Planen einer Bereitstellung mit kennwortloser Authentifizierung in Microsoft Entra ID
Kennwörter stellen einen primären Angriffsvektor dar. Angreifer verwenden Social Engineering-, Phishing- und Spray-Angriffe, um Kennwörter zu kompromittieren. Durch eine Strategie für die kennwortlose Authentifizierung wird das Risiko dieser Angriffe verringert.
Microsoft bietet die folgenden fünf Optionen für die kennwortlose Authentifizierung, die in Microsoft Entra ID integriert sind:
Microsoft Authenticator – verwandelt jedes iOS- oder Android-Telefon in eine starke, kennwortlose Zugangsberechtigung, mit dem sich Benutzer bei jeder Plattform oder jedem Browser anmelden können.
FIDO2-konforme Sicherheitsschlüssel: Diese Schlüssel sind besonders nützlich für Benutzer, die sich bei gemeinsam genutzten Computern wie z. B. Kioskcomputern anmelden, für Situationen, in denen die Verwendung von Telefonen eingeschränkt ist, sowie für hochprivilegierte Identitäten.
Windows Hello for Business-: Diese Option eignet sich am besten für Benutzer von dedizierten Windows-Computern.
Plattformanmeldeinformationen für macOS - eine Funktion von macOS, die mithilfe der Microsoft Enterprise Single Sign-On-Erweiterung (SSOe) aktiviert wird.
macOS Platform Single Sign-On mit SmartCard - eine neue Funktion in macOS für die Authentifizierung mit Smartcard, die mithilfe der Microsoft Enterprise Single Sign-On-Erweiterung (SSOe) aktiviert wird.
Hinweis
Wenn Sie eine Offlineversion dieses Plans mit sämtlichen Links erstellen möchten, verwenden Sie hierzu die Browserfunktion zum Drucken als PDF-Datei.
Verwenden des Assistenten für kennwortlose Methoden
Das Microsoft Entra Admin Center umfasst jetzt einen Assistenten für kennwortlose Methoden, mit dem Sie die geeignete Methode für Ihre jeweiligen Zielgruppen auswählen können. Wenn Sie die geeigneten Methoden noch nicht bestimmt haben, wechseln Sie zu https://aka.ms/passwordlesswizard, und kehren Sie dann zu diesem Artikel zurück, um mit der Planung für Ihre ausgewählten Methoden fortzufahren. Sie benötigen Administratorrechte, um auf diesen Assistenten zugreifen zu können.
Szenarien der kennwortlosen Authentifizierung
Die Methoden für die kennwortlose Authentifizierung von Microsoft unterstützen eine Vielzahl von Szenarien. Beachten Sie die Anforderungen Ihrer Organisation, die Voraussetzungen und die Funktionen der einzelnen Authentifizierungsmethoden, um Ihre Strategie für die kennwortlose Authentifizierung auszuwählen.
In der folgenden Tabelle sind die Methoden für die kennwortlose Authentifizierung nach Gerätetypen aufgeführt. Empfehlungen werden in kursiver Fettformatierung dargestellt.
Gerätetypen | Methoden zur kennwortlosen Authentifizierung |
---|---|
Dedizierte Nicht-Windows-Geräte | |
Dedizierte Windows 10-Computer (Version 1703 und höher) | |
Dedizierte Windows 10-Computer (vor Version 1703) | |
Freigegebene Geräte: Tablets und mobile Geräte | |
Kioskcomputer (Legacy) | |
Kioskcomputer und freigegebene Computer (Windows 10) |
Voraussetzungen
Stellen Sie sicher, dass die Voraussetzungen erfüllt sind, bevor Sie mit der kennwortlosen Bereitstellung beginnen.
Erforderliche Rollen
Nachfolgend werden die Rollen mit den geringsten Rechten aufgeführt, die für diese Bereitstellung erforderlich sind:
Microsoft Entra-Rolle | Beschreibung |
---|---|
Benutzeradministrator | Für die Implementierung einer kombinierten Registrierung. |
Authentifizierungsadministrator | Für die Implementierung und Verwaltung von Authentifizierungsmethoden. |
User | Für die Konfiguration der Authenticator-App auf dem Gerät oder für die Registrierung eines Hardwaresicherheitsschlüssel für Web- oder Windows 10-Anmeldungen. |
Im Rahmen dieses Bereitstellungsplans empfiehlt Microsoft, die kennwortlose Authentifizierung für alle privilegierten Konten zu aktivieren.
