Skip to content
Permalink
Branch: master
Find file Copy path
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
94 lines (64 sloc) 7.31 KB
title description services ms.service ms.subservice ms.topic ms.date ms.author author manager ms.reviewer ms.custom ms.collection ms.openlocfilehash ms.sourcegitcommit ms.translationtype ms.contentlocale ms.lasthandoff ms.locfileid
Kennwortlose Anmeldung mit der Microsoft Authenticator-App (Vorschauversion) – Azure Active Directory
Anmelden bei Azure AD mithilfe der Microsoft Authenticator-App ohne Verwendung Ihres Kennworts (Public Preview)
active-directory
active-directory
authentication
conceptual
02/01/2019
joflore
MicrosoftGuyJFlo
daveba
librown
seo-update-azuread-jan
M365-identity-device-management
bb10378d890c2b7156b6764321e177a22ffc538a
d4dfbc34a1f03488e1b7bc5e711a11b72c717ada
HT
de-DE
06/13/2019
66472758

Telefonanmeldung ohne Kennwort mit der Microsoft Authenticator-App (Public Preview)

Mit der Microsoft Authenticator-App können sich Benutzer bei jedem beliebigen Azure AD-Konto anmelden, ohne ein Kennwort zu verwenden. Ähnlich wie die Technologie von Windows Hello for Business nutzt Microsoft Authenticator die schlüsselbasierte Authentifizierung, um die Verwendung von Benutzeranmeldeinformationen zu ermöglichen, die an ein Gerät gebunden sind und auf biometrischen Daten oder einer PIN beruhen.

Beispiel für eine browserbasierte Anmeldung, die der Benutzer bestätigen muss

Für einen Benutzer, der die Anmeldung per Smartphone in der Microsoft Authenticator-App aktiviert hat, wird nach der Eingabe eines Benutzernamens keine Kennwortaufforderung angezeigt, sondern eine Meldung, in der er aufgefordert wird, in der App auf eine Nummer zu tippen. In der App muss der Benutzer auf die richtige Nummer tippen, „Genehmigen“ auswählen und dann seine PIN eingeben oder seinen biometrischen Schlüssel verwenden, um die Authentifizierung abzuschließen.

Aktivieren der Benutzer

Bei der Public Preview-Version muss ein Administrator zunächst mithilfe von PowerShell eine Richtlinie hinzufügen, um die Verwendung der Anmeldeinformationen im Mandanten zu ermöglichen. Lesen Sie den Abschnitt „Bekannte Probleme“, bevor Sie diesen Schritt ausführen.

Voraussetzungen für den Mandanten

  • Azure Active Directory
  • Microsoft Azure Multi-Factor Authentication ist für Endbenutzer aktiviert.
  • Benutzer können ihre Geräte registrieren.

Schritte zum Aktivieren

  1. Stellen Sie sicher, dass bei Ihnen die neueste Public Preview-Version des Azure Active Directory V2 PowerShell-Moduls installiert ist. Dazu empfiehlt es sich unter Umständen, das Modul zu deinstallieren und anschließend erneut zu installieren. Führen Sie hierzu die folgenden Befehle aus:

    Uninstall-Module -Name AzureADPreview
    Install-Module -Name AzureADPreview
  2. Führen Sie die Authentifizierung für den Azure AD-Mandanten durch, um das Azure AD V2 PowerShell-Modul zu verwenden. Beim verwendeten Konto muss es sich um einen Sicherheitsadministrator oder globalen Administrator handeln.

    Connect-AzureAD
  3. Erstellen Sie die Richtlinie für die Authenticator-Anmeldung:

    New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition '{"AuthenticatorAppSignInPolicy":{"Enabled":true}}' -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn

Wie aktivieren Endbenutzer die Anmeldung per Smartphone?

In der Public Preview-Version ist es nicht möglich, die Erstellung oder Verwendung dieser neuen Anmeldeinformationen durch Benutzer zu erzwingen. Für einen Endbenutzer gilt die Anmeldung ohne Kennwort erst, wenn ein Administrator die Richtlinie für den jeweiligen Mandanten aktiviert und der Benutzer die Microsoft Authenticator-App aktualisiert hat, um die Anmeldung per Smartphone zu aktivieren.

[!NOTE] Diese Funktion ist seit März 2017 in der App verfügbar. Wenn die Richtlinie für einen Mandanten aktiviert ist, ist es daher möglich, dass dieser Anmeldungsablauf sofort für Benutzer verwendet wird. Bedenken Sie dies, und breiten Sie Ihre Benutzer auf die Umstellung vor.

  1. Für Microsoft Azure Multi-Factor Authentication (MFA) registrieren.
  2. Aktuelle Version von Microsoft Authenticator auf Geräten mit iOS 8.0 oder höher oder Android 6.0 oder höher installieren.
  3. Geschäfts-, Schul- oder Unikonto mit Pushbenachrichtigungen zur App hinzufügen. Die Dokumentation für Endbenutzer finden Sie unter https://aka.ms/authappstart.

Sobald die Benutzer das MFA-Konto mit Pushbenachrichtigungen in der Microsoft Authenticator-App eingerichtet haben, können sie den Schritten im Artikel Sign in with your phone, not your password (Anmelden per Smartphone anstelle Ihres Kennworts) folgen, um die Registrierung für die Anmeldung per Smartphone abzuschließen.

Bekannte Probleme

AD FS-Integration

Wenn ein Benutzer die Microsoft Authenticator-Anmeldeinformationen ohne Kennwort aktiviert hat, wird die Authentifizierung für diesen Benutzer standardmäßig immer auf das Senden einer Genehmigungsbenachrichtigung festgelegt. Diese Logik verhindert, dass Benutzer in einem Hybridmandanten zur Überprüfung der Anmeldung zu Active Directory-Verbunddienste (AD FS) weitergeleitet werden, ohne zusätzlich auf „Stattdessen Ihr Kennwort verwenden“ zu klicken. Bei diesem Prozess werden auch alle lokalen Richtlinien für bedingten Zugriff und Passthrough-Authentifizierungsflüsse umgangen. Dabei gilt jedoch folgende Ausnahme: Wenn ein Anmeldehinweis (login_hint) angegeben ist, wird ein Benutzer automatisch zu AD FS weitergeleitet, und die Option zur Verwendung von Anmeldeinformationen ohne Kennwort wird umgangen.

Azure MFA-Server

Endbenutzer, für die MFA über den lokalen Azure MFA-Server einer Organisation aktiviert ist, können weiterhin einen einzelnen Satz von Anmeldeinformationen für die Anmeldung per Smartphone ohne Kennwort erstellen und verwenden. Wenn der Benutzer versucht, mehrere Installationen (fünf oder mehr) von Microsoft Authenticator mit den Anmeldeinformationen zu aktualisieren, kann diese Änderung zu einem Fehler führen.

Geräteregistrierung

Eine der Voraussetzungen für die Erstellung dieser neuen, sicheren Anmeldeinformationen ist die Registrierung des zugehörigen Geräts im Azure AD-Mandanten für einen einzelnen Benutzer. Aufgrund der Einschränkungen, die für die Registrierung von Geräten gelten, kann ein Gerät nur in einem einzigen Mandanten registriert werden. Dies bedeutet, dass nur ein Geschäfts-, Schul- oder Unikonto in der Microsoft Authenticator-App für die Anmeldung per Smartphone aktiviert werden kann.

Nächste Schritte

Informationen zur Geräteregistrierung

Informationen zu Microsoft Azure Multi-Factor Authentication

You can’t perform that action at this time.