Passwordless Authentication in Azure AD einrichten

An der Ignite hat Microsoft über die globale Verfügbarkeit von Passwordless Authentication informiert. In Azure AD lässt es sich einrichten und für den Einsatz freigeben.

Mit Passwordless Authentication können sich Mitarbeitende statt einem Passwort mit einer alternativen Methode wie Windows Hello for Business, FIDO2 Stick, der Microsoft Authenticator App oder via SMS-Code anmelden. Da die Authenticator App ohne grosse Aufwände und Kosten zur Verfügung steht ist es naheliegend Passwordless Authentication zuerst dafür einzurichten.

Für eine Passwordless Authentication über die Microsoft Authenticator App sind 5 Schritte erforderlich.

  1. “Combined security information registration” in Azure AD aktivieren
  2. Passwordless Authentication für die Authenticator App freigeben
  3. Multi-Faktor Anmeldung über die Authenticator App einrichten
  4. Mitarbeitende aktivieren Passwordless Authentication für ihren Account
  5. Anmeldung mit Passwordless Authentication

Schritt 1
Combined security information registration in Azure AD aktivieren

Damit Passwordless Authentication möglich ist muss in Azure AD die Konfiguration für “Combined security information registration” aktiviert sein. Für Tenants die ab 15. August 2020 erstellt wurden aktiviert es Microsoft standardmässig. In anderen Tenants müssen Administratoren die Konfiguration manuell aktivieren.

  • Öffne Azure AD > Security > Authentication methods > Enable users for the combined security information registration
  • Damit es alle Accounts anwenden können setze bei “Users can use the combined security information registration experience” die Einstellung All, alternativ eingeschränkt auf ausgewählte AD Gruppen.
Schritt 2
Passwordless Authentication für die Authenticator App freigeben

Damit Mitarbeitende in der Authenticator App Passwordless Authentication aktivieren können muss es ein Administrator im Tenant zulassen.

  • Öffne erneut Azure AD > Security > Authentication methods
  • Hier sind die Anmeldemethoden gelistet und standardmässig deaktiviert. Wähle Microsoft Authenticator.
  • Es öffnen sich Einstellungen um zu definieren ob die Methode aktiviert ist und für wen. Alle Accounts oder definierte Accounts bzw. AD Gruppen.
  • Als optionale Konfiguration kann die Registrierung vorgeben werden, entweder alle verfügbaren Methoden, nur Passwordless oder nur Push. So könnte es beispielsweise pro Account und AD Gruppe angepasst sein.
Schritt 3
Multi-Faktor Anmeldung über die Authenticator App einrichten

Möchten Mitarbeitende Passwordless Authentication über die Authenticator App einsetzen muss die App bereits für Multi-Faktor Anmeldung (MFA) eingerichtet sein. Entweder Mitarbeitende richten es selbstständig ein, oder ein Administrator kann die Einrichtung forcieren. Hat jemand MFA über die App bereits eingerichtet kann der Punkt übersprungen werden.

Schritt 4
Mitarbeitende aktivieren Passwordless Authentication

Möchten Mitarbeitende Passwordless Authentication einsetzen müssen sie es für ihren Account aktivieren.

  • Mitarbeitende öffnen die Microsoft Authenticator App und wählen einen Account für den sie Passwordless Authentication einrichten möchten.
  • Im betroffenen Account wählen sie die Option “Anmeldung per Telefon aktivieren”.
  • Wurde das Smartphone bisher nicht in Azure AD registriert muss es im nächsten Schritt registriert werden.
  • In der App zeigt es danach einen Hinweis die Passwordless Authentication ist aktiv.
Schritt 5
Anmeldung mit Passwordless Authentication

Möchte sich ein Account nach der Einrichtung in einem der M365-Dienste anmelden wird es bei der Anmeldung neben dem Passwort eine Option für die Anmeldung via App anzeigen.

Der Anmeldeprozess sendet über eine Push-Nachricht eine Nummer an das Smartphone. Die angezeigte Nummer muss in der Authenticator App bestätigt werden. Damit ist der Anmeldevorgang bestätigt und abgeschlossen.

Für die Statistik können Administratoren in Azure AD auswerten wer und wie viel Accounts die unterschiedlichen Anmeldemethoden einsetzen.

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert