Die kennwortlose Anmeldung mit einem FIDO2-fähigen Sicherheitsschlüssel wie einem YubiKey in Verbindung mit Azure AD bietet hohe Sicherheit bei gleichzeitig hoher Benutzerfreundlichkeit. Die Eingabe von Benutzernamen und Passwort entfällt.

Benutzer mit privaten Mobile Geräten, welche die Microsoft Authenticator App nicht installieren wollen, bietet ein Sicherheitsschlüssel von YubiKey eine gute Alternative.

In dieser Anleitung wird ein YubiKey 5 Sicherheitsschlüssel für die kennwortlose Anmeldung an Microsoft Azure und Microsoft 365 Diensten eingerichtet.

Voraussetzungen und Lizenzierung

Für die Verwendung eines FIDO2-fähigen Sicherheitsschlüssels ist keine bezahlte Lizenz in Microsoft Azure notwendig. Die Lizenz «Azure AD Free» im Azure Active Directory ist ausreichend.

Benutzer müssen Azure Multi-Faktor Authentifizierung einrichten. Benutzeranleitung: Aktivierung Multi-Faktor Authentifizierung – cloudkaffee.ch erklärt das notwendige Vorgehen.

Ein YubiKey Sicherheitsschlüssel mit FIDO2 Support von Yubico.
Um den richtigen YubiKey für sich zu finden, hilft die Webseite von Yubico weiter: Welcher YubiKey ist der richtige für mich?

Anmeldung mit FIDO2 Sicherheitsschlüssel aktivieren

Die Kennwortlose Anmeldung wird im Azure Portal (https://portal.azure.com) konfiguriert.

Kombinierte Registrierung von Sicherheitsinformationen aktivieren

Für die Verwendung von Sicherheitsschlüsseln muss die kombinierte Registrierung in Azure AD aktiviert sein.

«Azure Active Directory» > «Benutzereinstellungen» > «Einstellungen für Benutzerfeatures verwalten» aufrufen.

Die Option «kombinierte Registrierung von Sicherheitsinformationen» auf «Alle» setzen

Authentifizierungsmethode FIDO2 Sicherheitsschlüssel aktivieren

FIDO2 Sicherheitsschlüssel Authentifizierungen werden im Menu «Authentifizierungsmethoden» von Azure AD aktiviert.

«Azure Active Directory» > «Sicherheit» öffnen

«Authentifizierungsmethoden» auswählen

«FIDO2 Sicherheitsschlüssel» auswählen

Im Register «Aktivieren und Ziel» den Toggle «Aktivieren» einschalten und «alle Benutzer» auswählen

Im Register «Konfigurieren» können folgende Optionen eingestellt werden:

Self-Service-Setup aktivieren
Die Option muss aktiviert sein, damit Benutzer die YubiKey 5 Sicherheitsschlüssel aktivieren können.

Nachweis erzwingen
Diese Option muss aktiviert sein und prüft, dass sich der FIDO2 Sicherheitsschlüssel bei der Registrierung gegenüber Azure AD ausweist. Dadurch wird unter anderem geprüft, ob der Sicherheitsschlüssel tatsächlich dem angegebenen Modell entspricht und die entsprechenden Features unterstützt.

Schlüsseleinschränkung erzwingen
Mit diese Option lässt sich steuern, welche Sicherheitsschlüssel verwendet werden dürfen und welche nicht. Es besteht die Möglichkeit einer Zulassen- oder Blockieren Liste. Für diese Funktion werden AAGUIDS (Authenticator Attestation Global Unique Identifier) verwendet. Die Werte für YubiKey sind hier zusammengestellt: https://support.yubico.com/hc/en-us/articles/360016648959-YubiKey-Hardware-FIDO2-AAGUIDs

Die Benutzer können nun FIDO2-fähige Sicherheitsschlüssel registrieren und verwenden.

YubiKey für Anmeldung einrichten

Der Benutzer richtet seinen persönlichen YubiKey selbständig ein.
Dazu melden sich der Benutzer unter https://myprofile.microsoft.com an.

Microsoft Sign In

«Sicherheitsinformationen» auswählen

Registrierung für den YubiKey Sicherheitsschlüssel mit «Anmeldemethode hinzufügen» starten.

Methode «Sicherheitsschlüssel» auswählen.
Die Option «Sicherheitsschlüssel» ist erst rund 15 Minuten nach der erstmaligen Aktivierung im Azure Active Directory ersichtlich.

Sign-in methods

Damit der YubiKey Sicherheitsschlüssel eingerichtet werden kann, muss sich der Benutzer mit der Multi-Faktor Authentifizierung anmelden.

Security Key Multi-Factor Authentication

Art der Verbindungsmethode für den Sicherheitsschlüssels angeben (USB oder NFC)

Security key - choose type

YubiKey Sicherheitsschlüssel jetzt mit dem Gerät verbinden und auf «Weiter» klicken.

Security key - connect to device

Der Sicherheitsschlüssel wird jetzt abgefragt.

Security key - finish setup

Der eingelegte Sicherheitsschlüssel wird für den aktuell angemeldeten Benutzer eingerichtet.

Security key - setup
Security key - Continue setup

Um die Einrichtung des YubiKey Sicherheitsschlüssels fortzusetzen, diesen einfach berühren.

Security key - Touch your security key

Ein PIN für den Sicherheitsschlüssel festlegen.

Security key - create PIN

Den Sicherheitsschlüssel erneut berühren.

Security key - Touch your security key

Zum Abschluss ein aussagekräftiger Name für den YubiKey Sicherheitsschlüssel vergeben.

Security key - Name your security key

Der YubiKey FIDO2 Sicherheitsschlüssel ist jetzt erfolgreich eingerichtet und ist für die Anmeldung ab sofort verwendbar.

Security key - setup successful

Der Sicherheitschlüssel wird jetzt als aktiv für die Anmeldung angezeigt.

Anmeldung mit YubiKey 5 ausführen

Im Anmeldefenster für Dienste von Microsoft Azure, Microsoft 365 oder Enterprise Applikationen mit Azure AD Authentifizierung die Option «Anmeldeoptionen» auswählen.

Microsoft Sign In

Anmeldeoption «Mit Sicherheitsschlüssel anmelden» auswählen und Sicherheitsschlüssel mit dem Gerät verbinden.

Sign-in options - sign in with a security key

(Optional) Wenn mehrere moderne Authentifizierungsmethoden auf dem Gerät aktiv sind, erfolgt eine Abfrage. In dieser die Option «Sicherheitsschlüssel» auswählen.

Windows Hello - Security Key

Den Sicherheitsschlüssel berühren und PIN eingeben, nach PIN Eingabe Sicherheitsschlüssel nochmals berühren.

Security key - Touch your security key
Security key - Enter PIN

(Optional) Wenn für den Sicherheitsschlüssel mehrere Identitäten vorhanden sind, diese jetzt auswählen.

Windows Security - Choose Account

Die Anmeldung mit dem YubiKey Sicherheitsschlüssel ist erfolgreich durchgeführt.


Ist dieser Beitrag hilfreich für Dich?
Verbinde Dich auf LinkedIn mit mir.