Aktivieren von Passkeys in Microsoft Authenticator

In diesem Artikel werden die Schritte zum Aktivieren und Durchsetzen von Passkeys in Authenticator für Microsoft Entra ID aufgeführt. Aktualisieren Sie zunächst die Richtlinie für Authentifizierungsmethoden, um Endbenutzern die Registrierung und Anmeldung mit Passkeys bei Authenticator zu ermöglichen. Anschließend können Sie Richtlinien für bedingten Zugriff mit Authentifizierungsstärken verwenden, um die Passkey-Anmeldung zu erzwingen, wenn Benutzer auf eine vertrauliche Ressource zugreifen.

Anforderungen

• Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra
• Mindestens Android 14 bzw. mindestens iOS 17
• Eine aktive Internetverbindung auf jedem Gerät, das Teil des Prozesses für die Passkeyregistrierung/Authentifizierung ist Konnektivität mit diesen beiden Endpunkten muss in Ihrer Organisation erlaubt werden, um geräteübergreifende Registrierung und Authentifizierung zu ermöglichen:
  • https://cable.ua5v.com
  • https://cable.auth.com
• Für geräteübergreifende Registrierung/Authentifizierung müssen beide Geräte Bluetooth aktiviert haben

Weitere Informationen dazu, wo Sie Passkeys in Authenticator für die Anmeldung verwenden können, finden Sie unter Unterstützung der FIDO2-Authentifizierung mit Microsoft Entra ID.

Aktivieren von Passkeys in Authenticator im Admin Center

Ein Authentifizierungsrichtlinienadministrator muss zustimmen, um Authenticator in den FIDO2-Einstellungen der Richtlinie für Authentifizierungsmethoden zuzulassen. Sie müssen explizit die Authentifizierungsnachweis-GUIDs (AAGUIDs) für Microsoft Authenticator zulassen, damit Benutzer Passkeys in der Authenticator-App registrieren können. Es gibt keine Einstellung zum Aktivieren von Passkeys im Abschnitt Microsoft Authenticator-App der Richtlinie für Authentifizierungsmethoden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinie für Authentifizierungsmethoden.

3. Wählen Sie unter der Methode Passkey (FIDO2) die Option Alle Benutzer oder Gruppen hinzufügen aus, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.

4. Auf der Registerkarte Konfigurieren:

   • Legen Sie Self-Service-Setup zulassen auf Ja fest. Wenn Nein festgelegt ist, können Benutzer einen Passkey nicht mithilfe von Sicherheitsinformationen registrieren, auch wenn Passkeys (FIDO2) von der Richtlinie für Authentifizierungsmethoden aktiviert sind.

   • Legen Sie Nachweis erzwingen auf Ja fest.

     Wenn der Nachweis in der Passkey-Richtlinie (FIDO) aktiviert ist, versucht Microsoft Entra ID, die Legitimität des zu erstellenden Passkey zu überprüfen. Wenn der Benutzer einen Passkey in Authenticator registriert, überprüft der Nachweis, dass die legitime Microsoft Authenticator-App den Passkey mithilfe von Apple- und Google-Diensten erstellt hat. Hier finden Sie weitere Details:

     • iOS: Der Authenticator-Nachweis verwendet den iOS App Attest-Dienst, um die Legitimität der Authenticator-App sicherzustellen, bevor der Passkey registriert wird.

       Hinweis

       Unterstützung für die Registrierung von Passkeys in Authenticator bei erzwungenem Nachweis wird derzeit für Authenticator-App-Benutzer unter iOS bereitgestellt. Unterstützung für die Registrierung von nachgewiesenen Schlüsseln in Authenticator auf Android-Geräten ist für alle Benutzer in der aktuellen Version der App verfügbar.

     • Android:

       • Beim Play Integrity-Nachweis verwendet der Authenticator-Nachweis die Play Integrity-API, um die Legitimität der Authenticator-App sicherzustellen, bevor der Passkey registriert wird.
       • Für den Schlüsselnachweis verwendet der Authenticator-Nachweis den Schlüsselnachweis von Android, um zu überprüfen, ob der zu registrierende Passkey hardwaregestützt ist.

     Hinweis

     Bei iOS und Android nutzt der Authenticator-Nachweis Apple- und Google-Dienste, um die Echtheit der Authenticator-App zu überprüfen. Eine hohe Dienstauslastung kann zu einem Fehler bei der Passkeyregistrierung führen, und Benutzer müssen den Vorgang möglicherweise wiederholen. Wenn Apple- und Google-Dienste nicht verfügbar sind, blockiert der Authenticator-Nachweis die Registrierung, die einen Nachweis erfordert, bis die Dienste wieder verfügbar sind. Informationen zum Überwachen des Status des Google Play Integrity-Diensts finden Sie unter Google Play Status Dashboard (Statusdashboard von Google Play). Informationen zum Überwachen des Status des iOS App Attest-Diensts finden Sie unter System Status.

   • Schlüsseleinschränkungen legen die Nutzbarkeit bestimmter Passkeys sowohl für die Registrierung als auch für die Authentifizierung fest. Legen Sie Schlüsseleinschränkungen durchsetzen auf Ja fest, um nur bestimmte Kennungen zuzulassen oder zu blockieren, die von ihren AAGUIDs identifiziert werden.

     Diese Einstellung muss Ja sein, und Sie müssen die Microsoft Authenticator AAGUIDs hinzufügen, damit Benutzer Passkeys im Authenticator registrieren können, entweder durch Anmelden bei der Authenticator-App oder durch Hinzufügen von Passkeys in Microsoft Authenticator aus ihren Sicherheitsinformationen.

     Sicherheitsinformationen erfordern, dass diese Einstellung auf Ja festgelegt ist, damit Benutzer Passkey in Authenticator auswählen und einen dedizierten Authenticator-Registrierungsfluss für Passkeys durchlaufen können. Wenn Sie Nein auswählen, können Benutzer möglicherweise weiterhin einen Passkey in Microsoft Authenticator hinzufügen, indem sie je nach Betriebssystem und Browser die Methode Sicherheitsschlüssel oder Passkey auswählen. Es wird jedoch nicht erwartet, dass diese Methode von vielen Benutzern entdeckt und verwendet wird.

     Wenn Ihre Organisation derzeit keine wichtigen Einschränkungen durchsetzt und bereits über eine aktive Passkey-Nutzung verfügt, sollten Sie die AAGUIDs der heute verwendeten Schlüssel erfassen. Schließen Sie diese Benutzer und die Authenticator-AAGUIDs ein. Dazu können Sie ein automatisiertes Skript verwenden, das Protokolle analysiert, z. B. Registrierungsdetails und Anmeldeprotokolle.

     Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden.

   • Legen Sie Bestimmte Schlüssel einschränken auf Zulassen fest.

   • Wählen Sie Microsoft Authenticator aus, um die AAGUIDs der Authenticator-App automatisch der Schlüsseleinschränkungsliste hinzuzufügen, oder fügen Sie manuell die folgenden AAGUIDs hinzu, damit Benutzer Passkeys im Authenticator registrieren können, indem sie sich bei der Authenticator-App anmelden oder einen geführten Flow auf der Seite „Sicherheitsinformationen“ durchlaufen:

     • Authenticator für Android: de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator für iOS: 90a3ccdf-635c-4729-a248-9b709135078f

     Hinweis

     Wenn Sie die Schlüsseleinschränkungen deaktivieren, sollten Sie auch das Kontrollkästchen Microsoft Authenticator deaktivieren, damit Benutzende in Sicherheitsinformationen nicht aufgefordert werden, einen Passkey in der Authenticator-App einzurichten.

   

5. Wählen Sie nach Abschluss der Konfiguration Speichern aus.

   Hinweis

   Wenn beim Speichern ein Fehler angezeigt wird, ersetzen Sie mehrere Gruppen durch eine einzelne Gruppe in einem Vorgang, und klicken Sie dann erneut auf Speichern.

Aktivieren von Passkeys in Authenticator mithilfe des Graph-Testers

Sie können Passkeys in Authenticator nicht nur über das Microsoft Entra Admin Center, sondern auch mithilfe des Graph-Testers aktivieren. Diejenigen, denen mindestens die Rolle Administrator für Authentifizierungsrichtlinien zugewiesen wurde, können die Richtlinie für Authentifizierungsmethoden aktualisieren, um die AAGUIDs für Authenticator zuzulassen.

So konfigurieren Sie die Richtlinie mithilfe von Graph-Tester

1. Melden Sie sich bei Graph-Tester an, und stimmen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zu.

2. Rufen Sie die Authentifizierungsmethodenrichtlinie ab:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Um die Erzwingung von Nachweisen zu deaktivieren und Schlüsseleinschränkungen zu erzwingen, um nur AAGUID für Microsoft Authenticator zuzulassen, führen Sie einen PATCH-Vorgang mit dem folgenden Anforderungstext aus:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Stellen Sie sicher, dass die Passkey-Richtlinie (FIDO2) ordnungsgemäß aktualisiert wird.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Beschränken der Bluetooth-Nutzung auf Passkeys in Authenticator

Einige Organisationen schränken die Bluetooth-Nutzung ein. Dies schließt die Nutzung von Passkeys ein. In solchen Fällen können Organisationen Passkeys zulassen, indem sie die Bluetooth-Kopplung ausschließlich mit Passkey-fähigen FIDO2-Authentifikatoren zulassen. Weitere Informationen zum Konfigurieren der ausschließlichen Bluetooth-Nutzung für Passkeys finden Sie unter Passkeys in Umgebungen mit eingeschränkter Bluetooth-Nutzung.

Löschen eines Passkey

Wenn ein Benutzer einen Passkey in Authenticator löscht, wird der Passkey auch aus den Anmeldemethoden des Benutzers entfernt. Ein Authentifizierungsrichtlinienadministrator kann diese Schritte auch ausführen, um einen Passkey aus den Authentifizierungsmethoden des Benutzers zu löschen. Dadurch wird der Passkey aber nicht aus Authenticator entfernt.

1. Melden Sie sich beim Microsoft Entra Admin Center an und suchen Sie nach dem Benutzer, dessen Passkey entfernt werden muss.
2. Wählen Sie Authentifizierungsmethoden> aus, klicken Sie mit der rechten Maustaste auf FIDO2-Sicherheitsschlüssel und wählen Sie dann Löschen aus.

Durchsetzen der Anmeldung mit Passkeys in Authenticator

Wenn sich Benutzer mit einem Passkey anmelden sollen, wenn sie auf eine vertrauliche Ressource zugreifen, verwenden Sie die integrierte Phishing-resistente Authentifizierungsstärke, oder erstellen Sie eine benutzerdefinierte Authentifizierungsstärke. Führen Sie dazu die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.

2. Browsen Sie zu Schutz>Authentifizierungsmethoden>Authentifizierungsstärken.

3. Wählen Sie Neue Authentifizierungsstärke aus.

4. Geben Sie einen beschreibenden Namen für Ihre neue Authentifizierungsstärke an.

5. Erstellen Sie optional eine Beschreibung.

6. Wählen Sie Passkeys (FIDO2) und dann Erweiterte Optionen aus.

7. Sie können entweder Stärke für Phishing-sichere MFA auswählen oder AAGUIDs für Passkeys in Authenticator hinzufügen:

   • Authenticator für Android: de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator für iOS: 90a3ccdf-635c-4729-a248-9b709135078f

8. Wählen Sie Weiter aus, und überprüfen Sie die Richtlinienkonfiguration.

Nächste Schritte

Unterstützung für Passkeys unter Windows