Aktivieren von Passkeys in Microsoft Authenticator (Vorschau)

In diesem Artikel werden die Schritte zum Aktivieren und Erzwingen von Passkeys in Authenticator für Microsoft Entra ID aufgeführt. Aktualisieren Sie zunächst die Richtlinie für Authentifizierungsmethoden, um Endbenutzern die Registrierung und Anmeldung mit Passkeys bei Authenticator zu ermöglichen. Anschließend können Sie Richtlinien für bedingten Zugriff mit Authentifizierungsstärken verwenden, um die Passkey-Anmeldung zu erzwingen, wenn Benutzer auf eine vertrauliche Ressource zugreifen.

Anforderungen

• Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra
• Mindestens Android 14 bzw. mindestens iOS 17
• Eine aktive Internetverbindung auf jedem Gerät, das Teil des Passkey-Registrierungs-/Authentifizierungsprozesses ist

Hinweis

Benutzer müssen die neueste Version von Authenticator für Android oder iOS installieren, um einen Passkey verwenden zu können.

Weitere Informationen dazu, wo Sie Passkeys in Authenticator für die Anmeldung verwenden können, finden Sie unter Unterstützung der FIDO2-Authentifizierung mit Microsoft Entra ID.

Aktivieren von Passkeys in Authenticator im Admin Center

Die Microsoft Authenticator-Richtlinie bietet Ihnen nicht die Möglichkeit zum Aktivieren von Passkeys in Authenticator. Zum Aktivieren von Passkeys in Authenticator müssen Sie stattdessen die Richtlinie für Authentifizierungsmethoden für FIDO2-Sicherheitsschlüssel bearbeiten.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinie für Authentifizierungsmethoden.

3. Wählen Sie unter der Methode FIDO2-Sicherheitsschlüssel die Option Alle Benutzer oder Gruppen hinzufügen aus, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.

4. Legen Sie auf der Registerkarte Konfigurieren Folgendes fest:

   • Self-Service-Setup zulassen auf Ja

   • Nachweis erzwingen auf Nein

   • Schlüsseleinschränkungen erzwingen auf Ja

   • Bestimmte Schlüssel einschränken auf Zulassen

   • Wählen Sie Microsoft Authenticator (Vorschau) aus, wenn das Kontrollkästchen im Admin Center angezeigt wird. Diese Einstellung füllt die AAGUIDs der Authenticator-App automatisch in der Schlüsseleinschränkungsliste auf. Andernfalls können Sie die folgenden AAGUIDs manuell hinzufügen, um die Vorschau der Authenticator-Passkeys zu aktivieren:

     • Authenticator für Android: de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator für iOS: 90a3ccdf-635c-4729-a248-9b709135078f

   

Warnung

Schlüsseleinschränkungen legen die Nutzbarkeit bestimmter Passkeys sowohl für die Registrierung als auch für die Authentifizierung fest. Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden. Wenn Ihre Organisation derzeit keine wichtigen Einschränkungen erzwingt und bereits über eine aktive Passkey-Nutzung verfügt, sollten Sie die AAGUIDs der heute verwendeten Schlüssel erfassen. Fügen Sie sie der Zulassungsliste zusammen mit den Authenticator AAGUIDs hinzu, um diese Vorschau zu aktivieren. Diese Aufgabe kann mit einem automatisierten Skript erfolgen, das Protokolle analysiert, z. B. Registrierungsdetails und Anmeldeprotokolle.

Weitere optionale Einstellungen werden in der folgende Liste beschrieben:

Allgemein

• Self-Service-Einrichtung zulassen sollte auf Ja festgelegt bleiben. Wenn diese Einstellung auf „Nein“ festgelegt ist, können Ihre Benutzer keinen Passkey über MySecurityInfo registrieren, auch wenn dies durch die Richtlinie für Authentifizierungsmethoden aktiviert ist.
• Nachweis erzwingen sollte für die Vorschau auf Nein festgelegt werden. Nachweisunterstützung ist für die allgemeine Verfügbarkeit geplant.

Schlüsseleinschränkungsrichtlinie

• Schlüsseleinschränkungen erzwingen sollte nur auf Ja festgelegt werden, wenn Ihre Organisation nur bestimmte Passkeys zulassen oder nicht zulassen möchte, die durch ihre AAGUIDs (Authenticator Attestation GUID) identifiziert werden. Wenn Sie möchten, können Sie die AAGUIDs der Authenticator-App manuell eingeben oder nur Android- oder iOS-Geräte einschränken. Andernfalls können Sie die folgenden AAGUIDs manuell hinzufügen, um die Vorschau der Authenticator-Passkeys zu aktivieren:

  • Authenticator für Android: de1e552d-db1d-4423-a619-566b625cdc84
  • Authenticator für iOS: 90a3ccdf-635c-4729-a248-9b709135078f

Wählen Sie nach Abschluss der Konfiguration Weiter aus.

Aktivieren von Passkeys in Authenticator mithilfe des Graph-Testers

Sie können Passkeys in Authenticator nicht nur über das Microsoft Entra Admin Center, sondern auch mithilfe des Graph-Testers aktivieren. Benutzer vom Typ Globaler Administrator und Authentifizierungsrichtlinienadministratoren können die Authentifizierungsmethodenrichtlinie aktualisieren, um die AAGUIDs für Authenticator zuzulassen.

So konfigurieren Sie die Richtlinie mithilfe von Graph-Tester

1. Melden Sie sich bei Graph-Tester an, und stimmen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zu.

2. Rufen Sie die Authentifizierungsmethodenrichtlinie ab:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Um die Erzwingung von Nachweisen zu deaktivieren und Schlüsseleinschränkungen zu erzwingen, um nur AAGUID für Microsoft Authenticator zuzulassen, führen Sie einen PATCH-Vorgang mit dem folgenden Anforderungstext aus:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Stellen Sie sicher, dass die Passkey-Richtlinie (FIDO2) ordnungsgemäß aktualisiert wird.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Löschen eines Passkey

Um einen Passkey zu entfernen, der einem Benutzerkonto zugeordnet ist, löschen Sie den Schlüssel aus den Authentifizierungsmethoden des Benutzers.

1. Melden Sie sich beim Microsoft Entra Admin Center an, und suchen Sie nach dem Benutzer, dessen Passkey entfernt werden muss.

2. Wählen Sie Authentifizierungsmethoden> aus, klicken Sie mit der rechten Maustaste auf FIDO2-Sicherheitsschlüssel, und wählen Sie dann Löschen aus.

   

Hinweis

Benutzer müssen den Passkey auch in Authenticator auf ihrem Gerät entfernen.

Erzwingen der Anmeldung mit Passkeys in Authenticator

Wenn sich Benutzer mit einem Passkey anmelden sollen, wenn sie auf eine vertrauliche Ressource zugreifen, verwenden Sie die integrierte Phishing-resistente Authentifizierungsstärke, oder erstellen Sie eine benutzerdefinierte Authentifizierungsstärke. Führen Sie dazu die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.

2. Browsen Sie zu Schutz>Authentifizierungsmethoden>Authentifizierungsstärken.

3. Wählen Sie Neue Authentifizierungsstärke aus.

4. Geben Sie einen beschreibenden Namen für Ihre neue Authentifizierungsstärke an.

5. Erstellen Sie optional eine Beschreibung.

6. Wählen Sie Passkeys (FIDO2) und dann Erweiterte Optionen aus.

7. Fügen Sie AAGUIDs für die Passkeys in Authenticator hinzu:

   • Authenticator für Android: de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator für iOS: 90a3ccdf-635c-4729-a248-9b709135078f

8. Wählen Sie Weiter aus, und überprüfen Sie die Richtlinienkonfiguration.

Nächste Schritte

Unterstützung für Passkeys unter Windows