Microsoft Authenticator-App und Sicherheitsschlüssel
Die Voraussetzungen werden durch die ausgewählten Methoden für die kennwortlose Authentifizierung bestimmt.
Voraussetzung | Microsoft Authenticator | FIDO2-Sicherheitsschlüssel |
---|---|---|
Kombinierte Registrierung für Microsoft Entra-Multi-Faktor-Authentifizierung und Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) ist aktiviert | √ | √ |
Benutzer*innen können eine Microsoft Entra-Multi-Faktor-Authentifizierung durchführen | √ | √ |
Benutzer*innen haben sich für Microsoft Entra-Multi-Faktor-Authentifizierung und SSPR registriert | √ | √ |
Benutzer*innen haben ihre mobilen Geräte bei Microsoft Entra ID registriert | √ | |
Windows 10 Version 1809 oder höher mit einem unterstützten Browser wie Microsoft Edge oder Mozilla Firefox (ab Version 67) Microsoft empfiehlt Version 1903 oder höher für native Unterstützung. | √ | |
Kompatible Sicherheitsschlüssel. Stellen Sie sicher, dass Sie einen von Microsoft getesteten und verifizierten FIDO2-Sicherheitsschlüssel oder einen anderen kompatiblen FIDO2-Sicherheitsschlüssel verwenden. | √ |
Windows Hello for Business
Die Voraussetzungen und Bereitstellungspfade für Windows Hello for Business hängen stark davon ab, ob Sie die Bereitstellung in einer lokalen Konfiguration, in einer Hybridkonfiguration oder in einer reinen Cloudkonfiguration durchführen. Sie hängen außerdem von Ihrer Strategie für den Gerätebeitritt ab.
Wählen Sie Windows Hello for Business aus, und führen Sie den Assistenten aus, um die für Ihre Organisation geltenden Voraussetzungen und geeigneten Bereitstellungen zu ermitteln.
Der Assistent verwendet Ihre Eingaben, um einen Schritt-für-Schritt-Plan zu erstellen, dem Sie folgen können.
Plattformanmeldeinformationen für macOS
So aktivieren Sie Plattformanmeldeinformationenl für macOS:
- Ihr Mac muss über ein Betriebssystem von mindestens macOS 13 Ventura verfügen (macOS 14 Sonoma wird empfohlen)
- Das Gerät muss MDM-registriert und die SSO-Erweiterung so konfiguriert sein, dass Platform Single Sign-On (PSSO) mit UserSecureEnclaveKey unterstützt wird.
Hinweis
Es gibt ein bekanntes Problem, dass das Blatt „Authentifizierungsstärke“ derzeit sowohl die Plattformanmeldeinformationen für macOS als auch Windows Hello For Business mit demselben Namen der Authentifizierungsmethode darstellt, Windows Hello For Business. Wir arbeiten daran, die Plattformanmeldeinformationen für macOS separat darzustellen. Beim Konfigurieren der benutzerdefinierten Authentifizierungsstärke, die Plattformanmeldeinformationen für macOS verwenden muss, können Sie „Windows Hello For Business“ verwenden, bis der Fehler behoben ist.
Aktivieren von Plattformanmeldeinformationen für macOS als Passkey
Plattformanmeldeinformationen für macOS können als Phishing-widerstandsfähiger Passkey verwendet werden und sind nur für Benutzer der authentifizierten Methode Secure Enclave verfügbar. Die Möglichkeit, Plattformanmeldeinformationen für macOS als Passkey zu aktivieren, ist in den folgenden Browsern verfügbar:
- Safari
- Google Chrome (erfordert Unternehmensportal Version 5.2404.0 oder höher und die Chrome-Erweiterung)
Das Aktivieren von Plattformanmeldeinformationen für macOS als Passkey ist ein zweistufiger Prozess, der sowohl vom Administrator als auch vom Benutzer abgeschlossen werden muss.
- Wenn Sie die Plattformanmeldeinformationen für macOS als Administrator einrichten, lesen Sie die Schritte unter Passkeys (FIDO2) für Ihre Organisation aktivieren.
- Als Endbenutzer müssen Sie dies über die Einstellungen auf Ihrem Mac aktivieren. Sehen Sie sich auch die Schritte unter Einbinden eines Mac-Geräts in Microsoft Entra ID mithilfe des Unternehmensportals an.
macOS Platform Single Sign-On mit Smartcard
Um macOS Platform Single Sign-On (PSSO) mit SmartCard zu aktivieren, muss Ihr Mac über ein Betriebssystem von mindestens macOS 14 Sonoma verfügen. Die Konfigurationsschritte müssen über das Microsoft Intune Admin Centerausgeführt werden. Administratoren müssen die zertifikatbasierte Authentifizierungsmethode mithilfe der -Authentifizierungsmethodenrichtlinien konfigurieren und aktivieren, die im Microsoft Entra Admin Center verfügbar sind. Weitere Informationen finden Sie unter Zertifikatsbasierte Microsoft Entra-Authentifizierung konfigurieren.
