Kennwortlose Authentifizierung in der Microsoft Cloud

In der Cloud – egal ob in Azure (IaaS/PaaS) oder M365 (SaaS) – ist es unerlässlich, dass sich Benutzer nie nur mit Benutzernamen und Passwort anmelden. Wie du die Sicherheit mittels MFA verbesserst, haben wir bereits beschrieben (Link). Microsoft stuft die kennwortlose Authentifizierung als noch besser ein. Dieser Beitrag zeigt dir, wie du diese bei Microsoft Cloud-Nutzern verwendest.
Passende Schulungen
AZ-104 Microsoft Azure Administrator (AZ-104T00)
AZ-104 Microsoft Azure Administrator (AZ-104T00): Azure Administration für Profis

AZ-500 – Microsoft Azure Security Technologies (AZ-500T00)
AZ-500 – Microsoft Azure Security Technologies (AZ-500T00): Kenntnisse zur Sicherung von Microsoft Azure-Umgebungen

Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!
Inhaber von gewöhnlichen Microsoft-Konten können schon lange problemlos auf die kennwortlose Authentifizierung umstellen. Hierzu klicke einfach in deinem Microsoft-Konto auf „Sicherheit“ und dort auf „Erweiterte Sicherheitsoptionen / Erste Schritte“. Unten links bei „Zusätzliche Sicherheitsoptionen“ findest du dann die Option, auf ein „Kennwortloses Konto“ umzusteigen oder (rechts davon) alternativ MFA zu aktivieren.
Natürlich musst du dazu vorab im Bereich „Möglichkeiten zum Nachweisen Ihrer Identität“ mit einem Klick auf den gleichnamigen Link eine „Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen“. Hier bietet sich z. B. der auf deinem Smartphone installierte Microsoft Authenticator „App verwenden“ an.
Noch besser ist „Windows-PC verwenden“, wenn du über eine moderne Windows-Version mit Hello-Support (Windows 10/11) und entsprechenden sensorischen Geräten (Kamera, Fingerabdruck Scanner) verfügst, was oft bei Notebooks der Fall ist.
Kennwortlos im Azure Active Directory
Für Nutzer im Azure Active Directory empfiehlt Microsoft ebenfalls die kennwortlose Authentifizierung mittels Windows Hello, FIDO2-Sicherheitsschlüssel und /der Microsoft Authenticator-App, auch wenn sich Nutzer nach wie vor auch mit üblichen Methoden wie „Benutzername“ und „Kennwort“ anmelden können. Letztes dann aber wie oben erwähnt zwingend mittels Kombination mit MFA. Alles andere wäre grob fahrlässig. Folgende Abbildung von Microsoft zeigt das deutlich:
Man könnte darüber diskutieren, was an „Passwordless“ + „Authenticator (Phone-Sign-In)“ besser ist, als an „Password“ + “Authenticator (Push Notification)“, wenn für beide der MS Authenticator zum Einsatz kommt. Bei der passwortlosen Authentifizierung wird überhaupt kein Kennwort übertragen und kann demzufolge auch nicht abgefangen werden, auch wenn für die Authentifizierung selbst immer noch der zweite Faktor gebraucht wird. Viele Nutzer pflegen aber leider identische Passwörter auch für anderen Umgebungen (möglicherweise dann ohne MFA zu verwenden). Außerdem bietet nur „Passwordless“ die Windows-Hello-Option.
Wie du in Azure Sicherheitsmethoden z. B. für den SSPR registrierst, haben wir bereits beschrieben (Link) und darauf hingewiesen, dass Microsoft zwecks Vereinfachung des Onboardings sowohl für MFA als auch für SSPR (Self-Service Password Reset) die so genannte kombinierte Registrierung von Sicherheitsinformationen empfiehlt. Um diese zu aktivieren, musst du als globaler Administrator im Azure-AD-Blade des Azure-Portals auf „Benutzereinstellungen“ klicken und dann ganz unten dem Link bei „Benutzerfeatures / Einstellungen für Benutzerfeatures verwalten“ folgen. Hier muss der Schieber für „Benutzer können die Registrierungsfunktion für kombinierte Sicherheitsinformationen verwenden (neue Mandanten werden automatisch aktiviert)“ auf „Alle“ setzen. Anschließend wechselst du im Azure-AD-Blade zu „Sicherheit / Authentifizierungsmethoden ( Richtlinien“, sofern du die kennwortlose Authentifizierung mit dem Azure-Authenticator verwenden möchtest. Folge dann dem Link „Microsoft Authenticator“. Setze dann im Abschnitt „Basics“ den Schieber „Aktivieren“ auf „Ja“ und wählen bei „Ziel“ wahlweise „alle Benutzer“ oder „Benutzer auswählen. In letzterem Fall kannst du dann den gewünschten Test-Benutzer hinzufügen. Mit einem Klick auf die 3 Punkte rechts kannst du dann auch den „Authentifizierungsmodus“ (Push / Kennwortlos) konfigurieren.
Smartphone in der Azure Cloud registrieren
Anschließend kann der betreffende Benutzer die gewünschte Sicherheitsmethode in seinem Konto hinzufügen. Dazu meldet er sich bei seinem Cloud-Konto an (https://myaccount.microsoft.com/) und klickt bei „Sicherheitsinformationen“ auf „Informationen aktualisieren“. Hat er sich dazu noch einmal authentifiziert kann er mit „Anmeldemethode hinzufügen“ und Auswahl des Eintrages „Authenticator“ zunächst dafür sorgen, dass der Azure Authenticator als Anmeldeverfahren verwendet werden kann.
Offensichtlich lässt sich der Microsoft Authenticator (Authenticator App) sowohl für die Primäre Authentifizierung (z. B. „kennwortlos“) als auch für die Sekundäre Authentifizierung (SSPR oder MFA) verwenden. Folgende Tabelle von Microsoft gibt darüber Auskunft.
Für welche „Stufe“ die Authenticator App zum Einsatz kommt entscheidet sich aber nicht an dieser Stelle. Möchte ein Cloud-Benutzer die Authenticator App für die kennwortlose Authentifizierung verwendenden muss sein Smartphone als „Device“ im Azure AD registriert sein. Um das zu erreichen, fügt er das entsprechende Cloud-Konto seiner Authenticator-App hinzu; am einfachsten mittels QR-Code. Wie das geht, haben wir bereits im Artikel zum SSPR gezeigt. Existiert das Azure-AD-Konto in der Authenticator-App, kann der Nutzer „in“ der Authenticator App“ z. B. unter Android im betreffenden Konto die „Anmeldung per Telefon einrichten (Ohne Kennwort anmelden)“.
Anschließend sollte das Geräte als „Azure AD registered“ in Geräteverwaltung des Azure AD auftauchen:
Natürlich lässt sich ein und dasselbe Android-Gerät nur von genau einem Benutzer im Azure AD registrieren. Dieser kann sich fortan kennwortlos z. B. beim Azure-Portal (https://portal.azure.com), im Applications-Portal (https://myapplications.microsoft.com) oder unter M265 (https://office.com) authentifizieren und muss daher beim nächsten Anmeldeversuch die angezeigte Nummer in seiner Authenticator-App eintippen und anschließend seinen Finger auf den Fingerabdrucksensor seines Smartphones legen. Ein Passwort ist nicht mehr erforderlich.
Fazit
Die kennwortlose Authentifizierung ist für reine Cloud-Benutzer einfach einzurichten. Für Hybridbenutzer – oder bzw. wenn du vom Windows-Hello-Support unter Windows-10/11 profitieren möchtest – ist es etwas aufwendiger. Hierzu benötigst du ein Windows-10/11-System, das in der Geräteverwaltung von Azure AD „Hybrid Azure AD Joined“ ist. Das wiederrum setzt eine Azure-AD-Connect-Konfiguration mit aktivierter Gerätezurückschreibung voraus. Authentifiziert sich dann ein Benutzer von einem Windows-10-Gerät aus, das sich im Besitz des Unternehmens befindet, lässt sich auch dessen Hello-Support nutzen. Eine weitere Variante beträfe reine Cloud-Windows-10/11-Systeme, z. B. im Kontext von Azure Virtual Desktops (AVD), die über eine Cloud-Geräte-Identität im Azure AD verfügen. Aber das ist ein anderes Thema, das wie im Kontext von Azure AVD behandelt werden.
Microsoft empfiehlt kennwortlose Authentifizierungsmethoden wie Windows Hello, FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App, weil sie die sicherste Umgebung für Anmeldungen bieten. Obwohl sich ein Benutzer mit anderen gängigen Methoden wie „Benutzername“ und „Kennwort“ anmelden kann, sollten Kennwörter durch sicherere Authentifizierungsmethoden ersetzt werden.
Kontakt

„*“ zeigt erforderliche Felder an