Freigeben über

Aktivieren der kennwortlosen Anmeldung mit Authenticator

Authenticator wird verwendet, um sich bei jedem Microsoft Entra-Konto anzumelden, ohne ein Kennwort zu verwenden. Authenticator verwendet die schlüsselbasierte Authentifizierung, um eine Benutzeranmeldeinformationen zu ermöglichen, die an ein Gerät gebunden sind, in dem das Gerät eine PIN oder biometrische Daten verwendet. Windows Hello for Business verwendet eine ähnliche Technologie.

Authentifizierungstechnologie kann auf jeder Beliebigen Geräteplattform verwendet werden, einschließlich mobiler Geräte. Authenticator kann entweder unter iOS oder Android ausgeführt werden.

Screenshot eines Beispiels für eine Browseranmeldung, in der der Benutzer aufgefordert wird, die Anmeldung zu genehmigen.

Die Telefonische Anmeldung von Authenticator zeigt eine Nachricht an, die den Benutzer auffordern, in der App auf eine Nummer zu tippen. Es wird nicht nach einem Benutzernamen oder Kennwort gefragt. Führen Sie die folgenden Schritte aus, um den Anmeldevorgang in der App abzuschließen:

  1. Geben Sie im Dialogfeld "Authenticator" die auf dem Anmeldebildschirm angezeigte Nummer ein.
  2. Wählen Sie "Genehmigen" aus.
  3. Geben Sie Ihre PIN oder Ihre biometrischen Daten ein.

Mehrere Konten

Sie können die Kennwortlose Telefonanmeldung für mehrere Konten in Authenticator auf jedem unterstützten Android- oder iOS-Gerät aktivieren. Berater, Studenten und andere Benutzer mit mehreren Konten in der Microsoft Entra-ID können jedes Konto zu Authenticator hinzufügen und die Kennwortlose Telefonanmeldung für alle Benutzer auf demselben Gerät verwenden.

Die Microsoft Entra-Konten können sich in demselben Mandanten oder in verschiedenen Mandanten befinden. Gastkonten werden für die Anmeldung über mehrere Konten von einem Gerät aus nicht unterstützt.

Voraussetzungen

Um die Kennwortlose Telefonanmeldung mit Authenticator zu verwenden, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Empfohlen: Microsoft Entra multifactor authentication (MFA), mit Pushbenachrichtigungen, die als Überprüfungsmethode zulässig sind. Pushbenachrichtigungen an ein Benutzer-Smartphone oder Tablet helfen der Authenticator-App, unbefugten Zugriff auf Konten zu verhindern und betrügerische Transaktionen zu beenden. Die Authenticator-App generiert automatisch Codes, wenn sie für Pushbenachrichtigungen eingerichtet wurde. Der Benutzer hat selbst dann eine Sicherungsanmeldemethode, wenn sein Gerät keine Verbindung herstellen kann.

  • Das Gerät muss bei jedem Mandanten registriert werden, in dem es zum Anmelden verwendet wird. Beispielsweise muss das folgende Gerät bei Contoso und Wingtip Toys registriert werden, damit sich alle Konten anmelden können:

    • balas@contoso.com
    • balas@wingtiptoys.com und bsandhu@wingtiptoys

Um die kennwortlose Authentifizierung in Der Microsoft Entra-ID zu verwenden, aktivieren Sie zuerst die kombinierte Registrierung, und aktivieren Sie dann Benutzer für die kennwortlose Methode.

Aktivieren von Authentifizierungsmethoden für die kennwortlose Anmeldung per Telefon

Mit der Microsoft Entra-ID können Authentifizierungsrichtlinienadministratoren auswählen, welche Authentifizierungsmethoden für die Anmeldung verwendet werden können. Sie können Microsoft Authenticator in der Richtlinie für Authentifizierungsmethoden aktivieren, um sowohl die herkömmliche Push-MFA-Methode als auch die kennwortlose Authentifizierungsmethode zu verwalten.

Nachdem Microsoft Authenticator als Authentifizierungsmethode aktiviert wurde, können Benutzer zu Sicherheitsinformationen wechseln, um Authenticator als Möglichkeit zur Anmeldung zu registrieren. Microsoft Authenticator wird als Methode für Sicherheitsinformationen aufgeführt. Beispielsweise wird Microsoft Authenticator-Passwordless oder Microsoft Authenticator-MFA Push angezeigt, je nachdem, was aktiviert und registriert ist.

Führen Sie die folgenden Schritte aus, um die Authentifizierungsmethode für die Kennwortlose Telefonanmeldung zu aktivieren:

  1. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Authentifizierungsmethoden>Richtlinien.

