Kennwortlose AuthentifizierungsoptionenPasswordless authentication options

Die Multi-Factor Authentication (MFA) ist eine großartige Möglichkeit, Ihre Organisation zu schützen, aber den Benutzer ist es lästig, sich auch noch ihre Kennwörter merken zu müssen.Multi-factor authentication (MFA) is a great way to secure your organization, but users get frustrated with the additional layer on top of having to remember their passwords. Kennwortlose Authentifizierungsmethoden sind bequemer, da das Kennwort entfällt und durch etwas ersetzt wird, das Sie haben, plus etwas, das Sie sind oder das Sie wissen.Passwordless authentication methods are more convenient because the password is removed and replaced with something you have plus something you are or something you know.

Etwas, das Sie habenSomething you have Etwas, das Sie wissenSomething you are or know
KennwortlosPasswordless Windows 10-Gerät, Smartphone oder SicherheitsschlüsselWindows 10 Device, phone, or security key Biometrische Daten oder PINBiometric or PIN

Jede Organisation hat unterschiedliche Anforderungen in Bezug auf die Authentifizierung.Each organization has different needs when it comes to authentication. Microsoft bietet drei kennwortlose Authentifizierungsoptionen:Microsoft offers three passwordless authentication options:

  • Windows Hello for BusinessWindows Hello for Business
  • Microsoft Authenticator-AppMicrosoft Authenticator app
  • FIDO2-SicherheitsschlüsselFIDO2 security keys

Authentifizierung: Sicherheits- und Komfortaspekte

Windows Hello for BusinessWindows Hello for Business

Windows Hello for Business eignet sich ideal für Information-Worker, die über einen eigenen Windows-PC verfügen.Windows Hello for Business is ideal for information workers who have their own designated Windows PC. Die biometrischen Daten und die PIN sind direkt mit dem PC des Benutzers verknüpft, wodurch sichergestellt wird, dass nur der Besitzer darauf zugreifen kann.The biometric and PIN are directly tied to the user's PC, which prevents access from anyone other than the owner. Mit PKI-Integration und integrierter Unterstützung für einmaliges Anmelden (SSO) bietet Windows Hello for Business eine einfache und praktische Methode für den nahtlosen Zugriff auf Unternehmensressourcen lokal und in der Cloud.With PKI integration and built-in support for single sign-on (SSO), Windows Hello for Business provides a simple and convenient method for seamlessly accessing corporate resources on-premises and in the cloud.

Das Planungshandbuch für Windows Hello for Business kann verwendet werden, um die Auswahl der Art der Bereitstellung von Windows Hello for Business und die zu berücksichtigenden Optionen zu erleichtern.The Windows Hello for Business planning guide can be used to help you make decisions on the type of Windows Hello for Business deployment and the options you'll need to consider.

Microsoft Authenticator-AppMicrosoft Authenticator App

Ermöglichen Sie, dass die Telefone Ihrer Mitarbeiter in die kennwortlose Authentifizierungsmethode integriert werden.Allow your employee’s phone to become a passwordless authentication method. Möglicherweise verwenden Sie bereits die Microsoft Authenticator-App als komfortable MFA-Option zusätzlich zu einem Kennwort.You may already be using the Microsoft Authenticator App as a convenient multi-factor authentication option in addition to a password. Aber nun ist sie als kennwortlose Option verfügbar.But now, it’s available as a passwordless option.

Anmelden bei Microsoft Edge mit der Microsoft Authenticator-App

Sie verwandelt jedes iOS- oder Android-Handy in eine starke, kennwortlose Anmeldeinformation, indem sie Benutzern ermöglicht, sich bei jeder Plattform oder jedem Browser anzumelden, indem sie eine Benachrichtigung auf ihrem Handy erhalten, eine auf dem Bildschirm angezeigte Nummer mit der auf ihrem Handy abgleichen und dann ihre biometrischen Daten (Berührung oder Gesicht) oder die PIN zur Bestätigung verwenden.It turns any iOS or Android phone into a strong, passwordless credential by allowing users to sign in to any platform or browser by getting a notification to their phone, matching a number displayed on the screen to the one on their phone and then using their biometric (touch or face) or PIN to confirm.

