Optionen für die kennwortlose Authentifizierung für Azure Active Directory

  • Artikel
  • 9 Minuten Lesedauer

Features wie die Multi-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) bieten hervorragende Möglichkeiten, Ihre Organisation zu schützen. Allerdings ist es für Benutzer oft lästig, sich nicht nur ihre Kennwörter merken, sondern zusätzlich noch weitere Sicherheitsmaßnahmen durchführen zu müssen. Kennwortlose Authentifizierungsmethoden sind bequemer, weil das Kennwort entfällt und durch etwas ersetzt wird, das Sie haben, plus etwas, das Sie sind oder das Sie wissen.

Authentifizierung Etwas, das Sie haben Etwas, das Sie wissen
Kennwortlos Windows 10-Gerät, Smartphone oder Sicherheitsschlüssel Biometrische Daten oder PIN

Jede Organisation hat unterschiedliche Anforderungen in Bezug auf die Authentifizierung. Die globale Microsoft Azure-Plattform und Microsoft Azure Government bieten die folgenden drei Optionen für die kennwortlose Authentifizierung, die in Azure Active Directory (Azure AD) integriert werden können:

  • Windows Hello for Business
  • Microsoft Authenticator
  • FIDO2-Sicherheitsschlüssel

Authentifizierung: Sicherheits- und Komfortaspekte

Windows Hello for Business

Windows Hello for Business eignet sich ideal für Information-Worker, die über einen eigenen Windows-PC verfügen. Die biometrischen und PIN-basierten Anmeldeinformationen sind direkt mit dem PC des Benutzers verknüpft, wodurch verhindert wird, dass jemand anderes als der Eigentümer Zugriff erhält. Mit PKI-Integration (Public Key-Infrastruktur) und integrierter Unterstützung für einmaliges Anmelden (Single Sign-On, SSO) bietet Windows Hello for Business eine praktische Methode für den nahtlosen Zugriff auf Unternehmensressourcen lokal und in der Cloud.

Beispiel für eine Benutzeranmeldung mit Windows Hello for Business

Die folgenden Schritte zeigen, wie der Anmeldevorgang mit Azure AD funktioniert:

Diagramm mit Übersicht über die Schritte bei der Benutzeranmeldung mit Windows Hello for Business

  1. Ein Benutzer meldet sich bei Windows mit biometrischer Geste oder PIN an. Die Geste entsperrt den privaten Schlüssel von Windows Hello for Business, und die Daten werden an den Security Support Provider für Cloudauthentifizierung gesendet, auch als Cloudauthentifizierungsanbieter bezeichnet.
  2. Der Cloudauthentifizierungsanbieter fordert eine Nonce (eine zufällige beliebige Zahl, die nur einmal verwendet werden kann) von Azure AD an.
  3. Azure AD gibt eine Nonce zurück, die 5 Minuten lang gültig ist.
  4. Der Cloudauthentifizierungsanbieter signiert die Nonce mit dem privaten Schlüssel des Benutzers und gibt die signierte Nonce an Azure AD zurück.
  5. Azure AD überprüft die signierte Nonce, indem der Dienst den sicher registrierten öffentlichen Schlüssel des Benutzers mit der Nonce-Signatur abgleicht. Azure AD überprüft die Signatur und dann die zurückgegebene signierte Nonce. Nach der Überprüfung der Nonce erstellt Azure AD ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) mit Sitzungsschlüssel, das mit dem Transportschlüssel des Geräts verschlüsselt ist, und gibt es an den Cloudauthentifizierungsanbieter zurück.
  6. Der Cloud-AP-Anbieter erhält das verschlüsselte PRT mit Sitzungsschlüssel. Der Cloud-AP-Anbieter entschlüsselt mithilfe des privaten Transportschlüssels des Geräts den Sitzungsschlüssel und schützt den Sitzungsschlüssel mit dem Trusted Platform Module (TPM) des Geräts.
  7. Der Cloudauthentifizierungsanbieter gibt als Antwort an Windows zurück, dass die Authentifizierung erfolgreich war. Der Benutzer kann nun sowohl auf Windows-Anwendungen als auch auf Cloudanwendungen und lokale Anwendungen zugreifen, ohne dass eine wiederholte Authentifizierung erforderlich ist (SSO).

