Aktivieren der kennwortlosen Anmeldung mit der Microsoft Authenticator-App (Vorschauversion)Enable passwordless sign-in with the Microsoft Authenticator app

Mit der Microsoft Authenticator-App können sich Benutzer bei jedem beliebigen Azure AD-Konto anmelden, ohne ein Kennwort zu verwenden.The Microsoft Authenticator app can be used to sign in to any Azure AD account without using a password. Microsoft Authenticator aktiviert mit der schlüsselbasierten Authentifizierung Benutzeranmeldeinformationen, die an ein Gerät gebunden sind, wobei das Gerät eine PIN oder einen biometrischen Wert verwendet.Microsoft Authenticator uses key-based authentication to enable a user credential that is tied to a device, where the device uses a PIN or biometric. Windows Hello for Business verwendet eine ähnliche Technologie.Windows Hello for Business uses a similar technology.

Diese Authentifizierungstechnologie kann auf jeder Geräteplattform verwendet werden, einschließlich mobiler Geräte.This authentication technology can be used on any device platform, including mobile. Diese Technologie kann auch mit jeder App oder Website verwendet werden, die in Microsoft-Authentifizierungsbibliotheken integriert ist.This technology can also be used with any app or website that integrates with Microsoft Authentication Libraries.

Beispiel für eine browserbasierte Anmeldung, die der Benutzer bestätigen muss.

Personen, die die Anmeldung per Telefon über die Microsoft Authenticator-App aktiviert haben, sehen eine Meldung, in der sie aufgefordert werden, in ihrer App auf eine Zahl zu tippen.People who enabled phone sign-in from the Microsoft Authenticator app see a message that asks them to tap a number in their app. Es wird nicht nach Benutzername oder Kennwort gefragt.No username or password is asked for. Um den Anmeldevorgang in der App abzuschließen, muss ein Benutzer als Nächstes die folgenden Aktionen ausführen:To complete the sign-in process in the app, a user must next take the following actions:

  1. Auf die richtige Zahl tippen.Match the number.
  2. Klicken Sie auf Genehmigen.Choose Approve.
  3. Die PIN oder den biometrischen Wert bereitstellen.Provide their PIN or biometric.

VoraussetzungenPrerequisites

Die folgenden Voraussetzungen müssen erfüllt sein, damit die kennwortlose Anmeldung per Telefon mit der Microsoft Authenticator-App verwendet werden kann:To use passwordless phone sign-in with the Microsoft Authenticator app, the following prerequisites must be met:

  • Azure AD Multi-Factor Authentication ist mit Pushbenachrichtigungen als Überprüfungsmethode zulässig.Azure AD Multi-Factor Authentication, with push notifications allowed as a verification method.
  • Aktuelle Version von Microsoft Authenticator auf Geräten mit iOS 8.0 oder höher oder Android 6.0 oder höher installieren.Latest version of Microsoft Authenticator installed on devices running iOS 8.0 or greater, or Android 6.0 or greater.

Hinweis

Wenn Sie die kennwortlose Anmeldung mit Microsoft Authenticator mithilfe von Azure AD PowerShell aktiviert haben, wurde sie für Ihr gesamtes Verzeichnis aktiviert.If you enabled Microsoft Authenticator passwordless sign-in using Azure AD PowerShell, it was enabled for your entire directory. Wenn Sie die Aktivierung mit dieser neuen Methode vornehmen, wird die PowerShell-Richtlinie dadurch ersetzt.If you enable using this new method, it supercedes the PowerShell policy. Es wird empfohlen, für alle Benutzer in Ihrem Mandanten die Aktivierung über das neue Menü Authentifizierungsmethoden vorzunehmen. Andernfalls können sich Benutzer, die nicht in der neuen Richtlinie enthalten sind, nicht mehr ohne Kennwort anmelden.We recommend you enable for all users in your tenant via the new Authentication Methods menu, otherwise users not in the new policy are no longer be able to sign in without a password.

