Kennwortlose Anmeldung (Passwordless Sign-In) macht die Anmeldung an den Azure- und Microsoft 365 Cloud Diensten für den Benutzer komfortabler. Die Eingabe des Kennwortes entfällt und wird durch eine moderne Methode ersetzt, z.B. durch die Microsoft Authenticator App.

Kennwortlose Anmeldungen an Cloud Apps können mit verschiedenen Methoden erreicht werden:

  • Windows Hello for Business
  • Microsoft Authenticator App
  • FIDO2 Security Keys

Für eine signifikante Erhöhung der Sicherheit von Identitäten bietet sich die kostengünstige Variante mit der Microsoft Authenticator App an.

Voraussetzungen und Lizenzierung

  • Microsoft Authenticator App ist in der neusten Version auf iOS oder Android installiert
  • Azure AD Multi-Faktor Authentifizierung ist mit Push Benachrichtigung auf den Smartphones der Benutzer eingerichtet
    (siehe Blogbeitrag Benutzeranleitung: Aktivierung Multi-Faktor Authentifizierung)
  • Das Gerät mit der Authenticator App wird während der Konfiguration im Azure AD auf einen Benutzer registriert
  • Kennwortlose Anmeldung kann pro Authenticator App nur auf einem Microsoft Tenant aktiviert werden
  • es ist keine zusätzliche Lizenz notwendig

Vorbereitungen

Aktivierung der kennwortlosen Anmeldung

Die „kombinierte Registrierung“ muss in den Benutzereinstellungen aktiviert werden.
„Azure Active Directory“ > „User settings“ > „Manage user feature settings“

Die Option „kombinierte Registrierung“ kann für einzelne Benutzergruppen oder alle Benutzer im Tenant aktiviert werden.

Authentifizierungsmethoden festlegen

Für die kennwortloste Anmeldung (Passwordless Sign-In) können die folgenden Methoden aktiviert werden:

  • Microsoft Authenticator App
  • FIDO2 Security Keys
  • Text messages (SMS)
  • Befristeter Zugriffspass (Temporary Access Pass)

Für eine kostengünstige und sichere Umsetzung aktivieren wir in diesem Tutorial die Verwendung der „Microsoft Authenticator App“.

„Azure Active Directory“ > „Security“ > „Authentication methods“ > „Microsoft Authenticator App“

Benutzeranleitung
Anmeldemethode festlegen

Microsoft Authenticator App registrieren

Microsoft Authenticator App öffnen, Benutzerkonto wählen und „Anmeldung per Telefon aktivieren“ („Enable phone sign-in“) auswählen und Login durchführen.

Das Mobile ist nun für die kennwortlose Anmeldung (Passwordless Sign-In) registriert.

Passwordless Sign-In - Disable phone sign-in

Umstellung auf kennwortlose Anmeldung

Während dem Anmeldeprozess kann der Benutzer auf die kennwortlose Anmeldung (Passwordless Sign-In) umstellen.

Passwordless Sign-In - use an app insted
Passwordless Sign-In - sign-in with phone

Auf dem Mobile Device kann jetzt die angezeigt Nummer eingegeben und damit der Login erfolgreich abgeschlossen werden.

Passwordless Sign-In - sign-in with phone

Troubleshooting

Die Microsoft Authenticator App erlaubt die Registrierung nur für einen Work Account gleichzeitig. Erscheint die Meldung „Gerät ist bereits registriert“ („Device is already registered“), muss die Registrierung des vorhandenen Work Accounts aufgehoben werden. Danach kann der neue Work Account registriert werden.

Passwordless Sign-In - Disable phone sign-in