In der Cloud ist eine sichere Authentifizierung unerlässlich. Eine reine Anmeldung mit Benutzername und Passwort erfüllt diese Anforderung nicht. Dieses simple Verfahren lässt sich mittels MFA absichern oder durch kennwortlose Methoden ersetzen. Azure AD unterstützt mehrere davon, darunter auch die Authenticator App.
Für Nutzer im Azure Active Directory empfiehlt Microsoft die kennwortlose Authentifizierung mittels Windows Hello, FIDO2-Sicherheitsschlüssel oder der Microsoft Authenticator-App. Anwender können sich zwar auch mit Benutzername und Passwort anmelden, sollten das aber unbedingt in Kombination mit MFA tun. Folgende Abbildung zeigt Microsofts Hierarchie der sicheren Anmeldeverfahren:
Wie man sieht, lässt sich die Authenticator App sowohl für die primäre Authentifizierung (zum Beispiel „kennwortlos“) als auch für die sekundäre Authentifizierung (für Self-Service Password Reset (SSPR) oder MFA) verwenden. Folgende Tabelle von Microsoft gibt Auskunft über mögliche Kombinationen:
| Methode | Primäre Authentifizierung | Sekundäre Authentifizierung |
|---|---|---|
| Windows Hello for Business | Ja | MFA |
| Microsoft Authenticator-App | Ja | MFA und SSPR |
| FIDO2-Sicherheitsschlüssel | Ja | MFA |
| OATH-Hardwaretoken (Vorschau) | Nein | MFA und SSPR |
| OATH-Softwaretoken | Nein | MFA und SSPR |
| SMS | Ja | MFA und SSPR |
| Anruf | Nein | MFA und SSPR |
| Kennwort | Ja |
Kombinierte Sicherheitsinformationen konfigurieren
Microsoft empfiehlt die so genannte kombinierte Registrierung von Sicherheitsinformationen, um das Onboarding zu vereinfachen. Sie legt die möglichen Verfahren zur Authentifizierung einheitlich für MFA und Self-Service Password Reset (SSPR) fest. Um diese zu aktivieren, müssen Sie als globaler Administrator im Azure-AD-Blade des Azure-Portals auf Benutzereinstellungen klicken und dann ganz unten dem Link bei Benutzerfeatures => Einstellungen für Benutzerfeatures verwalten folgen. Hier muss der Schieber für Benutzer können die Registrierungsfunktion für kombinierte Sicherheitsinformationen verwenden (neue Mandanten werden automatisch aktiviert) auf Alle setzen.
Anmeldung per Authenticator aktivieren
Um die kennwortlose Authentifizierung mit dem Authenticator zu verwenden, wechseln Sie nun im Azure-AD-Blade zu Sicherheit => Authentifizierungsmethoden => Richtlinie und folgen dem Link Microsoft Authenticator. Setzen Sie dann im Abschnitt Basics den Schieber Aktivieren auf Ja und wählen bei Ziel wahlweise Alle Benutzer oder Benutzer auswählen. Mit einem Klick auf die 3 Punkte rechts können Sie dann auch den Authentifizierungsmodus (Push bzw. Kennwortlos) konfigurieren.
Anmeldemethode vom Benutzer auswählen lassen
Anschließend kann der betreffende Benutzer die gewünschte Sicherheitsmethode in seinem Konto hinzufügen. Dazu meldet er sich bei seinem Cloud-Konto an und klickt bei Sicherheitsinformationen auf Informationen aktualisieren. Hat er sich dazu noch einmal authentifiziert, dann kann er mit Anmeldemethode hinzufügen und der Auswahl des Eintrages Authenticator zunächst dafür sorgen, dass er die Authenticator App zur Anmeldung verwenden kann.
Smartphone registrieren
Möchte ein Cloud-Benutzer die Authenticator App für die kennwortlose Authentifizierung verwenden, dann muss sein Smartphone als Device im Azure AD registriert sein. Um das zu erreichen, fügt er das entsprechende Cloud-Konto seiner App hinzu, am einfachsten mittels QR-Codes.
Existiert das Azure-AD-Konto in der Authenticator-App, dann kann der Nutzer dort die Option Anmeldung per Telefon einrichten (Ohne Kennwort anmelden) auswählen.
Anschließend sollte das Gerät als Azure AD registered in Geräteverwaltung des Azure AD auftauchen.