Planen des Projekts
Wenn Technologieprojekte nicht gelingen, ist dies in der Regel auf nicht erfüllte Erwartungen auf den Gebieten Auswirkungen, Ergebnisse und Zuständigkeiten zurückzuführen. Um diese Fallstricke zu vermeiden, stellen Sie sicher, dass Sie die richtigen Beteiligten hinzuziehen und dass die Rollen der Beteiligten im Projekt gut verstanden werden.
Planen eines Pilotprojekts
Wenn Sie die kennwortlose Authentifizierung bereitstellen, sollten Sie zunächst mindestens eine Pilotgruppe aktivieren. Sie können speziell zu diesem Zweck Gruppen erstellen. Fügen Sie die Benutzer, die am Pilotversuch teilnehmen, den Gruppen hinzu. Aktivieren Sie dann neue kennwortlose Authentifizierungsmethoden für die ausgewählten Gruppen. Lesen Sie hierzu Bewährte Methoden für einen Pilotversuch.
Planen der Benachrichtigungen
Ihre Kommunikation mit Endbenutzern muss folgende Informationen enthalten:
Leitfaden zur kombinierten Registrierung für Microsoft Entra-Multi-Faktor-Authentifizierung und SSPR
Microsoft stellt Kommunikationsvorlagen für Endbenutzer bereit. Laden Sie das Material für den Authentifizierungsrollout herunter, um Ihre Kommunikation zu entwerfen. Die Materialien für den Rollout enthalten anpassbare Poster und E-Mail-Vorlagen, mit denen Sie Ihre Benutzer über die geplanten Optionen für die kennwortlose Authentifizierung in Ihrer Organisation informieren können.
Planen der Benutzerregistrierung
Benutzer registrieren ihre kennwortlose Methode als Teil des kombinierten Workflows für Sicherheitsinformationen unter https://aka.ms/mysecurityinfo. Microsoft Entra protokolliert die Registrierung von Sicherheitsschlüsseln und der Authenticator-App sowie alle weiteren Änderungen an den Authentifizierungsmethoden.
Für die erstmalige Nutzung können Administratoren einem Benutzer, der kein Kennwort besitzt, einen befristeten Zugriffspass für die Registrierung ihrer Sicherheitsinformationen unter https://aka.ms/mysecurityinfo bereitstellen. Dieser Zugriffspass ist zeitlich befristet und erfüllt strenge Authentifizierungsanforderungen. Ein befristeter Zugriffspass wird pro Benutzer bereitgestellt.
Diese Methode kann außerdem für eine einfache Wiederherstellung genutzt werden, wenn ein Benutzer seine Anmeldeinformationen verloren oder vergessen hat (z. B. einen Sicherheitsschlüssel oder die Authenticator-App), sich jedoch anmelden muss, um eine neue Methode für die strenge Authentifizierung zu registrieren.
Hinweis
Wenn Sie den Sicherheitsschlüssel oder die Authenticator-App in bestimmten Szenarien nicht verwenden können, kann die mehrstufige Authentifizierung mit einem Benutzernamen und einem Kennwort zusammen mit einer anderen registrierten Methode als Fallbackoption genutzt werden.
Vorbereitung und Bereitstellung von Microsoft Authenticator
Microsoft Authenticator verwandelt jedes iOS- oder Android-Telefon in eine starke, kennwortlose Zugangsberechtigung. Die App steht als kostenloser Download bei Google Play und im Apple App Store zur Verfügung. Fordern Sie die Benutzer auf, Microsoft Authenticator herunterzuladen und die Anweisungen zum Aktivieren der Anmeldung per Telefon zu befolgen.
Technische Überlegungen
Integration der Active Directory-Verbunddienste (AD FS): Wenn ein Benutzer die kennwortlosen Authenticator-Anmeldeinformationen aktiviert, wird die Authentifizierung für diesen Benutzer standardmäßig auf das Senden einer Genehmigungsbenachrichtigung festgelegt. Benutzer in einem Hybrid-Mandanten werden für die Anmeldung nicht an AD FS weitergeleitet, es sei denn, sie wählen „Stattdessen Ihr Kennwort verwenden“ aus. Bei diesem Prozess werden auch alle lokalen Richtlinien für bedingten Zugriff und Pass-Through-Authentifizierungsflüsse (PTA-Flüsse) umgangen. Wenn jedoch ein Anmeldehinweis (login_hint) angegeben ist, wird ein Benutzer an AD FS weitergeleitet, und die Option zur Verwendung von kennwortlosen Anmeldeinformationen wird umgangen. Für Nicht-Microsoft 365-Anwendungen, die AD FS für die Authentifizierung verwenden, werden Microsoft Entra-Richtlinien für bedingten Zugriff nicht angewendet, und Sie müssen Zugriffssteuerungsrichtlinien innerhalb von AD FS einrichten.
MFA Server: Endbenutzer*innen, für die die Multi-Faktor-Authentifizierung über den lokalen MFA-Server einer Organisation aktiviert ist, können einen einzigen Satz von Anmeldeinformationen für die kennwortlose Anmeldung per Telefon erstellen und verwenden. Wenn der Benutzer versucht, mehrere Installationen (5 oder mehr) der Authenticator-App mit den Anmeldeinformationen zu aktualisieren, kann diese Änderung zu einem Fehler führen.
Wichtig
Im September 2022 hat Microsoft angekündigt, dass die Unterstützung von Microsoft Azure Multi-Factor Authentication-Server eingestellt wird. Ab dem 30. September 2024 werden Bereitstellungen von Azure Multi-Factor Authentication-Server keine Anforderungen für die Multi-Faktor-Authentifizierung mehr bedienen. Dies könnte dazu führen, dass bei Authentifizierungen in Ihrer Organisation Fehler auftreten. Um unterbrechungsfreie Authentifizierungsdienste sicherzustellen und in einem unterstützten Zustand zu verbleiben, sollten Organisationen mithilfe des neuesten Migrationshilfsprogramms, das im aktuellsten Azure MFA-Server-Update enthalten ist, die Authentifizierungsdaten ihrer Benutzer zum cloudbasierten Azure MFA-Dienst migrieren. Weitere Informationen finden Sie unter Azure MFA-Server-Migration.
Geräteregistrierung: Um die Authenticator-App für die kennwortlose Authentifizierung zu verwenden, muss das Gerät im Microsoft Entra-Mandanten registriert sein und darf nicht von mehreren Personen gemeinsam genutzt werden. Ein Gerät kann nur bei einem einzigen Mandanten registriert werden. Das bedeutet, dass nur ein einzelnes Geschäfts-, Schul- oder Unikonto für die Anmeldung per Telefon über die Authenticator-App unterstützt wird.
Bereitstellen der Anmeldung per Telefon mit der Authenticator-App
Führen Sie die Schritte im Artikel Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator aus, um die Authenticator-App als kennwortlose Authentifizierungsmethode in Ihrer Organisation zu aktivieren.
Testen der Authenticator-App
Im Anschluss finden Sie Beispieltestfälle für die kennwortlose Authentifizierung mit der Authenticator-App:
Szenario | Erwartete Ergebnisse |
---|---|
Benutzer kann die Authenticator-App registrieren. | Benutzer kann die App über https://aka.ms/mysecurityinfo registrieren. |
Benutzer kann die Anmeldung per Telefon aktivieren | Anmeldung per Telefon ist für das Geschäftskonto konfiguriert. |
Benutzer kann auf eine App mit Anmeldung per Telefon zugreifen. | Benutzer durchläuft die Anmeldung per Telefon und erreicht die Anwendung. |
Testen des Rollbacks der Registrierung für die Anmeldung per Smartphone durch Deaktivieren der kennwortlosen Anmeldung in der Authenticator-App. Dies können Sie im Microsoft Entra Admin Center auf dem Bildschirm „Authentifizierungsmethoden“ erledigen. | Zuvor aktivierte Benutzer können kennwortlose Anmeldung über die Authenticator-App nicht mehr verwenden. |
Entfernen der Anmeldung per Telefon aus der Authenticator-App | Geschäftskonto ist für die Authenticator-App nicht mehr verfügbar. |
Behandeln von Problemen bei der Anmeldung per Telefon
Szenario | Lösung |
---|---|
Der Benutzer kann keine kombinierte Registrierung ausführen. | Sicherstellen, dass die kombinierte Registrierung aktiviert ist. |
Der Benutzer kann die Anmeldung per Telefon in der Authenticator-App nicht aktivieren. | Sicherstellen, dass sich der Benutzer im Gültigkeitsbereich für die Bereitstellung befindet. |
Der Benutzer befindet sich NICHT im Gültigkeitsbereich für die kennwortlose Authentifizierung. Trotzdem wird ihm die Option für die kennwortlose Anmeldung angezeigt, er kann sie jedoch nicht abschließen. | Tritt auf, wenn der Benutzer die Telefonanmeldung in der Anwendung aktiviert hat, bevor die Richtlinie erstellt wurde. Um die Anmeldung zu aktivieren, fügen Sie den Benutzer einer Benutzergruppe zu, die für die kennwortlose Anmeldung aktiviert ist. So blockieren Sie die Anmeldung Veranlassen Sie, dass der Benutzer seine Anmeldeinformationen aus der Anwendung entfernt. |
Planen und Bereitstellen FIDO2-konformer Sicherheitsschlüssel
Aktivieren Sie kompatible Sicherheitsschlüssel. Hier finden Sie eine Liste der FIDO2-Sicherheitsschlüsselanbieter, die Schlüssel bereitstellen, die bekanntermaßen mit der Funktion für die kennwortlose Anmeldung kompatibel sind.