Das Planungshandbuch für Windows Hello for Business kann verwendet werden, um die Auswahl der Art der Bereitstellung von Windows Hello for Business und die zu berücksichtigenden Optionen zu erleichtern.

Microsoft Authenticator

Sie können auch das Smartphone von Mitarbeitern als kennwortlose Authentifizierungsmethode zulassen. Möglicherweise verwenden Sie bereits die Authenticator-App als komfortable MFA-Option zusätzlich zu einem Kennwort. Sie können auch die Authenticator-App als kennwortlose Option verwenden.

Anmelden bei Microsoft Edge mit der Microsoft Authenticator-App

Die Authenticator-App wandelt jedes iOS- oder Android-Telefon in sichere kennwortlose Anmeldeinformationen um. Benutzer können sich bei jeder beliebigen Plattform oder jedem beliebigen Browser anmelden, indem sie eine Benachrichtigung auf ihrem Telefon erhalten, eine auf dem Bildschirm angezeigte Zahl mit der Zahl auf dem Telefon abgleichen und dann ihre biometrischen Daten (Touch oder Gesicht) oder ihre PIN zur Bestätigung verwenden. Weitere Informationen zur Installation finden Sie unter Herunterladen und Installieren von Microsoft Authenticator.

Das Grundprinzip der kennwortlosen Authentifizierung mit der Authenticator-App ist dasselbe wie bei Windows Hello for Business. Sie ist etwas komplizierter, da der Benutzer identifiziert werden muss, damit Azure AD die verwendete Version der Authenticator-App herausfinden kann:

Diagramm mit Übersicht über die Schritte bei der Benutzeranmeldung mit der Microsoft Authenticator-App

  1. Der Benutzer gibt seinen Benutzernamen ein.
  2. Azure AD erkennt, dass der Benutzer über sichere Anmeldeinformationen verfügt, und startet den Strong Credential-Flow (Ablauf für sichere Anmeldeinformationen).
  3. Über den Apple Push Notification Service (APNS) bei iOS-Geräten bzw. Firebase Cloud Messaging (FCM) bei Android-Geräten wird eine Benachrichtigung an die App gesendet.
  4. Der Benutzer erhält die Pushbenachrichtigung und öffnet die App.
  5. Die App ruft Azure AD auf und erhält eine Proof-of-Presence-Abfrage sowie eine Nonce.
  6. Der Benutzer beantwortet die Abfrage durch Eingabe von biometrischen Daten oder einer PIN, um den privaten Schlüssel zu entsperren.
  7. Die Nonce wird mit dem privaten Schlüssel signiert und an Azure AD zurückgesendet.
  8. Azure AD überprüft den öffentlichen/privaten Schlüssel und gibt ein Token zurück.

Um mit der kennwortlosen Anmeldung zu beginnen, lesen Sie folgende Anleitung:

Aktivieren der kennwortlosen Anmeldung mit der Authenticator-App

FIDO2-Sicherheitsschlüssel

Die FIDO-Allianz (Fast IDentity Online) fördert offene Standards für die Authentifizierung und trägt zur Reduzierung der Verwendung von Kennwörtern als Authentifizierungsmethode bei. FIDO2 ist der aktuelle Standard, der den Webauthentifizierungsstandard (WebAuthn) beinhaltet.

