Die kennwortlose Anmeldung mit einem FIDO2-fähigen Sicherheitsschlüssel wie einem YubiKey in Verbindung mit Azure AD bietet hohe Sicherheit bei gleichzeitig hoher Benutzerfreundlichkeit. Die Eingabe von Benutzernamen und Passwort entfällt.
Benutzer mit privaten Mobile Geräten, welche die Microsoft Authenticator App nicht installieren wollen, bietet ein Sicherheitsschlüssel von YubiKey eine gute Alternative.
In dieser Anleitung wird ein YubiKey 5 Sicherheitsschlüssel für die kennwortlose Anmeldung an Microsoft Azure und Microsoft 365 Diensten eingerichtet.
Voraussetzungen und Lizenzierung
Für die Verwendung eines FIDO2-fähigen Sicherheitsschlüssels ist keine bezahlte Lizenz in Microsoft Azure notwendig. Die Lizenz «Azure AD Free» im Azure Active Directory ist ausreichend.
Benutzer müssen Azure Multi-Faktor Authentifizierung einrichten. Benutzeranleitung: Aktivierung Multi-Faktor Authentifizierung – cloudkaffee.ch erklärt das notwendige Vorgehen.
Ein YubiKey Sicherheitsschlüssel mit FIDO2 Support von Yubico.
Um den richtigen YubiKey für sich zu finden, hilft die Webseite von Yubico weiter: Welcher YubiKey ist der richtige für mich?
Anmeldung mit FIDO2 Sicherheitsschlüssel aktivieren
Die Kennwortlose Anmeldung wird im Azure Portal (https://portal.azure.com) konfiguriert.
Kombinierte Registrierung von Sicherheitsinformationen aktivieren
Für die Verwendung von Sicherheitsschlüsseln muss die kombinierte Registrierung in Azure AD aktiviert sein.
«Azure Active Directory» > «Benutzereinstellungen» > «Einstellungen für Benutzerfeatures verwalten» aufrufen.

Die Option «kombinierte Registrierung von Sicherheitsinformationen» auf «Alle» setzen

Authentifizierungsmethode FIDO2 Sicherheitsschlüssel aktivieren
FIDO2 Sicherheitsschlüssel Authentifizierungen werden im Menu «Authentifizierungsmethoden» von Azure AD aktiviert.
«Azure Active Directory» > «Sicherheit» öffnen

«Authentifizierungsmethoden» auswählen

«FIDO2 Sicherheitsschlüssel» auswählen

Im Register «Aktivieren und Ziel» den Toggle «Aktivieren» einschalten und «alle Benutzer» auswählen
Im Register «Konfigurieren» können folgende Optionen eingestellt werden:
Self-Service-Setup aktivieren
Die Option muss aktiviert sein, damit Benutzer die YubiKey 5 Sicherheitsschlüssel aktivieren können.
Nachweis erzwingen
Diese Option muss aktiviert sein und prüft, dass sich der FIDO2 Sicherheitsschlüssel bei der Registrierung gegenüber Azure AD ausweist. Dadurch wird unter anderem geprüft, ob der Sicherheitsschlüssel tatsächlich dem angegebenen Modell entspricht und die entsprechenden Features unterstützt.
Schlüsseleinschränkung erzwingen
Mit diese Option lässt sich steuern, welche Sicherheitsschlüssel verwendet werden dürfen und welche nicht. Es besteht die Möglichkeit einer Zulassen- oder Blockieren Liste. Für diese Funktion werden AAGUIDS (Authenticator Attestation Global Unique Identifier) verwendet. Die Werte für YubiKey sind hier zusammengestellt: https://support.yubico.com/hc/en-us/articles/360016648959-YubiKey-Hardware-FIDO2-AAGUIDs

Die Benutzer können nun FIDO2-fähige Sicherheitsschlüssel registrieren und verwenden.
YubiKey für Anmeldung einrichten
Der Benutzer richtet seinen persönlichen YubiKey selbständig ein.
Dazu melden sich der Benutzer unter https://myprofile.microsoft.com an.

«Sicherheitsinformationen» auswählen

Registrierung für den YubiKey Sicherheitsschlüssel mit «Anmeldemethode hinzufügen» starten.

Methode «Sicherheitsschlüssel» auswählen.
Die Option «Sicherheitsschlüssel» ist erst rund 15 Minuten nach der erstmaligen Aktivierung im Azure Active Directory ersichtlich.

Damit der YubiKey Sicherheitsschlüssel eingerichtet werden kann, muss sich der Benutzer mit der Multi-Faktor Authentifizierung anmelden.

Art der Verbindungsmethode für den Sicherheitsschlüssels angeben (USB oder NFC)

YubiKey Sicherheitsschlüssel jetzt mit dem Gerät verbinden und auf «Weiter» klicken.

Der Sicherheitsschlüssel wird jetzt abgefragt.

Der eingelegte Sicherheitsschlüssel wird für den aktuell angemeldeten Benutzer eingerichtet.


Um die Einrichtung des YubiKey Sicherheitsschlüssels fortzusetzen, diesen einfach berühren.

Ein PIN für den Sicherheitsschlüssel festlegen.

Den Sicherheitsschlüssel erneut berühren.

Zum Abschluss ein aussagekräftiger Name für den YubiKey Sicherheitsschlüssel vergeben.

Der YubiKey FIDO2 Sicherheitsschlüssel ist jetzt erfolgreich eingerichtet und ist für die Anmeldung ab sofort verwendbar.

Der Sicherheitschlüssel wird jetzt als aktiv für die Anmeldung angezeigt.

Anmeldung mit YubiKey 5 ausführen
Im Anmeldefenster für Dienste von Microsoft Azure, Microsoft 365 oder Enterprise Applikationen mit Azure AD Authentifizierung die Option «Anmeldeoptionen» auswählen.

Anmeldeoption «Mit Sicherheitsschlüssel anmelden» auswählen und Sicherheitsschlüssel mit dem Gerät verbinden.

(Optional) Wenn mehrere moderne Authentifizierungsmethoden auf dem Gerät aktiv sind, erfolgt eine Abfrage. In dieser die Option «Sicherheitsschlüssel» auswählen.

Den Sicherheitsschlüssel berühren und PIN eingeben, nach PIN Eingabe Sicherheitsschlüssel nochmals berühren.


(Optional) Wenn für den Sicherheitsschlüssel mehrere Identitäten vorhanden sind, diese jetzt auswählen.

Die Anmeldung mit dem YubiKey Sicherheitsschlüssel ist erfolgreich durchgeführt.

Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.