Planen des Lebenszyklus für Sicherheitsschlüssel
Planen Sie den Schlüssellebenszyklus, und treffen Sie entsprechende Vorbereitungen.
Schlüsselverteilung: Planen Sie, wie Schlüssel für Ihre Organisation bereitgestellt werden sollen. Möglicherweise verfügen Sie über einen zentralisierten Bereitstellungsprozess oder erlauben den Endbenutzern, mit FIDO 2.0 kompatible Schlüssel zu erwerben.
Schlüsselaktivierung: Endbenutzer müssen den Sicherheitsschlüssel selbst aktivieren. Endbenutzer registrieren ihre Sicherheitsschlüssel unter https://aka.ms/mysecurityinfo und aktivieren den zweiten Faktor (PIN oder biometrisch) bei der ersten Verwendung. Bei der erstmaligen Verwendung können Benutzer einen befristeten Zugriffspass verwenden, um ihre Sicherheitsinformationen zu registrieren.
Deaktivieren eines Schlüssels: Wenn ein Administrator einen FIDO2-Schlüssel entfernen möchte, der einem Benutzerkonto zugeordnet ist, kann er zu diesem Zweck den Schlüssel wie unten beschrieben aus der Authentifizierungsmethode des Benutzers löschen. Weitere Informationen finden Sie unter Deaktivieren eines Schlüssels.
Neuen Schlüssel ausstellen: Der Benutzer kann den neuen FIDO2-Schlüssel registrieren, indem er zu https://aka.ms/mysecurityinfo wechselt.
Technische Überlegungen
Es gibt drei Arten von Bereitstellungen der kennwortlosen Anmeldung mit Sicherheitsschlüsseln:
Microsoft Entra Web-Apps in einem unterstützten Browser
In Microsoft Entra eingebundene Windows 10-Geräte
In Microsoft Entra Hybrid eingebundene Windows 10-Geräte
- Sie ermöglichen den Zugriff auf cloudbasierte und lokale Ressourcen. Weitere Informationen zum Zugriff auf lokale Ressourcen finden Sie unter Einmaliges Anmelden bei lokalen Ressourcen mithilfe von FIDO2-Schlüsseln.
Verwenden Sie für Microsoft Entra Web-Apps und in Microsoft Entra eingebundene Windows-Geräte folgende Komponenten:
Windows 10 Version 1809 oder höher mit einem unterstützten Browser wie Microsoft Edge oder Mozilla Firefox (ab Version 67)
Windows 10 Version 1809 unterstützt die FIDO2-Anmeldung und erfordert möglicherweise die Bereitstellung von Software des FIDO2-Schlüsselanbieters. Es wird die Verwendung von mindestens Version 1903 empfohlen.
Verwenden Sie für in eine Microsoft Entra Hybrid-Domäne eingebundene Geräte folgende Komponenten:
Windows 10, Version 2004 oder höher
Vollständig gepatchte Domänenserver unter Windows Server 2016 oder 2019.
Aktuelle Version von Microsoft Entra Connect.
Aktivieren von Windows 10-Unterstützung
Um die Windows 10-Anmeldung mit FIDO2-Sicherheitsschlüsseln zu aktivieren, muss die Funktionalität für Anmeldeinformationsanbieter in Windows 10 aktiviert werden. Wählen Sie eine der folgenden Optionen aus:
Aktivieren des Anmeldeinformationsanbieters mit Microsoft Intune
- Wir empfehlen eine Microsoft Intune-Bereitstellung.
