Die kennwortlose Anmeldung mit einem FIDO2-fähigen Sicherheitsschlüssel wie einem YubiKey in Verbindung mit Microsoft Entra ID (Azure AD) bietet hohe Sicherheit bei gleichzeitig hoher Benutzerfreundlichkeit. Die Eingabe von Benutzernamen und Passwort entfällt.

Benutzer mit privaten Mobile Geräten, welche die Microsoft Authenticator App nicht installieren wollen, bietet ein Sicherheitsschlüssel von YubiKey eine gute Alternative.

In dieser Anleitung wird ein YubiKey 5 Sicherheitsschlüssel für die kennwortlose Anmeldung an Microsoft Azure und Microsoft 365 Diensten eingerichtet.

Voraussetzungen und Lizenzierung

Lizenzen

Für die Verwendung eines FIDO2-fähigen Sicherheitsschlüssels ist keine bezahlte Lizenz in Microsoft Azure notwendig. Die Lizenz Microsoft Entra ID Free (Azure AD Free) im Azure Active Directory ist ausreichend.

Microsoft Entra Multi-Faktor Authentifizierung (MFA)

Benutzer müssen Azure Multi-Faktor Authentifizierung einrichten. Benutzeranleitung: Aktivierung Multi-Faktor Authentifizierung – cloudkaffee.ch erklärt das notwendige Vorgehen.

YubiKey FIDO2 Sicherheitsschlüssel

Ein YubiKey Sicherheitsschlüssel mit FIDO2 Support von Yubico.
Um den richtigen YubiKey für sich zu finden, hilft die Webseite von Yubico weiter:
Welcher YubiKey ist der richtige für mich ? (English)

YubiKey Sicherheitsschlüssel direkt bei Yubico bestellen:
Buy YubiKeys at Yubico.com | Shop hardware authentication security keys

Authentifizierungsmethode FIDO2 Sicherheitsschlüssel aktivieren

Die Authentifizierungsmethode FIDO2 wird im Azure Portal (https://portal.azure.com) konfiguriert.

FIDO2 Sicherheitsschlüssel Authentifizierungen werden im Menu Authentifizierungsmethoden von Microsoft Entra ID aktiviert.

Microsoft Entra ID > Sicherheit öffnen

Authentifizierungsmethoden auswählen

FIDO2 Sicherheitsschlüssel auswählen

Im Register Aktivieren und Ziel den Toggle Aktivieren einschalten und alle Benutzer auswählen

Im Register Konfigurieren können folgende Optionen eingestellt werden:

Self-Service-Setup aktivieren
Die Option muss aktiviert sein, damit Benutzer die YubiKey 5 Sicherheitsschlüssel aktivieren können.

Nachweis erzwingen
Diese Option muss aktiviert sein und prüft, dass sich der FIDO2 Sicherheitsschlüssel bei der Registrierung gegenüber Microsoft Entra ID (Azure AD) ausweist. Dadurch wird unter anderem geprüft, ob der Sicherheitsschlüssel tatsächlich dem angegebenen Modell entspricht und die entsprechenden Features unterstützt.

Schlüsseleinschränkung erzwingen
Mit diese Option lässt sich steuern, welche Sicherheitsschlüssel verwendet werden dürfen und welche nicht. Es besteht die Möglichkeit einer Zulassen- oder Blockieren Liste. Für diese Funktion werden AAGUIDS (Authenticator Attestation Global Unique Identifier) verwendet. Die Werte für YubiKey sind hier zusammengestellt: https://support.yubico.com/hc/en-us/articles/360016648959-YubiKey-Hardware-FIDO2-AAGUIDs

Speichern anklicken und die Benutzer können nun FIDO2-fähige Sicherheitsschlüssel registrieren und verwenden.

YubiKey für Anmeldung einrichten

Der Benutzer richtet seinen persönlichen YubiKey selbständig ein.
Dazu melden sich der Benutzer unter https://myprofile.microsoft.com an.

Microsoft Sign In

Sicherheitsinformationen auswählen

Registrierung für den YubiKey Sicherheitsschlüssel mit Anmeldemethode hinzufügen starten.

Methode Sicherheitsschlüssel auswählen.
Die Option Sicherheitsschlüssel ist erst rund 15 Minuten nach der erstmaligen Aktivierung in Microsoft Entra ID ersichtlich.

Sign-in methods

Damit der YubiKey Sicherheitsschlüssel eingerichtet werden kann, muss sich der Benutzer mit der Multi-Faktor Authentifizierung anmelden.

Security Key Multi-Factor Authentication

Art der Verbindungsmethode für den Sicherheitsschlüssels angeben (USB oder NFC)

Security key - choose type

YubiKey Sicherheitsschlüssel jetzt mit dem Gerät verbinden und auf Weiter klicken.

Security key - connect to device

Der Sicherheitsschlüssel wird jetzt abgefragt.

Security key - finish setup

Der eingelegte Sicherheitsschlüssel wird für den aktuell angemeldeten Benutzer eingerichtet.

Security key - setup
Security key - Continue setup

Um die Einrichtung des YubiKey Sicherheitsschlüssels fortzusetzen, diesen einfach berühren.

Security key - Touch your security key

Ein PIN für den Sicherheitsschlüssel festlegen.

Security key - create PIN

Den Sicherheitsschlüssel erneut berühren.

Security key - Touch your security key

Zum Abschluss ein aussagekräftiger Name für den YubiKey Sicherheitsschlüssel vergeben.

Security key - Name your security key

Der YubiKey FIDO2 Sicherheitsschlüssel ist jetzt erfolgreich eingerichtet und ist für die Anmeldung ab sofort verwendbar.

Security key - setup successful

Der Sicherheitschlüssel wird jetzt als aktiv für die Anmeldung angezeigt.

Anmeldung mit YubiKey 5 ausführen

Im Anmeldefenster für Dienste von Microsoft Azure, Microsoft 365 oder Enterprise Applikationen mit Microsoft Entra ID Authentifizierung die Option Anmeldeoptionen auswählen.

Microsoft Sign In

Anmeldeoption Mit Sicherheitsschlüssel anmelden auswählen und Sicherheitsschlüssel mit dem Gerät verbinden.

Sign-in options - sign in with a security key

(Optional) Wenn mehrere moderne Authentifizierungsmethoden auf dem Gerät aktiv sind, erfolgt eine Abfrage. In dieser die Option Sicherheitsschlüssel auswählen.

Windows Hello - Security Key

Den Sicherheitsschlüssel berühren und PIN eingeben, nach PIN Eingabe Sicherheitsschlüssel nochmals berühren.

Security key - Touch your security key
Security key - Enter PIN

(Optional) Wenn für den Sicherheitsschlüssel mehrere Identitäten vorhanden sind, diese jetzt auswählen.

Windows Security - Choose Account

Die Anmeldung mit dem YubiKey Sicherheitsschlüssel ist erfolgreich durchgeführt.


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen