An der Ignite hat Microsoft über die globale Verfügbarkeit von Passwordless Authentication informiert. In Azure AD lässt es sich einrichten und für den Einsatz freigeben.
Mit Passwordless Authentication können sich Mitarbeitende statt einem Passwort mit einer alternativen Methode wie Windows Hello for Business, FIDO2 Stick, der Microsoft Authenticator App oder via SMS-Code anmelden. Da die Authenticator App ohne grosse Aufwände und Kosten zur Verfügung steht ist es naheliegend Passwordless Authentication zuerst dafür einzurichten.
Für eine Passwordless Authentication über die Microsoft Authenticator App sind 5 Schritte erforderlich.
- “Combined security information registration” in Azure AD aktivieren
- Passwordless Authentication für die Authenticator App freigeben
- Multi-Faktor Anmeldung über die Authenticator App einrichten
- Mitarbeitende aktivieren Passwordless Authentication für ihren Account
- Anmeldung mit Passwordless Authentication
Schritt 1
Combined security information registration in Azure AD aktivieren
Damit Passwordless Authentication möglich ist muss in Azure AD die Konfiguration für “Combined security information registration” aktiviert sein. Für Tenants die ab 15. August 2020 erstellt wurden aktiviert es Microsoft standardmässig. In anderen Tenants müssen Administratoren die Konfiguration manuell aktivieren.
- Öffne Azure AD > Security > Authentication methods > Enable users for the combined security information registration
- Damit es alle Accounts anwenden können setze bei “Users can use the combined security information registration experience” die Einstellung All, alternativ eingeschränkt auf ausgewählte AD Gruppen.
Schritt 2
Passwordless Authentication für die Authenticator App freigeben
Damit Mitarbeitende in der Authenticator App Passwordless Authentication aktivieren können muss es ein Administrator im Tenant zulassen.
- Öffne erneut Azure AD > Security > Authentication methods
- Hier sind die Anmeldemethoden gelistet und standardmässig deaktiviert. Wähle Microsoft Authenticator.
- Es öffnen sich Einstellungen um zu definieren ob die Methode aktiviert ist und für wen. Alle Accounts oder definierte Accounts bzw. AD Gruppen.
- Als optionale Konfiguration kann die Registrierung vorgeben werden, entweder alle verfügbaren Methoden, nur Passwordless oder nur Push. So könnte es beispielsweise pro Account und AD Gruppe angepasst sein.
Schritt 3
Multi-Faktor Anmeldung über die Authenticator App einrichten
Möchten Mitarbeitende Passwordless Authentication über die Authenticator App einsetzen muss die App bereits für Multi-Faktor Anmeldung (MFA) eingerichtet sein. Entweder Mitarbeitende richten es selbstständig ein, oder ein Administrator kann die Einrichtung forcieren. Hat jemand MFA über die App bereits eingerichtet kann der Punkt übersprungen werden.
Schritt 4
Mitarbeitende aktivieren Passwordless Authentication
Möchten Mitarbeitende Passwordless Authentication einsetzen müssen sie es für ihren Account aktivieren.
- Mitarbeitende öffnen die Microsoft Authenticator App und wählen einen Account für den sie Passwordless Authentication einrichten möchten.
- Im betroffenen Account wählen sie die Option “Anmeldung per Telefon aktivieren”.
- Wurde das Smartphone bisher nicht in Azure AD registriert muss es im nächsten Schritt registriert werden.
- In der App zeigt es danach einen Hinweis die Passwordless Authentication ist aktiv.
Schritt 5
Anmeldung mit Passwordless Authentication
Möchte sich ein Account nach der Einrichtung in einem der M365-Dienste anmelden wird es bei der Anmeldung neben dem Passwort eine Option für die Anmeldung via App anzeigen.
Der Anmeldeprozess sendet über eine Push-Nachricht eine Nummer an das Smartphone. Die angezeigte Nummer muss in der Authenticator App bestätigt werden. Damit ist der Anmeldevorgang bestätigt und abgeschlossen.
Für die Statistik können Administratoren in Azure AD auswerten wer und wie viel Accounts die unterschiedlichen Anmeldemethoden einsetzen.