Aktivieren des Anmeldeinformationsanbieters mittels eines Bereitstellungspakets
- Wenn eine Microsoft Intune-Bereitstellung nicht möglich ist, müssen Administratoren auf jedem Computer ein Paket bereitstellen, um die Funktionalität für Anmeldeinformationsanbieter zu aktivieren. Die Paketinstallation kann mit einer der folgenden Optionen ausgeführt werden:
- Gruppenrichtlinie oder Configuration Manager
- Lokale Installation auf einem Windows 10-Computer
- Wenn eine Microsoft Intune-Bereitstellung nicht möglich ist, müssen Administratoren auf jedem Computer ein Paket bereitstellen, um die Funktionalität für Anmeldeinformationsanbieter zu aktivieren. Die Paketinstallation kann mit einer der folgenden Optionen ausgeführt werden:
Aktivieren mit Gruppenrichtlinie
- Wird nur für in Microsoft Entra Hybrid eingebundene Geräte unterstützt.
Aktivieren der lokalen Integration
Befolgen Sie die Schritte im Artikel Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln bei lokalen Ressourcen.
Wichtig
Diese Schritte müssen auch für alle in Microsoft Entra Hybrid eingebundenen Geräte ausgeführt werden, um FIDO2-Sicherheitsschlüssel für die Windows 10-Anmeldung verwenden zu können.
Richtlinie zur Schlüsseleinschränkung
Wenn Sie den Sicherheitsschlüssel bereitstellen, können Sie die Verwendung von FIDO2-Schlüsseln optional nur auf bestimmte Hersteller beschränken, die von Ihrer Organisation genehmigt wurden. Zum Einschränken von Schlüsseln wird die Authenticator-Nachweis-GUID (Authenticator Attestation GUID, AAGUID) benötigt. Sie können Ihre AAGUID auf zwei Arten abrufen.
Wenn der Sicherheitsschlüssel eingeschränkt ist und der Benutzer versucht, den FIDO2-Sicherheitsschlüssel zu registrieren, wird folgender Fehler angezeigt:
Wenn die AAGUID eingeschränkt ist, nachdem der Benutzer den Sicherheitsschlüssel registriert hat, wird die folgende Meldung angezeigt:
*FIDO2-Schlüssel durch Schlüsseleinschränkungsrichtlinie blockiert
Bereitstellen der FIDO2-Sicherheitsschlüsselanmeldung
Befolgen Sie die Schritte im Artikel Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln, um FIDO2-Sicherheitsschlüssel als kennwortlose Authentifizierungsmethode in Ihrer Organisation zu aktivieren.
Testen von Sicherheitsschlüsseln
Im Folgenden finden Sie beispielhafte Testfälle für die kennwortlose Authentifizierung mit Sicherheitsschlüsseln.
Kennwortlose FIDO-Anmeldung bei in Microsoft Entra eingebundenen Windows 10-Geräten
Szenario (Windows-Build) | Erwartete Ergebnisse |
---|---|
Der Benutzer kann das FIDO2-Gerät registrieren (1809) | Der Benutzer kann das FIDO2-Gerät unter „Einstellungen > Konten > Anmeldeoptionen > Sicherheitsschlüssel“ registrieren. |
Der Benutzer kann das FIDO2-Gerät zurücksetzen (1809) | Der Benutzer kann das FIDO2-Gerät mithilfe der Herstellersoftware zurücksetzen |
Der Benutzer kann sich mit dem FIDO2-Gerät (1809) anmelden | Der Benutzer kann den Sicherheitsschlüssel im Anmeldefenster auswählen und sich erfolgreich anmelden. |
Der Benutzer kann das FIDO2-Gerät registrieren (1903) | Der Benutzer kann das FIDO2-Gerät unter „Einstellungen > Konten > Anmeldeoptionen > Sicherheitsschlüssel“ registrieren. |
Der Benutzer kann das FIDO2-Gerät zurücksetzen (1903) | Der Benutzer kann das FIDO2-Gerät unter „Einstellungen > Konten > Anmeldeoptionen > Sicherheitsschlüssel“ zurücksetzen. |
Der Benutzer kann sich mit dem FIDO2-Gerät (1903) anmelden | Der Benutzer kann den Sicherheitsschlüssel im Anmeldefenster auswählen und sich erfolgreich anmelden. |
Kennwortlose FIDO-Anmeldung bei Microsoft Entra-Web-Apps
Szenario | Erwartete Ergebnisse |
