.

    Kennwortlose Authentifizierung in der Authenticator-App unter Android aktivieren

    Anschließend sollte das Gerät als Azure AD registered in Geräteverwaltung des Azure AD auftauchen.

    Das Smartphone mit der Authenticator App muss im Azure AD registriert sein.

    Natürlich lässt sich ein Gerät nur von genau einem Benutzer im Azure AD registrieren. Dieser kann sich fortan zum Beispiel kennwortlos beim Azure-Portal, im Applikations-Portal oder unter Microsoft 365 authentifizieren.

    Dazu muss er beim nächsten Anmeldeversuch die im Logon-Dialog angezeigte Zahl in seine Authenticator-App eintippen und anschließend seine Identität mittels Smartphones über ein biometrisches Verfahren wie Finger­abdruck­sensor oder FaceID beweisen.

    Authentifiziert sich ein Benutzer von einem Windows-Gerät aus, das sich im Besitz des Unternehmens befindet, lässt sich dafür auch dessen Hello-Support nutzen.

    Kennwortlose Authentifizierung eines Cloud-Benutzers mittels App

    Fazit

    Die kennwortlose Anmeldung ist für reine Cloud-Benutzer ziemlich einfach einzurichten.  Microsoft bietet dafür mehrere Optionen, neben FIDO2-Sicherheits­schlüsseln, Windows Hello for Business oder der zertifikats­basierten Authentifizierung zählt dazu auch die Anmeldung per Authenticator App.

    Sobald der Administrator die App als Verfahren freigeschaltet hat, kann der Benutzer dieses über sein Konto auswählen. Soll die App für die kennwortlose Authentifizierung genutzt werden, dann muss man das betreffende Gerät dafür im Azure AD registrieren.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Verwandte Beiträge

    Weitere Links