FIDO2-Sicherheitsschlüssel sind eine Phishing-resistente, standardbasierte Methode zur kennwortlosen Authentifizierung, die in jedem Formfaktor verfügbar sein kann. Fast Identity Online (FIDO) ist ein offener Standard für die kennwortlose Authentifizierung. Dank FIDO können Benutzer und Organisationen den Standard nutzen, um sich ohne Benutzername oder Kennwort mit einem externen Sicherheitsschlüssel oder einem in ein Gerät integrierten Plattformschlüssel bei ihren Ressourcen anzumelden.

Benutzer können einen FIDO2-Sicherheitsschlüssel registrieren und dann auf dem Anmeldebildschirm als Hauptauthentifizierungsmethode auswählen. Bei diesen FIDO2-Sicherheitsschlüsseln handelt es sich in der Regel um USB-Geräte, es können aber auch Bluetooth- oder NFC-Geräte sein. Mit einem Hardwaregerät, das für die Authentifizierung sorgt, erhöht sich die Sicherheit eines Kontos, da es kein Kennwort gibt, das verfügbar gemacht oder erraten werden kann.

FIDO2-Sicherheitsschlüssel können verwendet werden, um sich bei in Azure AD oder Azure AD Hybrid eingebundenen Windows 10-Geräten anzumelden und das einmalige Anmelden für den Zugriff auf cloudbasierte und lokale Ressourcen zu nutzen. Benutzer können sich auch bei unterstützten Browsern anmelden. FIDO2-Sicherheitsschlüssel sind eine gute Option für Unternehmen, die sehr sicherheitsbewusst sind oder deren Mitarbeiter nicht bereit oder in der Lage sind, ihr Telefon als zweiten Faktor zu nutzen, oder aber bei denen andere entsprechende Szenarien vorliegen.

Es stehen ein Referenzdokument, für das Browser die FIDO2-Authentifizierung mit Azure AD unterstützen, sowie bewährte Methoden für Entwickler zur Verfügung, die FIDO2-Authentifizierung in den von ihnen entwickelten Anwendungen unterstützen möchten.

Anmelden bei Microsoft Edge mit einem Sicherheitsschlüssel

Wenn ein Benutzer sich mit einem FIDO2-Sicherheitsschlüssel anmeldet, sieht der Prozess wie folgt aus:

Diagramm mit Übersicht über die Schritte bei der Benutzeranmeldung mit einem FIDO2-Sicherheitsschlüssel

  1. Der Benutzer steckt den FIDO2-Sicherheitsschlüssel in seinen Computer.
  2. Windows erkennt den FIDO2-Sicherheitsschlüssel.
  3. Windows sendet eine Authentifizierungsanforderung.
  4. Azure AD sendet eine Nonce zurück.
  5. Der Benutzer führt eine Geste aus, um den privaten Schlüssel freizuschalten, der in der sicheren Enclave des FIDO2-Sicherheitsschlüssels gespeichert ist.
  6. Der FIDO2-Sicherheitsschlüssel signiert die Nonce mit dem privaten Schlüssel.
  7. Die Anforderung des primären Aktualisierungstokens (PRT) mit signierter Nonce wird an Azure AD gesendet.
  8. Azure AD überprüft die signierte Nonce mit dem öffentlichen FIDO2-Schlüssel.
  9. Azure AD gibt das PRT zurück, um den Zugriff auf lokale Ressourcen zu ermöglichen.

FIDO2-Sicherheitsschlüsselanbieter

Die folgenden Anbieter bieten FIDO2-Sicherheitsschlüssel in verschiedenen Formfaktoren an, die bekanntermaßen mit der kennwortlosen Benutzererfahrung kompatibel sind. Wir empfehlen Ihnen, die Sicherheitseigenschaften dieser Schlüssel zu bewerten, indem sie sich an den Hersteller und die FIDO Alliance wenden.