---|---|
Der Benutzer kann das FIDO2-Gerät über „aka.ms/mysecurityinfo“ mit Microsoft Edge registrieren | Registrierung sollte erfolgreich sein |
Der Benutzer kann das FIDO2-Gerät über „aka.ms/mysecurityinfo“ mit Firefox registrieren | Registrierung sollte erfolgreich sein |
Der Benutzer kann sich mithilfe des FIDO2-Geräts über Microsoft Edge bei OneDrive online anmelden | Anmeldung sollte erfolgreich sein |
Der Benutzer kann sich mithilfe des FIDO2-Geräts über Firefox bei OneDrive online anmelden | Anmeldung sollte erfolgreich sein |
Testen des Rollbacks der FIDO2-Geräteregistrierung durch Deaktivieren der FIDO2-Sicherheitsschlüssel im Fenster „Authentifizierungsmethoden“ im Microsoft Entra Admin Center | Für die Benutzer gilt Folgendes: |
Behandeln von Problemen bei der Anmeldung mit Sicherheitsschlüssel
Szenario | Lösung |
---|---|
Der Benutzer kann keine kombinierte Registrierung ausführen. | Sicherstellen, dass die kombinierte Registrierung aktiviert ist. |
Der Benutzer kann in seinen Sicherheitseinstellungen keinen Sicherheitsschlüssel hinzufügen. | Sicherstellen, dass Sicherheitsschlüssel aktiviert sind. |
Der Benutzer kann in den Windows 10-Anmeldeoptionen keinen Sicherheitsschlüssel hinzufügen. | Stellen Sie sicher, dass Sicherheitsschlüssel für die Windows-Anmeldung aktiviert sind. |
Fehlermeldung: Wir haben festgestellt, dass dieser Browser oder dieses Betriebssystem keine FIDO2-Sicherheitsschlüssel unterstützt. | Kennwortlose FIDO2-Sicherheitsgeräte können nur in unterstützten Browsern (Microsoft Edge, Firefox-Version 67) unter Windows 10, Version 1809 oder höher, registriert werden. |
Fehlermeldung: Für Ihre Unternehmensrichtlinie müssen Sie eine andere Anmeldungsmethode verwenden. | Stellen Sie sicher, dass Sicherheitsschlüssel im Mandanten aktiviert sind. |
Benutzer kann meinen Sicherheitsschlüssel unter Windows 10, Version 1809 nicht verwalten | Version 1809 erfordert, dass Sie die vom FIDO2-Schlüsselanbieter bereitgestellte Sicherheitsschlüssel-Verwaltungssoftware verwenden. Bitten Sie den Anbieter um Support. |
Mein FIDO2-Sicherheitsschlüssel ist möglicherweise fehlerhaft. Wie kann ich ihn testen? | Navigieren Sie zu https://webauthntest.azurewebsites.net/, geben Sie Anmeldeinformationen für ein Testkonto ein, stecken Sie den betroffenen Sicherheitsschlüssel ein, wählen Sie rechts oben auf dem Bildschirm die Schaltfläche + aus, klicken Sie auf „Erstellen“, und durchlaufen Sie den Erstellungsvorgang. Wenn in diesem Szenario ein Fehler auftritt, ist Ihr Gerät möglicherweise fehlerhaft. |
Verwalten der kennwortlosen Authentifizierung
Um die kennwortlosen Authentifizierungsmethoden Ihres Benutzers oder Ihrer Benutzerin im Microsoft Entra Admin Center zu verwalten, wählen Sie Ihr Benutzerkonto und dann „Authentifizierungsmethoden“ aus.
Microsoft Graph-APIs
Sie können die Methoden für die kennwortlose Authentifizierung auch mithilfe der Authentifizierungsmethoden-API in Microsoft Graph verwalten. Zum Beispiel:
Sie können Details zum FIDO2-Sicherheitsschlüssel eines Benutzers abrufen und löschen, wenn der Benutzer den Schlüssel verloren hat.
Sie können Details zur Registrierung der Authenticator-App eines Benutzers abrufen und löschen, wenn der Benutzer das Smartphone verloren hat.
Verwalten Sie Ihre Richtlinien für Authentifizierungsmethoden für Sicherheitsschlüssel und die Authenticator-App.
Weitere Informationen dazu, welche Authentifizierungsmethoden in Microsoft Graph verwaltet werden können, finden Sie unter Übersicht über die Microsoft Entra-Authentifizierungsmethoden-API.