Jede Gruppe ist standardmäßig für die Verwendung des Beliebigen Modus aktiviert. Jeder Modus ermöglicht es Gruppenmitgliedern, sich entweder mit einer Pushbenachrichtigung oder einer kennwortlosen Telefonanmeldung anzumelden.

Hinweis

Wenn beim Speichern ein Fehler angezeigt wird, liegt dies möglicherweise an der Anzahl der Benutzer oder Gruppen, die hinzugefügt werden. Ersetzen Sie zur Problemumgehung die Benutzer und Gruppen, die Sie hinzufügen möchten, durch eine einzelne Gruppe im selben Vorgang. Wählen Sie dann erneut "Speichern" aus.

Benutzerregistrierung

Benutzer registrieren sich für die kennwortlose Authentifizierungsmethode von Microsoft Entra ID. Benutzer, die die Authenticator-App für MFA bereits registriert haben, können zum nächsten Abschnitt springen und die Telefonanmeldung aktivieren.

Direkte Anmeldung per Telefon

Benutzer können sich direkt in der Authenticator-App für die kennwortlose Telefonanmeldung registrieren, ohne dass Sie Authenticator zuerst mit ihrem Konto registrieren müssen, während sie niemals ein Kennwort erhalten. Gehen Sie dazu wie folgt vor:

  1. Erwerben Sie einen temporären Zugriffspass von Ihrem Administrator oder Ihrer Organisation.
  2. Laden Sie die Authenticator-App auf Ihrem mobilen Gerät herunter, und installieren Sie sie.
  3. Öffnen Sie Authenticator, und wählen Sie "Konto hinzufügen" und dann " Geschäfts-, Schul- oder Unikonto" aus.
  4. Wählen Sie "Anmelden" aus.
  5. Befolgen Sie die Anweisungen, um sich mit Ihrem Konto anzumelden, indem Sie den temporären Zugriffspass verwenden, der von Ihrem Administrator oder Ihrer Organisation bereitgestellt wird.
  6. Fahren Sie nach der Anmeldung mit den zusätzlichen Schritten fort, um die Anmeldung per Telefon einzurichten.

Geführte Registrierung bei My Sign-Ins

Hinweis

Benutzer können Authenticator nur über eine kombinierte Registrierung registrieren, wenn der Authentifizierungsmodus für Authenticator auf "Any " oder "Push" festgelegt ist.

Führen Sie die folgenden Schritte aus, um die Authenticator-App zu registrieren:

  1. Navigieren Sie zu Sicherheitsinformationen.
  2. Melden Sie sich an, und wählen Sie dann Methode hinzufügen>Authenticator-App>hinzufügen, um den Authenticator hinzuzufügen.
  3. Befolgen Sie die Anweisungen zum Installieren und Konfigurieren der Authenticator-App auf Ihrem Gerät.
  4. Wählen Sie "Fertig" aus, um die Authenticator-Konfiguration abzuschließen.

Aktivieren der Anmeldung per Telefon

Nachdem benutzer sich für die Authenticator-App registriert haben, müssen sie die Telefonanmeldung aktivieren:

  1. Wählen Sie in Microsoft Authenticator das registrierte Konto aus.
  2. Wählen Sie " Kennwortlose Anmeldeanforderungen einrichten" aus.
  3. Folgen Sie den Anweisungen in der App, um die Registrierung für die kennwortlose Anmeldung per Telefon für das Konto abzuschließen.

Eine Organisation kann ihre Benutzer so weiterleiten, dass sie sich mit ihrem Smartphone anmelden, ohne ein Kennwort zu verwenden. Weitere Unterstützung bei der Konfiguration von Authenticator und aktivieren der Telefonanmeldung finden Sie unter Anmelden bei Ihren Konten mithilfe der Authenticator-App.

Hinweis

Wenn eine Richtlinie einschränkt, dass der Benutzer die Telefonanmeldung verwendet, kann er sie nicht in Authenticator aktivieren.

Anmelden mit kennwortlosen Anmeldeinformationen

Nachdem alle folgenden Aktionen abgeschlossen sind, kann ein Benutzer beginnen, die kennwortlose Anmeldung zu verwenden:

  • Ein Mitglied des Administratorteams hat den Mandanten der benutzenden Person aktiviert.
  • Der Benutzer hat Authenticator als Anmeldemethode hinzugefügt.

Führen Sie die folgenden Schritte aus, um den Anmeldevorgang des Telefons zum ersten Mal zu starten:

  1. Geben Sie Ihren Namen im Anmeldefeld ein.
  2. Wählen Sie "Weiter" aus.
  3. Wählen Sie bei Bedarf weitere Möglichkeiten zum Anmelden aus.
  4. Wählen Sie " Genehmigen einer Anforderung" in meiner Authenticator-App aus.