Anbieter Biometrisch USB NFC BLE FIPS-zertifiziert Kontakt
AuthenTrend j y y y n https://authentrend.com/about-us/#pg-35-3
Ciright n n y n n https://www.cyberonecard.com/
Crayonic j n y y n https://www.crayonic.com/keyvault
Ensurity j y n n n https://www.ensurity.com/contact
Excelsecu j y j y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian j y j y j https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
Giesecke + Devrient (G+D) y y j y n https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. n y j y n https://www.gotrustid.com/idem-key
HID n y j n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
Identiv n y j n n https://www.identiv.com/products/logical-access-control/utrust-fido2-security-keys/nfc
IDmelon Technologies Inc. j y y j n https://www.idmelon.com/#idmelon
Kensington j j n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I j n y j n https://konai.com/business/security/fido
Movenda y n y j n https://www.movenda.com/en/authentication/fido2/overview
NeoWave n y j n n https://neowave.fr/en/products/fido-range/
Nymi j n y n n https://www.nymi.com/nymi-band
Octatco j y n n n https://octatco.com/
OneSpan Inc. n y n y n https://www.onespan.com/products/fido
Swissbit n y y n n https://www.swissbit.com/en/products/ishield-fido2/
Thales-Gruppe n y j n y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis j y y j n https://thetis.io/collections/fido2
Token2, Schweiz j y j n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey-Lösungen j j n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico j j j n y https://www.yubico.com/solutions/passwordless/

Hinweis

Wenn Sie NFC-basierte Sicherheitsschlüssel erwerben und sie verwenden möchten, benötigen Sie einen unterstützten NFC-Leser für den Sicherheitsschlüssel. Der NFC-Leser ist keine Azure-Anforderung oder -Einschränkung. Eine Liste der unterstützten NFC-Leser finden Sie beim Anbieter für Ihren NFC-basierten Sicherheitsschlüssel.

Wenn Sie Anbieter sind und Ihr Gerät zur Liste der unterstützten Geräte hinzufügen möchten, lesen Sie die Anleitung, wie Sie Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden.

Um mit FIDO2-Sicherheitsschlüsseln zu beginnen, lesen Sie folgende Anleitung:

Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln

Unterstützte Szenarios

Es gelten die folgenden Bedingungen:

  • Administratoren können kennwortlose Authentifizierungsmethoden für ihre Mandanten aktivieren.

  • Administratoren können die einzelnen Methoden für alle Benutzer oder ausgewählte Benutzer bzw. Gruppen in ihrem Mandanten anwenden.

  • Benutzer können diese kennwortlosen Authentifizierungsmethoden in ihrem Kontoportal registrieren und verwalten.

  • Benutzer können sich mit diesen kennwortlosen Authentifizierungsmethoden anmelden:

    • Authenticator-App: Funktioniert in Szenarien, in denen die Azure AD-Authentifizierung verwendet wird, einschließlich aller Browser, während der Einrichtung von Windows 10 und mit integrierten mobilen Apps unter jedem Betriebssystem.
    • Sicherheitsschlüssel: Funktioniert auf Sperrbildschirm für Windows 10 und im Internet in unterstützten Browsern wie Microsoft Edge (sowohl ältere als auch neue Edge-Version).

  • Benutzer können kennwortlose Anmeldeinformationen für den Zugriff auf Ressourcen in Mandanten verwenden, in denen sie nur Gäste sind, müssen aber dennoch die mehrstufige Authentifizierung in diesem Ressourcenmandanten ausführen. Weitere Informationen finden Sie unter Mögliche doppelte Multi-Factor Authentication.

  • Benutzer dürfen keine kennwortlosen Anmeldeinformationen innerhalb eines Mandanten registrieren, in denen sie Gäste sind. Außerdem verfügen sie über kein in diesem Mandanten verwaltetes Kennwort.

Auswählen einer kennwortlosen Methode

Welche der drei kennwortlosen Optionen die richtige ist, hängt von den Sicherheits-, Plattform- und App-Anforderungen Ihres Unternehmens ab.

