Da wir für unseren Office-365-Mandanten schon die Multi-Faktor-Authentifizierung (MFA) von Azure nutzen und die Authenticator-App von Microsoft kennen, war es kein großer Schritt, das Preview-Feature von Azure bezüglich passwortlosem Login mit der Authenticator-App auszuprobieren.
Die folgenden allgemeinen Voraussetzungen musst du erfüllen, bevor du damit starten kannst:
- Die Azure Multi-Faktor-Authentifizierung mit Push-Benachrichtigungen muss als Verifizierungsmethode erlaubt sein.
- Die neueste Version der Microsoft-Authenticator-App muss auf iOS 8 oder neuer; bzw. Android 6 oder neuer installiert sein.
Wie bereits erwähnt, ist die Azure MFA bei uns schon in Gebrauch und wir nutzen auch schon die Authenticator-App in den meisten Fällen.
Azure Preview-Features
Bisher mussten wir noch nichts anpacken, um loszulegen. Aber da der passwortlose Login mit der Authenticator-App bisher nur als Preview verfügbar ist und von einem weiteren Feature abhängig ist, mussten wir auch dieses zunächst aktivieren.
Aktivieren der Combined Security Registration
Als Erstes kümmerten wir uns um das Feature Combined Security Information Registration for Azure Multi-Factor Authentication and Azure Active Directory (Azure AD) self-service password reset.
In Mandanten, welche älter sind als etwa ein halbes Jahr, mussten die Benutzer für die MFA sowie die Passwort-Zurücksetzen-Funktion ihre Sicherheitsinformationen (Handynummer, Authenticator App, etc.) an zwei separaten Stellen hinterlegen. Diese neue Funktion lässt uns beides an einer zentralen Stelle verwalten.
Und so geht’s:
- Navigiere im Azure-Portal zu Azure Active Directory -> Benutzereinstellungen -> Vorschaueinstellungen für Benutzerfeatures verwalten
- Aktiviere die Einstellung Benutzer können die kombinierte Erfahrung zum Registrieren und Verwalten von Sicherheitsinformationen verwenden, für ausgewählte oder alle Benutzer
Aktivieren der passwortlosen Login-Methoden
Im Azure-Portal:
- Navigiere zu Azure Active Directory -> Sicherheit -> Authentifizierungsmethoden -> Authentifizierungsmethodenrichtlinie (Vorschau)
- Aktiviere die Einstellung Microsoft Authenticator-Anmeldung ohne Kennwort für ausgewählte oder alle Benutzer
- Vergiss nicht zu speichern
Den passwortlosen Login als Benutzer aktivieren
Falls du die Authenticator-App noch nicht benutzt:
- Rufe https://aka.ms/mysecurityinfo auf
- Log dich ein und füge die Authenticator App hinzu, indem du auf Methode hinzufügen, dann Authenticator App, dann Hinzufügen klickst
- Den angezeigten Angaben folgen
- Auf Fertigstellen klicken, um die Einrichtung abzuschließen
Wenn du die App schon benutzt, sind nur noch die folgenden Schritte notwendig:
- Wähle in der Authenticator-App Anmeldung per Telefon aktivieren aus dem Drop-Down-Menü des entsprechenden Kontos aus
- Folge den angezeigten Schritten
Nachdem Du diese Einrichtung abgeschlossen hast, sieht der Login zukünftig folgendermaßen aus:
Fazit
Das passwortlose Login mit Azure und der Authenticator-App von Microsoft ist bisher noch immer nur als Preview verfügbar. Wir haben es in unserem Mandanten bereits seit einigen Monaten aktiviert, jedoch ist es bisher noch nicht in allen Bereichen von Microsofts vielen Online-Diensten nutzbar. Es passiert noch immer häufig, dass man sein Passwort eingeben muss, um auf einen Dienst zuzugreifen. Aber dort, wo es funktioniert und man nur den richtigen Knopf in der Authenticator-App anklicken muss, ohne das Passwort einzugeben, ist es eine sehr komfortable und schnelle Art, sich anzumelden.
Unsere Hoffnung ist, dass dieses Feature bald offiziell erscheint und für alle Dienste auf allen Plattformen funktioniert.
Bereit für Dein neues IAM System?
Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!