FIDO2-SicherheitsschlüsselFIDO2 security keys

FIDO2-Sicherheitsschlüssel sind eine Phishing-resistente, standardbasierte Methode zur kennwortlosen Authentifizierung, die in jedem Formfaktor verfügbar sein kann.FIDO2 security keys are an unphishable standards-based passwordless authentication method that can come in any form factor. Fast Identity Online (FIDO) ist ein offener Standard für die kennwortlose Authentifizierung.Fast Identity Online (FIDO) is an open standard for passwordless authentication. Damit können Benutzer und Organisationen den Standard nutzen, um sich ohne Benutzername oder Kennwort mit einem externen Sicherheitsschlüssel oder einem in ein Gerät integrierten Plattformschlüssel bei ihren Ressourcen anzumelden.It allows users and organizations to leverage the standard to sign in to their resources without a username or password using an external security key or a platform key built into a device.

In der Public Preview können sich Mitarbeiter mit Sicherheitsschlüsseln bei ihren mit Azure AD verknüpften Windows 10-Geräten anmelden und mit einmaligem Anmelden auf ihre Cloud- und lokalen Ressourcen zugreifen.For public preview, employees can use security keys to sign in to their Azure AD joined Windows 10 devices and get single-sign on to their cloud and on-premises resources. Sie können sich auch bei unterstützten Browsern anmelden.They can also sign in to supported browsers.

Anmelden bei Microsoft Edge mit einem Sicherheitsschlüssel

Viele Schlüssel verfügen zwar über eine FIDO2-Zertifizierung der FIDO Alliance, Microsoft verlangt von Anbietern jedoch die Implementierung einiger optionaler Erweiterungen der FIDO2-CTAP-Spezifikation (Client-to-Authenticator Protocol), um maximale Sicherheit und ein optimales Benutzererlebnis zu gewährleisten.While there are many keys that are FIDO2 certified by the FIDO Alliance, Microsoft requires some optional extensions of the FIDO2 Client-to-Authenticator Protocol (CTAP) specification to be implemented by the vendor to ensure maximum security and the best experience.

Ein Sicherheitsschlüssel MUSS die folgenden Features und Erweiterungen aus dem FIDO2 CTAP-Protokoll implementieren, damit er mit Microsoft kompatibel ist:A security key MUST implement the following features and extensions from the FIDO2 CTAP protocol to be Microsoft-compatible:

# Funktion/Erweiterte VertrauenswürdigkeitFeature / Extension trust Warum ist diese Funktion oder Erweiterung erforderlich?Why is this feature or extension required?
11 Residenter SchlüsselResident key Diese Funktion ermöglicht, dass der Sicherheitsschlüssel portabel ist, wobei Ihre Anmeldeinformationen auf dem Sicherheitsschlüssel gespeichert sind.This feature enables the security key to be portable, where your credential is stored on the security key.
22 Client-PINClient pin Diese Funktion ermöglicht Ihnen, Ihre Anmeldeinformationen mit einem zweiten Faktor zu schützen und gilt für Sicherheitsschlüssel, die keine Benutzeroberfläche haben.This feature enables you to protect your credentials with a second factor and applies to security keys that do not have a user interface.
33 hmac-secrethmac-secret Diese Erweiterung stellt sicher, dass Sie sich bei Ihrem Gerät anmelden können, wenn es sich im Offline- oder Flugmodus befindet.This extension ensures you can sign in to your device when it's off-line or in airplane mode.
44 Mehrere Konten per RPMultiple accounts per RP Diese Funktion stellt sicher, dass Sie den gleichen Sicherheitsschlüssel für mehrere Dienste wie Microsoft Account und Azure Active Directory verwenden können.This feature ensures you can use the same security key across multiple services like Microsoft Account and Azure Active Directory.

