Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln

  • Artikel

Sicherheitsschlüssel bieten Unternehmen, die aktuell Kennwörter verwenden und über eine freigegebene PC-Umgebung verfügen, eine nahtlose Möglichkeit für Mitarbeiter, sich ohne Eingabe eines Benutzernamens oder Kennworts zu authentifizieren. Sicherheitsschlüssel ermöglichen den Mitarbeitern eine bessere Produktivität und bieten eine höhere Sicherheit.

In diesem Dokument liegt der Schwerpunkt auf der Aktivierung der auf Sicherheitsschlüsseln basierenden kennwortlosen Authentifizierung. Am Ende dieses Artikels können Sie sich mit Ihrem Microsoft Entra-Konto mithilfe eines FIDO2-Sicherheitsschlüssels bei webbasierten Anwendungen anmelden.

Anforderungen

Um Sicherheitsschlüssel für die Anmeldung bei Web-Apps und-Diensten verwenden zu können, benötigen Sie einen Browser, der das WebAuthN-Protokoll unterstützt. Hierzu zählen Microsoft Edge, Chrome, Firefox und Safari. Weitere Informationen finden Sie unter Browserunterstützung für die kennwortlose FIDO2-Authentifizierung.

Vorbereiten von Geräten

Für Geräte, die in Microsoft Entra ID eingebunden sind, eignet sich besonders Windows 10 Version 1903 oder höher.

Auf hybrid eingebundenen Geräten muss Windows 10 Version 2004 oder höher ausgeführt werden.

Aktivieren von Methoden zur kennwortlosen Authentifizierung

Aktivieren der kombinierten Registrierung

Die Registrierungsfunktionen für Methoden zur kennwortlosen Authentifizierung sind von der kombinierten Registrierungsfunktion abhängig. Führen Sie die im Artikel Aktivieren der kombinierten Registrierung von Sicherheitsinformationen aufgeführten Schritte aus, um die kombinierte Registrierung zu aktivieren.

Aktivieren der Methode „FIDO2-Sicherheitsschlüssel“

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinie für Authentifizierungsmethoden.

  3. Klicken Sie unter der Methode FIDO2-Sicherheitsschlüssel auf Alle Benutzer oder auf Gruppen hinzufügen, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.

  4. Speichern Sie die Konfiguration.

    Hinweis

    Wenn Sie beim Speichern eine Fehlermeldung erhalten, kann die Ursache in der Anzahl der hinzugefügten Benutzer oder Gruppen liegen. Als Abhilfe können Sie die Benutzer und Gruppen, die Sie hinzufügen möchten, im selben Vorgang durch eine einzige Gruppe ersetzen und dann erneut auf Speichern klicken.

Optionale Einstellungen für FIDO-Sicherheitsschlüssel

Auf der Registerkarte Konfigurieren gibt es einige optionale Einstellungen, mit denen sich die Verwendung von Sicherheitsschlüsseln für die Anmeldung verwalten lässt.

Screenshot of FIDO2 security key options

  • Self-Service-Einrichtung zulassen sollte auf Ja festgelegt bleiben. Wenn diese Einstellung auf „Nein“ festgelegt ist, können Ihre Benutzer*innen keinen FIDO-Schlüssel über MySecurityInfo registrieren, auch wenn dies durch die Richtlinie für Authentifizierungsmethoden aktiviert ist.
  • Wenn Nachweis erzwingen auf Ja festgelegt ist, müssen die Metadaten für den FIDO-Sicherheitsschlüssel veröffentlicht und mit FIDO Alliance Metadata Service überprüft werden, und sie müssen auch den zusätzlichen Validierungstest von Microsoft bestehen. Weitere Informationen finden Sie unter Was ist ein Microsoft-kompatibler Sicherheitsschlüssel?

Schlüsseleinschränkungsrichtlinie

  • Schlüsseleinschränkungen erzwingen sollte nur auf Ja festgelegt werden, wenn Ihre Organisation nur bestimmte FIDO-Sicherheitsschlüssel zulassen oder nicht zulassen möchte, die durch ihre AAGUIDs (Authenticator Attestation GUID) identifiziert werden. Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID eines Geräts zu bestimmen. Wenn der Schlüssel bereits registriert ist, können Sie die AAGUID ermitteln, indem Sie die Details zur Authentifizierungsmethode des Schlüssels für die Benutzer*innen anzeigen.

    Warnung

    Schlüsseleinschränkungen legen die Nutzbarkeit bestimmter FIDO2-Methoden sowohl für die Registrierung als auch für die Authentifizierung fest. Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden.

Deaktivieren eines Schlüssels

Um einen FIDO2-Schlüssel zu entfernen, der einem Benutzerkonto zugeordnet ist, löschen Sie den Schlüssel aus den Authentifizierungsmethoden des Benutzers.

  1. Melden Sie sich beim Microsoft Entra Admin Center an, und suchen Sie nach dem Benutzerkonto, aus dem der FIDO-Schlüssel entfernt werden soll.

  2. Wählen Sie Authentifizierungsmethoden> aus, klicken Sie mit der rechten Maustaste auf FIDO2-Sicherheitsschlüssel, und klicken Sie dann auf Löschen.

