Kennwortlose Anmeldung mit der Microsoft Authenticator App (Passwordless Sign-In) macht die Anmeldung an den Azure- und Microsoft 365 Cloud Diensten für den Benutzer sicherer und komfortabler. Die Eingabe des Kennwortes entfällt und wird durch eine moderne Methode ersetzt, z.B. durch die Microsoft Authenticator App.
Kennwortlose Anmeldungen an Cloud Apps können mit verschiedenen Methoden erreicht werden:
- Windows Hello for Business
- Microsoft Authenticator App
- FIDO2 Security Keys
Für eine signifikante Erhöhung der Sicherheit von Identitäten bietet sich die kostengünstige Variante mit der Microsoft Authenticator App an.
Voraussetzungen und Lizenzierung
- Microsoft Authenticator App ist in der neusten Version auf iOS oder Android installiert
- Azure AD Multi-Faktor Authentifizierung ist mit Push Benachrichtigung auf den Smartphones der Benutzer eingerichtet
(siehe Blogbeitrag Benutzeranleitung: Aktivierung Multi-Faktor Authentifizierung) - Das Gerät mit der Authenticator App wird während der Konfiguration im Azure AD auf einen Benutzer registriert
- Kennwortlose Anmeldung kann pro Authenticator App nur auf einem Microsoft Tenant aktiviert werden
- es ist keine zusätzliche Lizenz notwendig
Vorbereitungen
Aktivierung der kennwortlosen Anmeldung
Die «kombinierte Registrierung» muss in den Benutzereinstellungen aktiviert werden.
«Azure Active Directory» > «User settings» > «Manage user feature settings»
Die Option «kombinierte Registrierung» kann für einzelne Benutzergruppen oder alle Benutzer im Tenant aktiviert werden.
Authentifizierungsmethoden festlegen
Für die kennwortloste Anmeldung (Passwordless Sign-In) können die folgenden Methoden aktiviert werden:
- Microsoft Authenticator App
- FIDO2 Security Keys
- Text messages (SMS)
- Befristeter Zugriffspass (Temporary Access Pass)
Für eine kostengünstige und sichere Umsetzung aktivieren wir in diesem Tutorial die Verwendung der «Microsoft Authenticator App».
Die Aktivierung wird unter Azure Active Directory > Security > Authentication methods > Microsoft Authenticator ausgeführt.
Benutzeranleitung
Anmeldemethode festlegen
Microsoft Authenticator App registrieren
Microsoft Authenticator App öffnen, Benutzerkonto wählen und «Anmeldung per Telefon aktivieren» («Enable phone sign-in») auswählen und Login durchführen.
Das Mobile ist nun für die kennwortlose Anmeldung (Passwordless Sign-In) registriert.
Umstellung auf kennwortlose Anmeldung
Während dem Anmeldeprozess kann der Benutzer auf die kennwortlose Anmeldung (Passwordless Sign-In) umstellen.
Auf dem Mobile Device kann jetzt die angezeigt Nummer eingegeben und damit der Login erfolgreich abgeschlossen werden.
Fehlersuche und Fehlerbehebung
Die Microsoft Authenticator App erlaubt die Registrierung nur für einen Work Account gleichzeitig. Erscheint die Meldung «Gerät ist bereits registriert» («Device is already registered»), muss die Registrierung des vorhandenen Work Accounts aufgehoben werden. Danach kann der neue Work Account registriert werden.
Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.