Die kennwortlose Anmeldung mit einem FIDO2-fähigen Sicherheitsschlüssel wie einem YubiKey in Verbindung mit Microsoft Entra ID (Azure AD) bietet hohe Sicherheit bei gleichzeitig hoher Benutzerfreundlichkeit. Die Eingabe von Benutzernamen und Passwort entfällt.
Benutzer mit privaten Mobile Geräten, welche die Microsoft Authenticator App nicht installieren wollen, bietet ein Sicherheitsschlüssel von YubiKey eine gute Alternative.
In dieser Anleitung wird ein YubiKey 5 Sicherheitsschlüssel für die kennwortlose Anmeldung an Microsoft Azure und Microsoft 365 Diensten eingerichtet.
Voraussetzungen und Lizenzierung
Lizenzen
Für die Verwendung eines FIDO2-fähigen Sicherheitsschlüssels ist keine bezahlte Lizenz in Microsoft Azure notwendig. Die Lizenz Microsoft Entra ID Free (Azure AD Free) im Azure Active Directory ist ausreichend.
Microsoft Entra Multi-Faktor Authentifizierung (MFA)
Benutzer müssen Azure Multi-Faktor Authentifizierung einrichten. Benutzeranleitung: Aktivierung Multi-Faktor Authentifizierung – cloudkaffee.ch erklärt das notwendige Vorgehen.
YubiKey FIDO2 Sicherheitsschlüssel
Ein YubiKey Sicherheitsschlüssel mit FIDO2 Support von Yubico.
Um den richtigen YubiKey für sich zu finden, hilft die Webseite von Yubico weiter:
Welcher YubiKey ist der richtige für mich ? (English)
YubiKey Sicherheitsschlüssel direkt bei Yubico bestellen:
Buy YubiKeys at Yubico.com | Shop hardware authentication security keys
Natürlich gehen auch FIDO2-Sicherheitsschlüssel anderer Hersteller.
Authentifizierungsmethode FIDO2 Sicherheitsschlüssel aktivieren
Die Authentifizierungsmethode FIDO2 wird im Azure Portal (https://portal.azure.com) konfiguriert.
FIDO2 Sicherheitsschlüssel Authentifizierungen werden im Menu Authentifizierungsmethoden von Microsoft Entra ID aktiviert.
Microsoft Entra ID > Sicherheit öffnen
Authentifizierungsmethoden auswählen
FIDO2 Sicherheitsschlüssel auswählen
Im Register Aktivieren und Ziel den Toggle Aktivieren einschalten und alle Benutzer auswählen
Im Register Konfigurieren können folgende Optionen eingestellt werden:
Self-Service-Setup aktivieren
Die Option muss aktiviert sein, damit Benutzer die YubiKey 5 Sicherheitsschlüssel aktivieren können.
Nachweis erzwingen
Diese Option muss aktiviert sein und prüft, dass sich der FIDO2 Sicherheitsschlüssel bei der Registrierung gegenüber Microsoft Entra ID (Azure AD) ausweist. Dadurch wird unter anderem geprüft, ob der Sicherheitsschlüssel tatsächlich dem angegebenen Modell entspricht und die entsprechenden Features unterstützt.
Schlüsseleinschränkung erzwingen
Mit diese Option lässt sich steuern, welche Sicherheitsschlüssel verwendet werden dürfen und welche nicht. Es besteht die Möglichkeit einer Zulassen- oder Blockieren Liste. Für diese Funktion werden AAGUIDS (Authenticator Attestation Global Unique Identifier) verwendet. Eine Übersicht über die gängigen AAGUIDs stellt Clayton Tyger mit dem Entra Compatible Attestation FIDO Key Explorer zur Verfügung.
Speichern anklicken und die Benutzer können nun FIDO2-fähige Sicherheitsschlüssel registrieren und verwenden.
YubiKey für Anmeldung einrichten
Der Benutzer richtet seinen persönlichen YubiKey selbständig ein.
Dazu melden sich der Benutzer unter https://myprofile.microsoft.com an.
Sicherheitsinformationen auswählen
Registrierung für den YubiKey Sicherheitsschlüssel mit Anmeldemethode hinzufügen starten.
Methode Sicherheitsschlüssel auswählen.
Die Option Sicherheitsschlüssel ist erst rund 15 Minuten nach der erstmaligen Aktivierung in Microsoft Entra ID ersichtlich.
Damit der YubiKey Sicherheitsschlüssel eingerichtet werden kann, muss sich der Benutzer mit der Multi-Faktor Authentifizierung anmelden.
Art der Verbindungsmethode für den Sicherheitsschlüssels angeben (USB oder NFC)
YubiKey Sicherheitsschlüssel jetzt mit dem Gerät verbinden und auf Weiter klicken.
Der Sicherheitsschlüssel wird jetzt abgefragt.
Der eingelegte Sicherheitsschlüssel wird für den aktuell angemeldeten Benutzer eingerichtet.
Um die Einrichtung des YubiKey Sicherheitsschlüssels fortzusetzen, diesen einfach berühren.
Ein PIN für den Sicherheitsschlüssel festlegen.
Den Sicherheitsschlüssel erneut berühren.
Zum Abschluss ein aussagekräftiger Name für den YubiKey Sicherheitsschlüssel vergeben.
Der YubiKey FIDO2 Sicherheitsschlüssel ist jetzt erfolgreich eingerichtet und ist für die Anmeldung ab sofort verwendbar.
Der Sicherheitschlüssel wird jetzt als aktiv für die Anmeldung angezeigt.
Anmeldung mit YubiKey 5 ausführen
Im Anmeldefenster für Dienste von Microsoft Azure, Microsoft 365 oder Enterprise Applikationen mit Microsoft Entra ID Authentifizierung die Option Anmeldeoptionen auswählen.
Anmeldeoption Mit Sicherheitsschlüssel anmelden auswählen und Sicherheitsschlüssel mit dem Gerät verbinden.
(Optional) Wenn mehrere moderne Authentifizierungsmethoden auf dem Gerät aktiv sind, erfolgt eine Abfrage. In dieser die Option Sicherheitsschlüssel auswählen.
Den Sicherheitsschlüssel berühren und PIN eingeben, nach PIN Eingabe Sicherheitsschlüssel nochmals berühren.
(Optional) Wenn für den Sicherheitsschlüssel mehrere Identitäten vorhanden sind, diese jetzt auswählen.
Die Anmeldung mit dem YubiKey Sicherheitsschlüssel ist erfolgreich durchgeführt.
Folge mir auf LinkedIn und Bluesky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!
