graphical user interface, text, application, email

Neue Authentifizierungsmethoden bei Azure AD – Ein Versuch mit Fido2 – Update

3af18ddfd5ae43cfb0a280902a8b2477

Neben dem schon einige Zeit möglichen Variante „Microsoft Authenticator-Anmeldung ohne Kennwort“, gibt es jetzt in einer Vorschau auch die Möglichkeit einen FIDO2-Sicherheitsschlüssel für die Azure AD Anmeldung zu benutzen. – Was leider bei mir nicht klappt, mehr dazu später in diesem Artikel.

Beide Methoden werde ich in diesem Beitrag näher beleuchten.

Sie finden die Einstellungen im Azure AD Portal unter „Authentifizierungsmethoden„.

071119 1948 NeueAuthent1

Hinweis zur Vorschauphase

Die Funktion / das Produkt ist im Moment in einer Vorschauphase, bis zum fertigen Stand kann sich noch einiges ändern. Aus diesem Grund sollte die Funktion nur mit Bedacht zu produktiven Zwecken eingesetzt werden.


Vorbereitungen

Als erstes müssen Sie definieren, welche Benutzer die Vorschaufunktion benutzen dürfen. Hierzu klicken Sie auf „Click here to enableusers for the enhanced registration preview“. Hier können Sie festlegen ob alle, oder nur ausgewählte Nutzergruppen die Funktionen nutzen können.

071119 1948 NeueAuthent2

Microsoft Authenticator-Anmeldung ohne Kennwort

Da diese Authentifizierung MFA benötigt, ist eine AzureAD Premium Lizenz erforderlich. Ausnahme sind Administrative Konten die kostenfrei mit MFA geschützt werden können.

Die Konfiguration ist sehr simpel.

071119 1948 NeueAuthent3

Und schon kann es genutzt werden. So sieht die Anforderung auf dem System aus:

071119 1948 NeueAuthent4

Und so sieht die Push Benachrichtigung auf dem Handy aus:

071119 1948 NeueAuthent5

Als zweiter Faktor muss noch im Handy den Pin der Bildschirmsperre eingegeben.

Werbung

FIDO2-Sicherheitsschlüssel

Wichtigen Hinweis

Ich habe FIDO2 nicht zum Laufen bekommen. Vielleicht habt ihr noch eine Idee, wenn ja, schreibt mich an.

Als nächstes kommen wir zu der FIDO2-Sicherheitsschlüsselanmeldung. Dafür wird ein Kompatibler FIDO2-Schlüssel vorausgesetzt. Ich benutze einen YubiKey, der mir freundlicherweise von Yubico auf der Ignite 2018 zur Verfügung gestellt wurde. Wichtig, nicht alle Modelle unterstützen FIDO2, nur der neuste meiner kleinen Sammlung kann FIDO2.

071119 1948 NeueAuthent6

Jetzt geht es an die Einrichtung in der Azure Konsole.

071119 1948 NeueAuthent7

Die Einstellungen sind übersichtlich. Ich wähle wieder meine Benutzer aus, die zugelassen sind. Ich könnte hier auch die erlaubten Schlüssel einschränken.

071119 1948 NeueAuthent8

Die Einrichtung für den Anwender

Die Anwender müssen den Token zu ihrem Profil hinzufügen. Die kann auf der Webseite https://myprofile.microsoft.com getan werden. Wenn Sie eine Fehlermeldung erhalten, dass die Funktion noch nicht freigeschaltet wurde, so haben Sie die Vorbereitungen übersprungen oder der Benutzer muss sich einmal vom AzureAD im Browser abmelden.

071119 1948 NeueAuthent9

Hier ist in der Kachel „Sicherheitsinformationen“ der Link „Informationen aktualisieren“ auszuwählen. Auf der folgenden Webseite kann dann eine „Methode hinzufügen“ ausgewählt werden.

071119 1948 NeueAuthent10

Hier steht dann die Methode „Sicherheitsschlüssel“ zur Verfügung.

Werbung
071119 1948 NeueAuthent11

Nicht jeder Browser unterstützt das Hinzufügen, aktuell nur der Edge und der aktuelle Mozilla Firefox.

071119 1948 NeueAuthent12

Aber der Microsoft Edge Browser funktioniert

Werbung
071119 1948 NeueAuthent13

Nach der Auswahl erfolgt eine Beschreibung der nächsten Schritte.

071119 1948 NeueAuthent14

Nach dem Klick auf Weiter erfolgt die Einrichtung. Nun muss der Schicherheitsschlüßel angesteckt werden.

Werbung
071119 1948 NeueAuthent15

Nach dem Anstecken muss ein Pin für den Schlüssel eingerichtet werden

071119 1948 NeueAuthent16

Nach der Pin muss die Taste auf dem Schlüssel betätigt werden.

071119 1948 NeueAuthent17

Nun geht es wieder im Browser weiter. Hier muss jetzt ein Name für den Schlüssel festgelegt werden.

071119 1948 NeueAuthent18

Jetzt ist die Einrichtung abgeschlossen.

071119 1948 NeueAuthent19

Und der Schlüssel erscheint in der Übersicht.

071119 1948 NeueAuthent20

Bei mir sah es leider im Edge so aus:

071119 1948 NeueAuthent21

Doch der Firefox (der andere unterstützte Browser) zeigte es schon an:

071119 1948 NeueAuthent22

Es erfolgt wieder die Abfrage über die Windows Sicherheit

071119 1948 NeueAuthent23

Interessanterweise erkannte der Firefox den Sicherheitsschlüssel nicht

071119 1948 NeueAuthent24

Ein Blick in die Anwendung „Einstellungen zeigt aber das der Schlüssel richtig eingerichtet ist.

071119 1948 NeueAuthent25

Leider habe es nicht zum Funktionieren bekommen. Auch an einem anderen Rechner bekomme ich die Meldung das der Key nicht bekannt ist. Windows 10 1903 zeigt nur den leeren Smartcard-Slot in der Anmeldung, nicht den USB Token.

Update 14.07.2019

Ich habe den Fehler gufunden, die Moderne Authentifizierung war für mein Office365 deaktiviert. Somit konnte das auch nicht Fuktionieren. Die anmeldung An Windows 10 funktioniert allerdings immer noch nicht.

Wie sieht es bei euch aus? Andere Erfahrungen?

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.