Rollback
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Obwohl die kennwortlose Authentifizierung ein einfaches Feature mit minimalen Auswirkungen auf Endbenutzer ist, muss möglicherweise ein Rollback ausgeführt werden.
Für das Rollback muss sich der/die Administrator*in beim Microsoft Entra Admin Center anmelden, die gewünschten sicheren Authentifizierungsmethoden auswählen und die Aktivierungsoption in „Nein“ ändern. Dadurch wird die kennwortlose Funktion für alle Benutzer deaktiviert.
Benutzer, die bereits FIDO2-Sicherheitsgeräte registriert haben, werden bei der nächsten Anmeldung aufgefordert, das Sicherheitsgerät zu verwenden, und es wird die folgende Fehlermeldung angezeigt:
Berichterstellung und Überwachung
Microsoft Entra ID stellt Berichte zur Verfügung, die technische und geschäftliche Erkenntnisse bieten. Sorgen Sie dafür, dass die Besitzer Ihrer geschäftlichen und technischen Anwendungen den Besitz dieser Berichte übernehmen und sie den Anforderungen Ihrer Organisation gemäß nutzen.
Die folgende Tabelle enthält einige Beispiele für typische Berichtsszenarien:
Risikomanagement | Steigerung der Produktivität | Governance und Einhaltung | Andere |
---|---|---|---|
Berichtstypen | Authentifizierungsmethoden: Benutzer, die für die kombinierte Sicherheitsregistrierung registriert sind | Authentifizierungsmethoden: Benutzer, die für die App-Benachrichtigung registriert sind | Anmeldungen: Überprüfen, wer wie auf den Mandanten zugreift |
Mögliche Aktionen | Zielbenutzer noch nicht registriert | Steuern der Übernahme der Authenticator-App oder von Sicherheitsschlüsseln | Zugriff widerrufen oder zusätzliche Sicherheitsrichtlinien für Administratoren erzwingen |
Nachverfolgen von Nutzung und Erkenntnissen
Microsoft Entra ID fügt den Überwachungsprotokollen in folgenden Fällen Einträge hinzu:
Ein Administrator nimmt im Authentifizierungsmethoden-Abschnitt Änderungen vor.
Benutzer*innen nehmen in Microsoft Entra ID Änderungen an ihren Anmeldeinformationen vor.
Ein Benutzer aktiviert oder deaktiviert sein Konto für einen Sicherheitsschlüssel oder setzt den zweiten Faktor für den Sicherheitsschlüssel auf dem Windows 10-Computer zurück. Siehe Ereignis-IDs 4670 und 5382.
Microsoft Entra ID speichert die meisten Überwachungsdaten 30 Tage lang und stellt sie im Microsoft Entra Admin Center oder per API zur Verfügung, damit Sie sie in Ihre Analysesysteme herunterladen können. Wenn Sie einen längeren Aufbewahrungszeitraum benötigen, exportieren und nutzen Sie die Protokolle in einem SIEM-Tool wie Microsoft Sentinel, Splunk oder Sumo Logic. Wir empfehlen eine längere Aufbewahrung für Überwachungen, Trendanalysen und andere Geschäftsanforderungen.
Das Aktivitätsdashboard für Authentifizierungsmethoden umfasst zwei Registerkarten: „Registrierung“ und „Nutzung“.
Auf der Registerkarte „Registrierung“ wird angegeben, wie viele Benutzer eine kennwortlose Authentifizierung durchführen können, und es werden weitere Authentifizierungsmethoden angezeigt. Diese Registerkarte umfasst zwei Diagramme:
Registrierte Benutzer nach Authentifizierungsmethode
Kürzlich durchgeführte Registrierungen nach Authentifizierungsmethode
Auf der Registerkarte „Nutzung“ werden die Anmeldungen nach Authentifizierungsmethode angezeigt.
Weitere Informationen finden Sie unter Nachverfolgen von registrierten Authentifizierungsmethoden und Nutzung innerhalb der Microsoft Entra-Organisation.
Berichte zu Anmeldeaktivitäten
Verwenden Sie den Bericht zur Anmeldeaktivität, um die Authentifizierungsmethoden nachzuverfolgen, die zum Anmelden bei den verschiedenen Anwendungen verwendet werden.
Wählen Sie die Benutzerzeile und dann die Registerkarte Authentifizierungsdetails aus, um anzuzeigen, welche Authentifizierungsmethode für welche Anmeldeaktivität verwendet wurde.