Aktivieren von Methoden zur kennwortlosen AuthentifizierungEnable passwordless authentication methods

Um die kennwortlose Authentifizierung in Azure AD zu verwenden, aktivieren Sie zunächst die kombinierte Registrierung, und aktivieren Sie anschließend die Benutzer für die kennwortlose Methode.To use passwordless authentication in Azure AD, first enable the combined registration experience, then enable users for the password less method.

Aktivieren der kombinierten RegistrierungEnable the combined registration experience

Die Registrierungsfunktionen für Methoden zur kennwortlosen Authentifizierung sind von der kombinierten Registrierungsfunktion abhängig.Registration features for passwordless authentication methods rely on the combined registration feature. Damit die Benutzer die kombinierte Registrierung selbst abschließen können, führen Sie die Schritte zum Aktivieren der kombinierten Registrierung von Sicherheitsinformationen durch.To let users complete the combined registration themselves, follow the steps to enable combined security information registration.

Aktivieren von Authentifizierungsmethoden für die kennwortlose Anmeldung per TelefonEnable passwordless phone sign-in authentication methods

Mit Azure AD können Sie auswählen, welche Authentifizierungsmethoden während des Anmeldevorgangs verwendet werden können.Azure AD lets you choose which authentication methods can be used during the sign-in process. Benutzer registrieren sich anschließend für die Methoden, die sie verwenden möchten.Users then register for the methods they'd like to use.

Führen Sie die folgenden Schritte aus, um die Authentifizierungsmethode für die kennwortlose Anmeldung per Telefon zu aktivieren:To enable the authentication method for passwordless phone sign-in, complete the following steps:

  1. Melden Sie sich mit einem globalen Administratorkonto im Azure-Portal an.Sign in to the Azure portal with a global administrator account.
  2. Suchen Sie nach Azure Active Directory, und wählen Sie die Option aus. Navigieren Sie anschließend zu Sicherheit > Authentifizierungsmethoden > Richtlinien.Search for and select Azure Active Directory, then browse to Security > Authentication methods > Policies.
  3. Wählen Sie unter Microsoft Authenticator die folgenden Optionen aus:Under Microsoft Authenticator, choose the following options:
    1. Aktivieren: „Ja“ oder „Nein“Enable - Yes or No
    2. Ziel: „Alle Benutzer“ oder „Benutzer auswählen“Target - All users or Select users
  4. Bei jeder hinzugefügten Gruppe und jedem hinzugefügten Benutzer ist standardmäßig Microsoft Authenticator sowohl im kennwortlosen als auch im Pushbenachrichtigungsmodus („Beliebig“) aktiviert.Each added group or user is enabled by default to use Microsoft Authenticator in both passwordless and push notification modes ("Any" mode). Um dies zu ändern, führen Sie für jede Zeile folgende Schritte aus:To change this, for each row:
    1. Navigieren Sie zu ... > Konfigurieren.Browse to ... > Configure.
    2. Wählen Sie als Authentifizierungsmodus „Beliebig“, „Kennwortlos“ oder „Push“ aus.For Authentication mode - Any, Passwordless, or Push
  5. Wählen Sie Speichern aus, um die neue Richtlinie anzuwenden.To apply the new policy, select Save.

Benutzerregistrierung und Verwaltung von Microsoft AuthenticatorUser registration and management of Microsoft Authenticator

Benutzer registrieren sich mit den folgenden Schritten für die kennwortlose Authentifizierungsmethode von Azure AD:Users register themselves for the passwordless authentication method of Azure AD by using the following steps:

  1. Navigieren Sie zu https://aka.ms/mysecurityinfo .Browse to https://aka.ms/mysecurityinfo.
  2. Melden Sie sich an, und fügen Sie anschließend die Authenticator-App hinzu, indem Sie Methode hinzufügen > Authenticator-App und anschließend Hinzufügen auswählen.Sign in, then add the Authenticator app by selecting Add method > Authenticator app, then Add.
  3. Folgen Sie den Anweisungen zum Installieren und Konfigurieren der Microsoft Authenticator-App auf Ihrem Gerät.Follow the instructions to install and configure the Microsoft Authenticator app on your device.
  4. Wählen Sie Fertig aus, um die Authenticator-Konfiguration abzuschließen.Select Done to complete Authenticator configuration.
  5. Wählen Sie in Microsoft Authenticator im Dropdownmenü für das registrierte Konto die Option Anmeldung per Telefon aktivieren aus.In Microsoft Authenticator, choose Enable phone sign-in from the drop-down menu for the account registered.
  6. Folgen Sie den Anweisungen in der App, um die Registrierung für die kennwortlose Anmeldung per Telefon für das Konto abzuschließen.Follow the instructions in the app to finish registering the account for passwordless phone sign-in.