Die folgenden Anbieter bieten FIDO2-Sicherheitsschlüssel in verschiedenen Formfaktoren an, die bekanntermaßen mit der kennwortlosen Benutzererfahrung kompatibel sind.The following providers offer FIDO2 security keys of different form factors that are known to be compatible with the passwordless experience. Microsoft empfiehlt den Kunden, die Sicherheitseigenschaften dieser Schlüssel zu bewerten, indem sie sich an den Hersteller und die FIDO Alliance wenden.Microsoft encourages customers to evaluate the security properties of these keys by contacting the vendor as well as FIDO Alliance.

AnbieterProvider KontaktContact
YubicoYubico https://www.yubico.com/support/contact/
FeitianFeitian https://www.ftsafe.com/about/Contact_Us
HIDHID https://www.hidglobal.com/contact-us
EnsurityEnsurity https://www.ensurity.com/contact
eWBMeWBM https://www.ewbm.com/support
AuthenTrendAuthenTrend https://authentrend.com/about-us/#pg-35-3

Hinweis

Wenn Sie auf NFC basierte Sicherheitsschlüssel erwerben und diese verwenden möchten, benötigen Sie einen unterstützten NFC-Leser.If you purchase and plan to use NFC based security keys you will need a supported NFC reader.

Wenn Sie ein Anbieter sind und möchten, dass Ihr Gerät auf diese Liste gesetzt wird, wenden Sie sich an Fido2Request@Microsoft.com.If you are a vendor and want to get your device on this list, contact Fido2Request@Microsoft.com.

FIDO2-Sicherheitsschlüssel sind eine gute Option für Unternehmen, die sehr sicherheitsbewusst sind, oder deren Mitarbeiter nicht bereit oder in der Lage sind, ihr Telefon als zweiten Faktor zu verwenden, oder bei denen andere entsprechende Szenarien vorliegen.FIDO2 security keys are a great option for enterprises who are very security sensitive or have scenarios or employees who aren’t willing or able to use their phone as a second factor.

Welche Szenarien sind für die Vorschau geeignet?What scenarios work with the preview?

  • Administratoren können kennwortlose Authentifizierungsmethoden für ihre Mandanten aktivierenAdministrators can enable passwordless authentication methods for their tenant
  • Administratoren können die einzelnen Methoden für alle Benutzer oder ausgewählte Benutzer/Gruppen in ihrem Mandanten anwendenAdministrators can target all users or select users/groups within their tenant for each method
  • Endbenutzer können diese kennwortlosen Authentifizierungsmethoden in ihrem Kontoportal registrieren und verwaltenEnd users can register and manage these passwordless authentication methods in their account portal
  • Endbenutzer können sich mit diesen kennwortlosen Authentifizierungsmethoden anmeldenEnd users can sign in with these passwordless authentication methods
    • Microsoft Authenticator-App: Funktioniert in Szenarien, in denen die Azure AD-Authentifizierung verwendet wird, einschließlich aller Browser, während der Einrichtung der Windows 10-Out-of-Box-Experience (OOBE) und mit integrierten mobilen Apps unter jedem Betriebssystem.Microsoft Authenticator App: Will work in scenarios where Azure AD authentication is used, including across all browsers, during Windows 10 Out Of Box (OOBE) setup, and with integrated mobile apps on any operating system.
    • Sicherheitsschlüssel: Funktioniert auf Sperrbildschirm für Windows 10 und im Internet in unterstützten Browsern wie Microsoft Edge.Security keys: Will work on lock screen for Windows 10 and the web in supported browsers like Microsoft Edge.

Nächste SchritteNext steps

Aktivieren der kennwortlosen Anmeldung mit FIDO2-Sicherheitsschlüsseln für Ihre OrganisationEnable FIDO2 security key passwordlesss options in your organization

Aktivieren der kennwortlosen Anmeldung per Telefon für Ihre OrganisationEnable phone-based passwordless options in your organization

FIDO AllianceFIDO Alliance

FIDO2 CTAP-SpezifikationFIDO2 CTAP specification