    View Authentication Method details

AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) als Sicherheitsschlüssel

Gemäß FIDO2-Spezifikation muss jeder Sicherheitsschlüsselanbieter während des Nachweises eine AAGUID (Authenticator Attestation GUID) bereitstellen. Die AAGUID ist eine 128-Bit-ID, die den Schlüsseltyp angibt (z. B. Aussteller und Modell).

Hinweis

Der Hersteller muss sicherstellen, dass die AAGUID für alle ähnlichen Schlüssel dieses Herstellers identisch ist und sich gleichzeitig (mit hoher Wahrscheinlichkeit) von den AAGUIDs aller anderen Schlüsseltypen unterscheidet. Um dies sicherzustellen, sollte die AAGUID für einen bestimmten Sicherheitsschlüsseltyp nach dem Zufallsprinzip generiert werden. Weitere Informationen finden Sie unter Web Authentication: An API for accessing Public Key Credentials – Level 3 (Webauthentifizierung: Eine API für den Zugriff auf Anmeldeinformationen für öffentliche Schlüssel – Ebene 3 (w3.org)).

Es gibt zwei Möglichkeiten für das Abrufen Ihrer AAGUID. Sie können entweder Ihren Sicherheitsschlüsselanbieter fragen oder die Details zu den Authentifizierungsmethoden des Schlüssels pro Benutzer anzeigen.

View AAGUID for security key

Benutzerregistrierung und Verwaltung von FIDO2-Sicherheitsschlüsseln

  1. Navigieren Sie zu https://myprofile.microsoft.com.
  2. Melden Sie sich an, falls Sie dies noch nicht getan haben.
  3. Klicken Sie auf Sicherheitsinformation.
    1. Wenn der Benutzer bereits mindestens eine Multi-Faktor-Authentifizierungsmethode in Microsoft Entra registriert hat, kann er sofort einen FIDO2-Sicherheitsschlüssel registrieren.
    2. Wenn er noch eine Multi-Faktor-Authentifizierungsmethode in Microsoft Entra registriert hat, muss er eine solche hinzufügen.
    3. Ein Administrator kann einen befristeten Zugriffspass ausstellen, damit der Benutzer eine kennwortlose Authentifizierungsmethode registrieren kann.
  4. Fügen Sie einen FIDO2-Sicherheitsschlüssel hinzu, indem Sie auf Methode hinzufügen klicken und dann Sicherheitsschlüssel auswählen.
  5. Wählen Sie USB-Gerät oder NFC-Gerät aus.
  6. Halten Sie Ihren Schlüssel bereit, und wählen Sie Weiter aus.
  7. Im daraufhin angezeigten Feld wird der Benutzer aufgefordert, eine PIN für den Sicherheitsschlüssel zu erstellen/einzugeben und dann die erforderliche Geste für den Schlüssel biometrisch oder per Touch auszuführen.
  8. Der Benutzer gelangt wieder zurück zur kombinierten Registrierung und wird aufgefordert, einen aussagekräftigen Namen für den Schlüssel anzugeben, damit er leicht identifiziert werden kann. Klicken Sie auf Weiter.
  9. Klicken Sie auf Fertig, um den Vorgang abzuschließen.

Anmelden mit kennwortlosen Anmeldeinformationen

Im nachfolgenden Beispiel hat der Benutzer bereits einen FIDO2-Sicherheitsschlüssel bereitgestellt. Der Benutzer kann sich im Web mit seinem FIDO2-Sicherheitsschlüssel in einem unterstützten Browser unter Windows 10, Version 1903 oder höher, anmelden.

Security key sign-in Microsoft Edge

Problembehandlung und Feedback

Wenn Sie Feedback geben möchten oder Probleme mit diesem Feature auftreten, teilen Sie uns dies in folgenden Schritten über die Windows-Feedback-Hub-App mit:

  1. Starten Sie Feedback-Hub, und stellen Sie sicher, dass Sie angemeldet sind.
  2. Senden Sie Ihr Feedback unter der folgenden Kategorisierung:
    • Kategorie: Sicherheit und Datenschutz
    • Unterkategorie: FIDO
  3. Verwenden Sie die Option Problem reproduzieren, um Protokolle zu erfassen.

Bekannte Probleme

Bereitstellung von Sicherheitsschlüsseln

Die Bereitstellung und Bereitstellungsaufhebung von Sicherheitsschlüsseln durch Administratoren ist nicht verfügbar.

Änderungen des Benutzerprinzipalnamens

Wenn der Benutzerprinzipalname eines Benutzers geändert wird, können Sie die FIDO2-Sicherheitsschlüssel nicht mehr ändern, um dies zu berücksichtigen. Die Lösung für einen Benutzer mit einem FIDO2-Sicherheitsschlüssel besteht darin, sich bei MySecurityInfo anzumelden, den alten Schlüssel zu löschen und einen neuen hinzuzufügen.

Nächste Schritte

Anmelden mit FIDO2-Sicherheitsschlüsseln bei Windows 10-Geräten

Aktivieren der FIDO2-Authentifizierung für lokale Ressourcen

Erfahren Sie mehr über die Geräteregistrierung

Weitere Informationen zur Multi-Faktor-Authentifizierung in Microsoft Entra