Eine Organisation kann ihre Benutzer so weiterleiten, dass sie sich mit ihrem Smartphone anmelden, ohne ein Kennwort zu verwenden.An organization can direct its users to sign in with their phones, without using a password. Weitere Unterstützung zum Konfigurieren der Microsoft Authenticator-App und Aktivieren der Anmeldung per Smartphone finden Sie unter Anmelden bei Konten mithilfe der Microsoft Authenticator-App.For further assistance configuring the Microsoft Authenticator app and enabling phone sign-in, see Sign in to your accounts using the Microsoft Authenticator app.

Hinweis

Benutzer, die gemäß der Richtlinie nicht für die Verwendung der Anmeldung per Telefon berechtigt sind, können sie in der Microsoft Authenticator-App nicht mehr aktivieren.Users who aren't allowed by policy to use phone sign-in are no longer able to enable it within the Microsoft Authenticator app.

Anmelden mit kennwortlosen AnmeldeinformationenSign in with passwordless credential

Nachdem alle folgenden Aktionen abgeschlossen sind, kann ein Benutzer beginnen, die kennwortlose Anmeldung zu verwenden:A user can start to utilize passwordless sign-in after all the following actions are completed:

  • Ein Administrator hat den Mandanten des Benutzers aktiviert.An admin has enabled the user's tenant.
  • Der Benutzer hat die Microsoft Authenticator-App aktualisiert, um die Anmeldung per Telefon zu aktivieren.The user has updated her Microsoft Authenticator app to enable phone sign-in.

Wenn ein Benutzer zum ersten Mal den Anmeldevorgang per Telefon startet, führt er die folgenden Schritte aus:The first time a user starts the phone sign-in process, the user performs the following steps:

  1. Eingabe des Namens auf der Anmeldeseite.Enters her name at the sign-in page.
  2. Auswahl von Weiter.Selects Next.
  3. Wenn erforderlich, Auswahl von Weitere Anmeldemethoden.If necessary, selects Other ways to sign in.
  4. Auswahl von Eine Anforderung in meiner Microsoft Authenticator-App bestätigen.Selects Approve a request on my Microsoft Authenticator app.

Dem Benutzer wird dann eine Zahl angezeigt.The user is then presented with a number. Die App fordert den Benutzer auf, sich zu authentifizieren, indem er die entsprechende Zahl auswählt, anstatt ein Kennwort einzugeben.The app prompts the user to authenticate by selecting the appropriate number, instead of by entering a password.

Nachdem der Benutzer die kennwortlose Anmeldung verwendet hat, leitet die App den Benutzer weiterhin durch diese Methode.After the user has utilized passwordless phone sign-in, the app continues to guide the user through this method. Dem Benutzer wird jedoch die Option zum Auswählen einer anderen Methode angezeigt.However, the user will see the option to choose another method.

Beispiel für eine Browseranmeldung mit der Microsoft Authenticator-App.

Bekannte ProblemeKnown Issues

Die folgenden Probleme sind bekannt.The following known issues exist.

Die Option für die kennwortlose Anmeldung per Telefon wird nicht angezeigtNot seeing option for passwordless phone sign-in

In einem Szenario kann die Überprüfung der kennwortlosen Anmeldung des Benutzer ausstehen.In one scenario, a user can have an unanswered passwordless phone sign-in verification that is pending. Der Benutzer kann jedoch versuchen, sich erneut anzumelden.Yet the user might attempt to sign in again. Wenn dies der Fall ist, wird dem Benutzer möglicherweise nur die Option zum Eingeben eines Kennworts angezeigt.When this happens, the user might see only the option to enter a password.

Mit folgenden Schritten kann dieses Szenario aufgelöst werden:To resolve this scenario, the following steps can be used:

  1. Öffnen Sie die Microsoft Authenticator-App.Open the Microsoft Authenticator app.
  2. Antworten Sie ggf. auf Benachrichtigungsaufforderungen.Respond to any notification prompts.

Anschließend kann der Benutzer weiterhin die kennwortlose Anmeldung per Telefon verwenden.Then the user can continue to utilize passwordless phone sign-in.

VerbundkontenFederated Accounts

Wenn ein Benutzer kennwortlose Anmeldeinformationen aktiviert hat, verwendet der Azure AD-Anmeldevorgang nicht mehr den „login_hint“.When a user has enabled any passwordless credential, the Azure AD login process stops using the login_hint. Darum leitet der Prozess den Benutzer nicht mehr zu einem Standort der Verbundanmeldung.Therefore the process no longer accelerates the user toward a federated login location.

Mit dieser Logik wird in der Regel verhindert, dass ein Benutzer in einem hybriden Mandanten zur Anmeldungsüberprüfung an Active Directory-Verbunddienste (Active Directory Federated Services, AD FS) weitergeleitet wird.This logic generally prevents a user in a hybrid tenant from being directed to Active Directory Federated Services (AD FS) for sign-in verification. Der Benutzer kann jedoch weiterhin auf Stattdessen Ihr Kennwort verwenden klicken.However, the user retains the option of clicking Use your password instead.

Azure MFA-ServerAzure MFA server

Ein Endbenutzer kann über einen lokalen Azure MFA-Server für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) aktiviert werden.An end user can be enabled for multi-factor authentication (MFA), through an on-premises Azure MFA server. Der Benutzer kann immer noch eine einzige Anmeldeinformation für die kennwortlose Anmeldung per Telefon erstellen und verwenden.The user can still create and utilize a single passwordless phone sign-in credential.

Wenn der Benutzer versucht, mehrere Installationen (5+) der Microsoft Authenticator-App mit den Anmeldeinformationen für die kennwortlose Anmeldung per Telefon zu aktualisieren, kann diese Änderung zu einem Fehler führen.If the user attempts to upgrade multiple installations (5+) of the Microsoft Authenticator app with the passwordless phone sign-in credential, this change might result in an error.

GeräteregistrierungDevice registration

Bevor Sie diese neuen starken Anmeldeinformationen erstellen können, müssen Sie Voraussetzungen erfüllen.Before you can create this new strong credential, there are prerequisites. Eine Voraussetzung ist, dass das Gerät, auf dem die Microsoft Authenticator-App installiert ist, im Azure AD-Mandanten für einen einzelnen Benutzer registriert sein muss.One prerequisite is that the device on which the Microsoft Authenticator app is installed must be registered within the Azure AD tenant to an individual user.

Ein Gerät kann derzeit nur bei einem einzigen Mandanten registriert werden.Currently, a device can only be registered in a single tenant. Dies bedeutet, dass nur ein Geschäfts-, Schul- oder Unikonto in der Microsoft Authenticator-App für die Anmeldung per Smartphone aktiviert werden kann.This limit means that only one work or school account in the Microsoft Authenticator app can be enabled for phone sign-in.

Hinweis

Die Geräteregistrierung ist nicht dasselbe wie die Geräteverwaltung oder mobile Geräteverwaltung (Mobile Device Management, MDM).Device registration is not the same as device management or mobile device management (MDM). Die Geräteregistrierung ordnet nur eine Geräte-ID und eine Benutzer-ID im Azure AD-Verzeichnis einander zu.Device registration only associates a device ID and a user ID together, in the Azure AD directory.

Nächste SchritteNext steps

Weitere Informationen zur Azure AD-Authentifizierung und kennwortlosen Methoden finden Sie in den folgenden Artikeln:To learn about Azure AD authentication and passwordless methods, see the following articles: