Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator

Mit Microsoft Authenticator können sich Benutzer bei jedem beliebigen Azure AD-Konto anmelden, ohne ein Kennwort zu verwenden. Microsoft Authenticator aktiviert mit der schlüsselbasierten Authentifizierung Benutzeranmeldeinformationen, die an ein Gerät gebunden sind, wobei das Gerät eine PIN oder einen biometrischen Wert verwendet. Windows Hello for Business verwendet eine ähnliche Technologie.

Diese Authentifizierungstechnologie kann auf jeder Geräteplattform verwendet werden, einschließlich mobiler Geräte. Diese Technologie kann auch mit jeder App oder Website verwendet werden, die in Microsoft-Authentifizierungsbibliotheken integriert ist.

Screenshot, der ein Beispiel einer browserbasierten Anmeldung zeigt, die der Benutzer bestätigen muss.

Personen, die die Anmeldung per Telefon über Microsoft Authenticator aktiviert haben, sehen eine Meldung, in der sie aufgefordert werden, in ihrer App auf eine Zahl zu tippen. Es wird nicht nach Benutzername oder Kennwort gefragt. Um den Anmeldevorgang in der App abzuschließen, muss ein Benutzer als Nächstes die folgenden Aktionen ausführen:

  1. Geben Sie die auf dem Anmeldebildschirm angezeigte Zahl in das Dialogfeld von Microsoft Authenticator ein.
  2. Klicken Sie auf Genehmigen.
  3. Die PIN oder den biometrischen Wert bereitstellen.

Mehrere Konten unter iOS (Vorschau)

Sie können die kennwortlose Telefonanmeldung für mehrere Konten in Microsoft Authenticator auf jedem unterstützten iOS-Gerät aktivieren. Berater, Studenten und andere mit mehreren Konten in Azure AD können jedes Konto zu Microsoft Authenticator hinzufügen und die kennwortlose Telefonanmeldung für alle von demselben iOS-Gerät verwenden.

Zuvor erforderten Administratoren möglicherweise keine kennwortlose Anmeldung für Benutzer mit mehreren Konten, da sie mehr Geräte für die Anmeldung benötigen. Durch das Entfernen der Einschränkung einer Benutzeranmeldung von einem Gerät können Administratoren Benutzer sicherer ermutigen, kennwortlose Telefonanmeldung zu registrieren und als Standardanmeldungsmethode zu verwenden.

Die Azure AD-Konten können sich in demselben Mandanten oder verschiedenen Mandanten befinden. Gastkonten werden für die Anmeldung über mehrere Konten von einem Gerät aus nicht unterstützt.

Hinweis

Mehrere Konten auf iOS befindet sich derzeit in der öffentlichen Vorschau. Einige Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, damit die kennwortlose Anmeldung per Telefon mit Microsoft Authenticator verwendet werden kann:

  • Empfohlen: Azure AD Multi-Factor Authentication ist mit Pushbenachrichtigungen als Überprüfungsmethode zulässig. Pushbenachrichtigungen an Ihr Smartphone oder Tablet tragen dazu bei, dass die Microsoft Authenticator-App nicht autorisierten Zugriff auf Konten verhindern und betrügerische Transaktionen stoppen kann. Die Authenticator-App generiert automatisch Codes, wenn sie für Pushbenachrichtigungen eingerichtet wurde. Der Benutzer hat selbst dann eine Sicherungsanmeldemethode, wenn sein Gerät keine Verbindung herstellen kann.

  • Die aktuelle Version von Microsoft Authenticator ist auf Geräten mit iOS oder Android installiert.

  • Für Android muss das Gerät, das Microsoft Authenticator ausführt, für einen einzelnen Benutzer registriert werden. Wir arbeiten aktiv daran, mehrere Konten unter Android zu aktivieren.

  • Für iOS muss das Gerät bei jedem Mandanten registriert werden, in dem es zum Anmelden verwendet wird. Beispielsweise muss das folgende Gerät bei Contoso und Wingtiptoys registriert werden, damit sich alle Konten anmelden können:

    • balas@contoso.com
    • balas@wingtiptoys.com und bsandhu@wingtiptoys
  • Für iOS empfiehlt es sich, die Option in Microsoft Authenticator zu aktivierten, damit Microsoft Nutzungsdaten sammeln kann. Er ist nicht standardmäßig aktiviert. Um sie in Microsoft Authenticator zu aktivieren, wechseln Sie zu Einstellungen>Nutzungsdaten.

    Screenshot: Nutzungsdaten in Microsoft Authenticator

Um die kennwortlose Authentifizierung in Azure AD zu verwenden, aktivieren Sie zunächst die kombinierte Registrierung und anschließend die Benutzer für die kennwortlose Methode.

Aktivieren von Authentifizierungsmethoden für die kennwortlose Anmeldung per Telefon

Mit Azure AD können Sie auswählen, welche Authentifizierungsmethoden während des Anmeldevorgangs verwendet werden können. Benutzer registrieren sich anschließend für die Methoden, die sie verwenden möchten. Mit der Richtlinie für die Authentifizierungsmethode Microsoft Authenticator sind sowohl die herkömmliche Push-MFA-Methode als auch die kennwortlose Authentifizierungsmethode möglich.

Hinweis

Wenn Sie die kennwortlose Anmeldung mit Microsoft Authenticator mithilfe von Azure AD PowerShell aktiviert haben, wurde sie für Ihr gesamtes Verzeichnis aktiviert. Wenn Sie die Aktivierung mit dieser neuen Methode vornehmen, wird die PowerShell-Richtlinie dadurch ersetzt. Es wird empfohlen, für alle Benutzer in Ihrem Mandanten die Aktivierung über das neue Menü Authentifizierungsmethoden vorzunehmen. Andernfalls können sich Benutzer, die nicht in der neuen Richtlinie enthalten sind, nicht ohne Kennwort anmelden.

Führen Sie die folgenden Schritte aus, um die Authentifizierungsmethode für die kennwortlose Anmeldung per Telefon zu aktivieren:

  1. Melden Sie sich beim Azure-Portal mit einem Konto für den Administrator der Authentifizierungsrichtlinie an.

  2. Suchen Sie nach Azure Active Directory, und wählen Sie die Option aus. Navigieren Sie anschließend zu Sicherheit>Authentifizierungsmethoden>Richtlinien.

  3. Wählen Sie unter Microsoft Authenticator die folgenden Optionen aus:

    1. Aktivieren: „Ja“ oder „Nein“
    2. Ziel: „Alle Benutzer“ oder „Benutzer auswählen“
  4. Bei jeder hinzugefügten Gruppe und jedem hinzugefügten Benutzer ist standardmäßig Microsoft Authenticator sowohl im kennwortlosen als auch im Pushbenachrichtigungsmodus („Beliebig“) aktiviert. Um den Modus zu ändern, führen Sie für jede Zeile folgende Schritte aus:

    1. Navigieren Sie zu ...>Konfigurieren.
    2. Wählen Sie für Authentifizierungsmodus die Option Beliebig oder Kennwortlos aus. Wenn Sie Push auswählen, wird die Verwendung der Anmeldeinformationen für die kennwortlose Anmeldung per Telefon verhindert.
  5. Wählen Sie Speichern aus, um die neue Richtlinie anzuwenden.

    Hinweis

    Wenn Sie beim Speichern eine Fehlermeldung erhalten, kann die Ursache in der Anzahl der hinzugefügten Benutzer oder Gruppen liegen. Als Abhilfe können Sie die Benutzer und Gruppen, die Sie hinzufügen möchten, im selben Vorgang durch eine einzige Gruppe ersetzen und dann erneut auf Speichern klicken.

Benutzerregistrierung

Benutzer registrieren sich mit den folgenden Schritten für die kennwortlose Authentifizierungsmethode von Azure AD:

  1. Navigieren Sie zu https://aka.ms/mysecurityinfo.
  2. Melden Sie sich an und klicken Sie dann auf Methode hinzufügen>Authenticator-App>Hinzufügen, um Microsoft Authenticator hinzuzufügen.
  3. Folgen Sie den Anweisungen zum Installieren und Konfigurieren der Microsoft Authenticator-App auf Ihrem Gerät.
  4. Wählen Sie Fertig aus, um die Microsoft Authenticator-Konfiguration abzuschließen.
  5. Wählen Sie in Microsoft Authenticator im Dropdownmenü für das registrierte Konto die Option Anmeldung per Telefon aktivieren aus.
  6. Folgen Sie den Anweisungen in der App, um die Registrierung für die kennwortlose Anmeldung per Telefon für das Konto abzuschließen.

Eine Organisation kann ihre Benutzer so weiterleiten, dass sie sich mit ihrem Smartphone anmelden, ohne ein Kennwort zu verwenden. Weitere Unterstützung zum Konfigurieren von Microsoft Authenticator und zum Aktivieren der Anmeldung per Smartphone finden Sie unter Anmelden bei Konten mithilfe der Microsoft Authenticator-App.

Hinweis

Benutzer, die gemäß einer Richtlinie nicht für die Verwendung der Anmeldung per Telefon berechtigt sind, können sie in Microsoft Authenticator nicht mehr aktivieren.

Anmelden mit kennwortlosen Anmeldeinformationen

Nachdem alle folgenden Aktionen abgeschlossen sind, kann ein Benutzer beginnen, die kennwortlose Anmeldung zu verwenden:

  • Ein Administrator hat den Mandanten des Benutzers aktiviert.
  • Der Benutzer hat Microsoft Authenticator als Anmeldemethode hinzugefügt.

Wenn ein Benutzer zum ersten Mal den Anmeldevorgang per Telefon startet, führt er die folgenden Schritte aus:

  1. Eingabe des Namens auf der Anmeldeseite.
  2. Auswahl von Weiter.
  3. Wenn erforderlich, Auswahl von Weitere Anmeldemethoden.
  4. Auswahl von Eine Anforderung in meiner Authenticator-App bestätigen.

Dem Benutzer wird dann eine Zahl angezeigt. Die App fordert den Benutzer auf, sich zu authentifizieren, indem er die entsprechende Zahl eintippt, anstatt ein Kennwort einzugeben.

Nachdem der Benutzer die kennwortlose Anmeldung verwendet hat, leitet die App den Benutzer weiterhin durch diese Methode. Dem Benutzer wird jedoch die Option zum Auswählen einer anderen Methode angezeigt.

Screenshot, der ein Beispiel für eine Browseranmeldung mit der Microsoft Authenticator-App zeigt.

Verwaltung

Es wird empfohlen, Microsoft Authenticator mithilfe der Richtlinie für Authentifizierungsmethoden zu verwalten. Authentifizierungsrichtlinienadministratoren können diese Richtlinie bearbeiten, um Microsoft Authenticator zu aktivieren oder zu deaktivieren. Administratoren können bestimmte Benutzer und Gruppen in die Verwendung einschließen oder bestimmte Benutzer und Gruppen davon ausschließen.

Administratoren können auch Parameter konfigurieren, um besser zu steuern, wie Microsoft Authenticator verwendet werden kann. Beispielsweise können sie der Anmeldeanforderung den Standort oder den App-Namen hinzufügen, damit Benutzer vor der Genehmigung über einen besseren Kontext verfügen.

Globale Administratoren können Microsoft Authenticator auch mandantenweit mithilfe von MFA- und SSPR-Legacyrichtlinien verwalten. Diese Richtlinien ermöglichen es, Microsoft Authenticator für alle Benutzer im Mandanten zu aktivieren oder zu deaktivieren. Es gibt keine Optionen zum Einschließen oder Ausschließen von Personen oder zum Steuern dafür, wie Microsoft Authenticator für die Anmeldung verwendet werden kann.

Bekannte Probleme

Die folgenden Probleme sind bekannt.

Die Option für die kennwortlose Anmeldung per Telefon wird nicht angezeigt

In einem Szenario kann die Überprüfung der kennwortlosen Anmeldung des Benutzer ausstehen. Wenn der Benutzer versucht, sich erneut anzumelden, wird möglicherweise nur die Option zum Eingeben eines Kennworts angezeigt.

Gehen Sie wie folgt vor, um dieses Szenario aufzulösen:

  1. Öffnen Sie Microsoft Authenticator.
  2. Antworten Sie ggf. auf Benachrichtigungsaufforderungen.

Anschließend kann der Benutzer weiterhin die kennwortlose Anmeldung per Telefon verwenden.

Verbundkonten

Wenn ein Benutzer kennwortlose Anmeldeinformationen aktiviert hat, verwendet der Azure AD-Anmeldevorgang nicht mehr den „login_hint“. Darum leitet der Prozess den Benutzer nicht mehr zu einem Standort der Verbundanmeldung.

Mit dieser Logik wird in der Regel verhindert, dass ein Benutzer in einem hybriden Mandanten zur Anmeldungsüberprüfung an Active Directory-Verbunddienste (Active Directory Federated Services, AD FS) weitergeleitet wird. Der Benutzer kann jedoch weiterhin auf Stattdessen Ihr Kennwort verwenden klicken.

Lokale Benutzer

Ein Endbenutzer kann über einen lokalen Azure MFA-Server für die Multi-Faktor-Authentifizierung (MFA) aktiviert werden. Der Benutzer kann immer noch eine einzige Anmeldeinformation für die kennwortlose Anmeldung per Telefon erstellen und verwenden.

Wenn der Benutzer versucht, mehrere Installationen (5+) von Microsoft Authenticator mit den Anmeldeinformationen für die kennwortlose Anmeldung per Telefon zu aktualisieren, kann diese Änderung zu einem Fehler führen.

Nächste Schritte

Weitere Informationen zur Azure AD-Authentifizierung und kennwortlosen Methoden finden Sie in den folgenden Artikeln: