Freigeben über

Unterstützen von Passkeys in Microsoft Authenticator in Ihrem Microsoft Entra ID-Mandanten

  • Artikel

In diesem Thema werden Probleme, die Benutzern bei der Verwendung von Passkeys in Microsoft Authenticator möglicherweise angezeigt werden, und mögliche Optionen zu ihrer Behandlung durch Administratoren behandelt.

Problemumgehungen für eine Schleife in der Richtlinie für bedingten Zugriff für die Authentifizierungsstärke

Bei Organisationen, die Passkeys bereitstellen und Richtlinien für bedingten Zugriff haben, die phishingresistente Authentifizierung beim Zugriff auf Alle Ressourcen (vormals „Alle Cloud-Apps“) erfordern, kann ein Schleifenproblem auftreten, wenn Benutzer versuchen, Microsoft Authenticator einen Passkey hinzuzufügen. Beispiel für eine solche Richtlinienkonfiguration:

  • Bedingung: Alle Geräte (Windows, Linux, MacOS, Windows, Android)
  • Zielressource: Alle Ressourcen (vormals „Alle Cloud-Apps“)
  • Kontrolle zuweisen: Authentifizierungsstärke – Passkey in Authenticator erfordern

Die Richtlinie erzwingt effektiv, dass die Zielbenutzer einen Passkey verwenden müssen, um sich bei allen Cloudanwendungen zu authentifizieren. Dazu gehört auch die Microsoft Authenticator-App. Dies bedeutet, dass Benutzer einen Passkey verwenden müssen, wenn sie den In-App-Registrierungsflow innerhalb der Authenticator-App durchlaufen. Dies gilt sowohl für Android als auch für iOS.

Es gibt verschiedene Problemumgehungen:

  • Sie können nach Anwendungen filtern und das Richtlinienziel von Alle Ressourcen (vormals „Alle Cloud-Apps“) auf bestimmte Anwendungen umstellen. Beginnen Sie mit einer Überprüfung der Anwendungen, die in Ihrem Mandanten verwendet werden, und nutzen Sie Filter, um Microsoft Authenticator und andere Anwendungen zu markieren.

  • Um die Supportkosten weiter zu reduzieren, können Sie eine interne Kampagne ausführen, um Benutzer bei der Einführung von Passkeys zu unterstützen, bevor die Verwendung von Kennungen erzwungen wird. Wenn Sie bereit sind, die Verwendung von Passkeys zu erzwingen, erstellen Sie zwei Richtlinien für bedingten Zugriff:

    • Eine Richtlinie für Versionen mobiler Betriebssysteme
    • Eine Richtlinie für Versionen von Desktopbetriebssystemen

    Erfordern Sie für jede Richtlinie eine andere Authentifizierungsstärke, und konfigurieren Sie weitere Richtlinieneinstellungen, die in der folgenden Tabelle aufgeführt sind. Wahrscheinlich möchten Sie die Verwendung eines befristeten Zugriffspasses (Temporary Access Pass, TAP) oder andere Authentifizierungsmethoden aktivieren, die Benutzer zum Registrieren des Passkey verwenden können. Indem Sie einen TAP nur dann an einen Benutzer ausgeben, wenn er Anmeldeinformationen registriert, und ihn nur auf mobilen Plattformen akzeptieren, auf denen die Passkeyregistrierung erfolgen kann, können Sie sicherstellen, dass Benutzer zulässige Authentifizierungsmethoden für alle Flows und TAP nur für einen begrenzten Zeitraum während der Registrierung verwenden.

    Richtlinie für bedingten Zugriff Desktopbetriebssystem Mobiles Betriebssystem
    Name Voraussetzen eines Passkey in Authenticator für den Zugriff auf ein Desktopbetriebssystem Voraussetzen eines TAP, phishingresistenter Anmeldeinformationen oder einer anderen angegebenen Authentifizierungsmethode für den Zugriff auf ein mobiles Betriebssystem
    Bedingung Bestimmte Geräte (Desktopbetriebssysteme) Bestimmte Geräte (mobile Betriebssysteme)
    Geräte N/V Android, iOS
    Geräte ausschließen Android, iOS N/V
    Zielressource Alle Ressourcen Alle Ressourcen
    Zuweisungssteuerelement Authentifizierungsstärke Authentifizierungsstärke1
    Methoden Passkey in Microsoft Authenticator TAP, Passkey in Microsoft Authenticator
    Richtlinienergebnis Benutzer, die sich nicht mit einem Passkey in Authenticator anmelden können, werden an den Assistentenmodus „Meine Anmeldungen“ geleitet. Nach der Registrierung werden sie aufgefordert, sich auf ihrem mobilen Gerät bei Authenticator anzumelden. Benutzer, die sich mit einem TAP oder einer anderen zulässigen Methode bei Authenticator anmelden, können einen Passkey direkt in Authenticator registrieren. Es tritt keine Schleife auf, da der Benutzer die Authentifizierungsanforderungen erfüllt.

    1Damit Benutzer neue Anmeldemethoden registrieren können, muss Ihre Zuweisungssteuerung für die mobile Richtlinie mit Ihrer Richtlinie für bedingten Zugriff übereinstimmen, um Sicherheitsinformationen zu registrieren.

Hinweis

Bei beiden Problemumgehungen müssen Benutzer auch alle Richtlinien für bedingten Zugriff erfüllen, die auf Sicherheitsinformationen registrieren ausgerichtet sind. Ansonsten können sie den Passkey nicht registrieren. Wenn Sie weitere Bedingungen für die Richtlinien für Alle Ressourcen eingerichtet haben, müssen diese beim Registrieren des Passkey erfüllt werden.

Beschränken der Bluetooth-Nutzung auf Passkeys in Authenticator

Einige Organisationen schränken die Bluetooth-Nutzung ein. Dies schließt die Nutzung von Passkeys ein. In solchen Fällen können Organisationen Passkeys zulassen, indem sie die Bluetooth-Kopplung ausschließlich mit Passkey-fähigen FIDO2-Authentifikatoren zulassen. Weitere Informationen zum Konfigurieren der ausschließlichen Bluetooth-Nutzung für Passkeys finden Sie unter Passkeys in Umgebungen mit eingeschränkter Bluetooth-Nutzung.

Nächste Schritte

Weitere Informationen zu Passkeys in Microsoft Authenticator finden Sie unter Microsoft Authenticator-Authentifizierungsmethode. Informationen zum Aktivieren von Passkeys in Authenticator als Anmeldemöglichkeit für Benutzer finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.