Folgende Faktoren sollten Sie bei der Auswahl der Microsoft-Technologie zur kennwortlosen Anmeldung berücksichtigen:

Windows Hello for Business Anmelden ohne Kennwort mit der Authenticator-App FIDO2-Sicherheitsschlüssel
Voraussetzung Windows 10 Version 1809 oder höher
Azure Active Directory		 Authenticator-App
Telefon (iOS- und Android-Geräte)		 Windows 10 Version 1903 oder höher
Azure Active Directory
Mode Plattform Software Hardware
Systeme und Geräte PC mit integriertem Trusted Platform Module (TPM)
PIN und biometrische Erkennung		 PIN und biometrische Erkennung per Telefon FIDO2-Sicherheitsgeräte, die mit Microsoft kompatibel sind
Benutzerfreundlichkeit Melden Sie sich mit einer PIN oder einer biometrischen Erkennung (Gesicht, Iris oder Fingerabdruck) bei Windows-Geräten an.
Die Windows Hello-Authentifizierung ist gerätegebunden; der Benutzer benötigt sowohl das Gerät als auch eine Anmeldekomponente wie eine PIN oder einen biometrischen Faktor, um auf Unternehmensressourcen zugreifen zu können.		 Melden Sie sich mit einem Mobiltelefon per Fingerabdruckscan, Gesichts- oder Iriserkennung oder PIN an.
Die Benutzer melden sich von ihrem PC oder Mobiltelefon aus am Geschäfts- oder Privatkonto an.		 Anmelden mithilfe eines FIDO2-Sicherheitsgeräts (Biometrie, PIN und NFC)
Der Benutzer kann auf das Gerät gemäß den Richtlinien der Organisation zugreifen und sich per PIN oder biometrischem Merkmal mit Geräten wie USB-Sicherheitsschlüsseln und NFC-fähigen Smartcards, Schlüsseln oder Wearables authentifizieren.
Unterstützte Szenarios Kennwortfreie Benutzerführung auf Windows-Gerät.
Geeignet für dedizierte Arbeits-PCs mit der Möglichkeit zum einmaligen Anmelden (SSO) bei Geräten und Anwendungen.		 Kennwortlose, ortsunabhängige Lösung mit Mobiltelefon.
Geeignet für den Zugriff auf Arbeits- oder Privatanwendungen im Web von jedem Gerät aus.		 Kennwortfreie Benutzerführung für Worker mit Biometrie, PIN und NFC.
Geeignet für gemeinsam verwendete PCs, für die die Verwendung eines Mobiltelefons keine geeignete Option ist (z. B. für Helpdeskmitarbeiter, Nutzern von öffentlichen Terminals oder Krankenhauspersonal).

Verwenden Sie die folgende Tabelle, um herauszufinden, welche Methode Ihre Anforderungen und Benutzer am besten unterstützt.

Persona Szenario Umgebung Kennwortlose Technologie
Administrator Sicherer Zugriff auf ein Gerät für Verwaltungsaufgaben Zugewiesenes Windows 10-Gerät Windows Hello for Business und/oder FIDO2-Sicherheitsschlüssel
Administrator Verwaltungsaufgaben auf Nicht-Windows-Geräten Mobilgerät oder Nicht-Windows-Gerät Anmelden ohne Kennwort mit der Authenticator-App
Information-Worker Produktive Arbeit Zugewiesenes Windows 10-Gerät Windows Hello for Business und/oder FIDO2-Sicherheitsschlüssel
Information-Worker Produktive Arbeit Mobilgerät oder Nicht-Windows-Gerät Anmelden ohne Kennwort mit der Authenticator-App
Mitarbeitern im Kundenkontakt Terminals in Fabriken, im Einzelhandel oder zur Dateneingabe Gemeinsam genutzte Windows 10-Geräte FIDO2-Sicherheitsschlüssel

Nächste Schritte

Um mit der kennwortlosen Anmeldung in Azure AD zu beginnen, lesen Sie eine der folgenden Anleitungen: