In der Cloud ist eine sichere Authen­tifizierung unerlässlich. Eine reine Anmeldung mit Benutzer­name und Pass­wort erfüllt diese Anfor­derung nicht. Dieses simple Verfahren lässt sich mittels MFA ab­sichern oder durch kenn­wortlose Methoden ersetzen. Azure AD unterstützt mehrere davon, darunter auch die Authenticator App.

Für Nutzer im Azure Active Directory empfiehlt Microsoft die kenn­wortlose Authenti­fizierung mittels Windows Hello, FIDO2-Sicherheits­schlüssel oder der Microsoft Authenticator-App. Anwender können sich zwar auch mit Benutzername und Passwort anmelden, sollten das aber unbedingt in Kom­bination mit MFA tun. Folgende Abbildung zeigt Microsofts Hierarchie der sicheren Anmelde­verfahren:

Die Stärke der verschiedenen Azure-Authentifizierungsmethoden nach Einschätzung von Microsoft
Die Stärke der verschiedenen Azure-Authentifizierungsmethoden nach Einschätzung von Microsoft.

Wie man sieht, lässt sich die Authenticator App sowohl für die primäre Authentifizierung (zum Beispiel „kennwortlos“) als auch für die sekundäre Authentifizierung (für Self-Service Password Reset (SSPR) oder MFA) verwenden. Folgende Tabelle von Microsoft gibt Auskunft über mögliche Kombi­nationen:

 

Methode Primäre Authentifizierung Sekundäre Authentifizierung
Windows Hello for Business Ja MFA
Microsoft Authenticator-App Ja MFA und SSPR
FIDO2-Sicherheitsschlüssel Ja MFA
OATH-Hardwaretoken (Vorschau) Nein MFA und SSPR
OATH-Softwaretoken Nein MFA und SSPR
SMS Ja MFA und SSPR
Anruf Nein MFA und SSPR
Kennwort Ja  

Kombinierte Sicherheitsinformationen konfigurieren

Microsoft empfiehlt die so genannte kombinierte Registrierung von Sicherheits­informationen, um das Onboarding zu vereinfachen. Sie legt die möglichen Verfahren zur Authentifizierung einheitlich für MFA und Self-Service Password Reset (SSPR) fest. Um diese zu aktivieren, müssen Sie als globaler Administrator im Azure-AD-Blade des Azure-Portals auf Benutzer­einstellungen klicken und dann ganz unten dem Link bei Benutzerfeatures => Einstellungen für Benutzerfeatures verwalten folgen. Hier muss der Schieber für Benutzer können die Registrierungs­funktion für kombinierte Sicherheits­informationen verwenden (neue Mandanten werden automatisch aktiviert) auf Alle setzen.

Anmeldung per Authenticator aktivieren

Um die kenn­wortlose Authen­tifizierung mit dem Authenticator zu verwenden, wechseln Sie nun im Azure-AD-Blade zu Sicherheit => Authentifizierungs­methoden => Richtlinie und folgen dem Link Microsoft Authenticator. Setzen Sie dann im Abschnitt Basics den Schieber Aktivieren auf Ja und wählen bei Ziel wahlweise Alle Benutzer oder Benutzer auswählen. Mit einem Klick auf die 3 Punkte rechts können Sie dann auch den Authenti­fizierungs­modus (Push bzw. Kennwortlos) konfigurieren.

 

Das Einrichten des Authentifizierungsmodus für Microsoft Authenticator
Das Einrichten des Authentifizierungsmodus für Microsoft Authenticator.

Anmeldemethode vom Benutzer auswählen lassen

Anschließend kann der betreffende Benutzer die gewünschte Sicherheits­methode in seinem Konto hinzufügen. Dazu meldet er sich bei seinem Cloud-Konto an und klickt bei Sicherheitsinformationen auf Informationen aktualisieren. Hat er sich dazu noch einmal authentifiziert, dann kann er mit Anmeldemethode hinzufügen und der Auswahl des Eintrages Authenticator zunächst dafür sorgen, dass er die Authenticator App zur Anmeldung verwenden kann.

Auswählen einer konfigurierten Authentifizierungsmethode für Cloud-Benutzer in Kontoprofil.
Auswählen einer konfigurierten Authentifizierungsmethode für Cloud-Benutzer in Kontoprofil.

Smartphone registrieren

Möchte ein Cloud-Benutzer die Authenticator App für die kenn­wortlose Authentifizierung verwenden, dann muss sein Smartphone als Device im Azure AD registriert sein. Um das zu erreichen, fügt er das entsprechende Cloud-Konto seiner App hinzu, am einfachsten mittels QR-Codes.

Das Einrichten eines Kontos im Microsoft-Authenticator erfolgt über einen QR-Code.
Das Einrichten eines Kontos im Microsoft-Authenticator erfolgt über einen QR-Code.

Existiert das Azure-AD-Konto in der Authenticator-App, dann kann der Nutzer dort die Option Anmeldung per Telefon einrichten (Ohne Kennwort anmelden) auswählen.

Kennwortlose Authentifizierung in der Authenticator-App unter Android aktivieren
Kennwortlose Authentifizierung in der Authenticator-App unter Android aktivieren.

Anschließend sollte das Gerät als Azure AD registered in Geräteverwaltung des Azure AD auftauchen.

Hier weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Bitnami