Tags: Azure, Active Directory, Authentifizierung
In der Cloud ist eine sichere Authentifizierung unerlässlich. Eine reine Anmeldung mit Benutzername und Passwort erfüllt diese Anforderung nicht. Dieses simple Verfahren lässt sich mittels MFA absichern oder durch kennwortlose Methoden ersetzen. Azure AD unterstützt mehrere davon, darunter auch die Authenticator App.
Für Nutzer im Azure Active Directory empfiehlt Microsoft die kennwortlose Authentifizierung mittels Windows Hello, FIDO2-Sicherheitsschlüssel oder der Microsoft Authenticator-App. Anwender können sich zwar auch mit Benutzername und Passwort anmelden, sollten das aber unbedingt in Kombination mit MFA tun.
Folgende Abbildung zeigt Microsofts Hierarchie der sicheren Anmeldeverfahren:
Wie man sieht, lässt sich die Authenticator App sowohl für die primäre Authentifizierung (zum Beispiel "kennwortlos") als auch für die sekundäre Authentifizierung (für Self-Service Password Reset (SSPR) oder MFA) verwenden. Folgende Tabelle von Microsoft gibt Auskunft über mögliche Kombinationen:
| Methode | Primäre Authentifizierung | Sekundäre Authentifizierung |
|---|---|---|
| Windows Hello for Business | Ja | MFA |
| Microsoft Authenticator-App | Ja | MFA und SSPR |
| FIDO2-Sicherheitsschlüssel | Ja | MFA |
| OATH-Hardwaretoken (Vorschau) | Nein | MFA und SSPR |
| OATH-Softwaretoken | Nein | MFA und SSPR |
| SMS | Ja | MFA und SSPR |
| Anruf | Nein | MFA und SSPR |
| Kennwort | Ja |
Kombinierte Sicherheitsinformationen konfigurieren
Microsoft empfiehlt die so genannte kombinierte Registrierung von Sicherheitsinformationen, um das Onboarding zu vereinfachen. Sie legt die möglichen Verfahren zur Authentifizierung einheitlich für MFA und Self-Service Password Reset (SSPR) fest.
Um diese zu aktivieren, müssen Sie als globaler Administrator im Azure-AD-Blade des Azure-Portals auf Benutzereinstellungen klicken und dann ganz unten dem Link bei Benutzerfeatures => Einstellungen für Benutzerfeatures verwalten folgen.
Hier muss der Schieber für Benutzer können die Registrierungsfunktion für kombinierte Sicherheitsinformationen verwenden (neue Mandanten werden automatisch aktiviert) auf Alle setzen.
Anmeldung per Authenticator aktivieren
Um die kennwortlose Authentifizierung mit dem Authenticator zu verwenden, wechseln Sie nun im Azure-AD-Blade zu Sicherheit => Authentifizierungsmethoden => Richtlinie und folgen dem Link Microsoft Authenticator.
Setzen Sie dann im Abschnitt Basics den Schieber Aktivieren auf Ja und wählen bei Ziel wahlweise Alle Benutzer oder Benutzer auswählen. Mit einem Klick auf die 3 Punkte rechts können Sie dann auch den Authentifizierungsmodus (Push bzw. Kennwortlos) konfigurieren.
Anmeldemethode vom Benutzer auswählen lassen
Anschließend kann der betreffende Benutzer die gewünschte Sicherheitsmethode in seinem Konto hinzufügen. Dazu meldet er sich bei seinem Cloud-Konto an und klickt bei Sicherheitsinformationen auf Informationen aktualisieren.
Hat er sich dazu noch einmal authentifiziert, dann kann er mit Anmeldemethode hinzufügen und der Auswahl des Eintrages Authenticator zunächst dafür sorgen, dass er die Authenticator App zur Anmeldung verwenden kann.
Smartphone registrieren
Möchte ein Cloud-Benutzer die Authenticator App für die kennwortlose Authentifizierung verwenden, dann muss sein Smartphone als Device im Azure AD registriert sein.
Um das zu erreichen, fügt er das entsprechende Cloud-Konto seiner App hinzu, am einfachsten mittels QR-Codes.
Existiert das Azure-AD-Konto in der Authenticator-App, dann kann der Nutzer dort die Option Anmeldung per Telefon einrichten (Ohne Kennwort anmelden) auswählen.
Anschließend sollte das Gerät als Azure AD registered in Geräteverwaltung des Azure AD auftauchen.
Natürlich lässt sich ein Gerät nur von genau einem Benutzer im Azure AD registrieren. Dieser kann sich fortan zum Beispiel kennwortlos beim Azure-Portal, im Applikations-Portal oder unter Microsoft 365 authentifizieren.
Dazu muss er beim nächsten Anmeldeversuch die im Logon-Dialog angezeigte Zahl in seine Authenticator-App eintippen und anschließend seine Identität mittels Smartphones über ein biometrisches Verfahren wie Fingerabdrucksensor oder FaceID beweisen.
Authentifiziert sich ein Benutzer von einem Windows-Gerät aus, das sich im Besitz des Unternehmens befindet, lässt sich dafür auch dessen Hello-Support nutzen.
Fazit
Die kennwortlose Anmeldung ist für reine Cloud-Benutzer ziemlich einfach einzurichten. Microsoft bietet dafür mehrere Optionen, neben FIDO2-Sicherheitsschlüsseln, Windows Hello for Business oder der zertifikatsbasierten Authentifizierung zählt dazu auch die Anmeldung per Authenticator App.
Sobald der Administrator die App als Verfahren freigeschaltet hat, kann der Benutzer dieses über sein Konto auswählen. Soll die App für die kennwortlose Authentifizierung genutzt werden, dann muss man das betreffende Gerät dafür im Azure AD registrieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Verwandte Beiträge
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
Weitere Links