Anschließend wird eine Zahl angezeigt. Die App fordert den Benutzer auf, sich zu authentifizieren, indem er die entsprechende Nummer anstelle eines Kennworts eingibt.

Nachdem der Benutzer die Kennwortlose Telefonanmeldung verwendet hat, führt die App den Benutzer weiterhin durch diese Methode. Der Benutzer sieht auch die Option zum Auswählen einer anderen Methode.

Screenshot eines Beispiels für eine Browseranmeldung mithilfe der Authenticator-App.

Befristeter Zugriffspass

Wenn der Mandantenadministrator die Selbstbedienungs-Kennwortzurücksetzung für Benutzer aktiviert hat, um mithilfe eines temporären Zugriffspasses die kennwortlose Anmeldung mit der Authenticator-App erstmalig einzurichten, gehen Sie wie folgt vor:

  1. Öffnen Sie einen Browser auf einem mobilen Gerät oder Desktop, und wechseln Sie zu "Sicherheitsinformationen".
  2. Registrieren Sie die Authenticator-App als Anmeldemethode. Diese Aktion verknüpft Ihr Konto mit der App.
  3. Kehren Sie zu Ihrem mobilen Gerät zurück, und aktivieren Sie die kennwortlose Anmeldung über die Authenticator-App.

Verwaltung

Wir empfehlen die Richtlinie für Authentifizierungsmethoden als beste Methode zum Verwalten von Authenticator. Authentifizierungsrichtlinienadministratoren können diese Richtlinie bearbeiten, um Authenticator zu aktivieren oder zu deaktivieren. Administratoren können bestimmte Benutzer und Gruppen in die Verwendung einschließen oder bestimmte Benutzer und Gruppen davon ausschließen.

Administratoren können auch Parameter konfigurieren, um die Verwendung von Authenticator besser zu steuern. Beispielsweise können sie der Anmeldeanforderung den Standort oder den App-Namen hinzufügen, damit Benutzende vor der Genehmigung über einen besseren Kontext verfügen.

Bekannte Probleme

Die folgenden Probleme sind bekannt.

Die Option für die Kennwortlose Telefonanmeldung wird nicht angezeigt.

In einem Szenario kann die Überprüfung der kennwortlosen Anmeldung per Telefon der benutzenden Person ausstehen. Wenn der Benutzer versucht, sich erneut anzumelden, sieht der Benutzer nur die Option zum Eingeben eines Kennworts.

Gehen Sie wie folgt vor, um dieses Szenario aufzulösen:

  1. Öffnen Sie Authenticator.
  2. Antworten Sie ggf. auf Benachrichtigungsaufforderungen.

Verwenden Sie dann weiterhin die kennwortlose Telefonanmeldung.

AuthenticatorAppSignInPolicy nicht unterstützt

Die Legacyrichtlinie AuthenticatorAppSignInPolicy wird mit Authenticator nicht unterstützt. Verwenden Sie die Richtlinie "Authentifizierungsmethoden", um Benutzern die Anmeldung mit Pushbenachrichtigungen oder kennwortlosen Telefonanmeldungen mit der Authenticator-App zu ermöglichen.

Verbundkonten

Nachdem eine benutzende Person eine kennwortlose Anmeldeinformation aktiviert hat, beendet der Microsoft Entra-Anmeldevorgang die Verwendung von login\_hint. Der Prozess führt den Benutzer nicht mehr schnell zu einem föderierten Anmeldeort.

Mit dieser Logik wird in der Regel verhindert, dass Benutzende in einem hybriden Mandanten zur Anmeldungsüberprüfung an Active Directory-Verbunddienste (Active Directory Federated Services, AD FS) weitergeleitet werden. Die Option Stattdessen Ihr Passwort verwenden auszuwählen ist weiterhin verfügbar.

Lokale Benutzer

Administratoren können Benutzer für MFA über einen lokalen Identitätsanbieter aktivieren. Nutzer können nach wie vor eine telefonbasierte, kennwortlose Anmeldeinformation erstellen und verwenden.

Wenn ein Benutzer versucht, mehrere Installationen (5+) von Authenticator mit anmeldeinformationen ohne Kennwort zu aktualisieren, kann diese Änderung zu einem Fehler führen.

Verwandte Inhalte

Weitere Informationen zur Microsoft Entra-Authentifizierung und zu kennwortlosen Methoden finden Sie in den folgenden Artikeln: