Telefonanmeldung ohne Kennwort mit der Microsoft Authenticator-App (Public Preview)Password-less phone sign-in with the Microsoft Authenticator app (public preview)

Mit der Microsoft Authenticator-App können sich Benutzer bei jedem beliebigen Azure AD-Konto anmelden, ohne ein Kennwort zu verwenden.The Microsoft Authenticator app can be used to sign in to any Azure AD account without using a password. Ähnlich wie die Technologie von Windows Hello for Business nutzt Microsoft Authenticator die schlüsselbasierte Authentifizierung, um die Verwendung von Benutzeranmeldeinformationen zu ermöglichen, die an ein Gerät gebunden sind und auf biometrischen Daten oder einer PIN beruhen.Similar to the technology of Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that is tied to a device and uses a biometric or PIN.

Beispiel für eine Anmeldung im Browser, bei der der Benutzer aufgefordert wird, den Anmeldeversuch in der Microsoft Authenticator-App zu genehmigen

Für einen Benutzer, der die Anmeldung per Smartphone in der Microsoft Authenticator-App aktiviert hat, wird nach der Eingabe eines Benutzernamens keine Kennwortaufforderung angezeigt, sondern eine Meldung, in der er aufgefordert wird, in der App auf eine Nummer zu tippen.Instead of seeing a prompt for a password after entering a username, a person who has enabled phone sign-in in the Microsoft Authenticator app will see a message telling them to tap a number in their app. In der App muss der Benutzer auf die richtige Nummer tippen, „Genehmigen“ auswählen und dann seine PIN eingeben oder seinen biometrischen Schlüssel verwenden, um die Authentifizierung abzuschließen.In the app, the user must match the number, choose Approve, then provide their PIN or biometric, then the authentication will complete.

Aktivieren der BenutzerEnable my users

Bei der Public Preview-Version muss ein Administrator zunächst mithilfe von PowerShell eine Richtlinie hinzufügen, um die Verwendung der Anmeldeinformationen im Mandanten zu ermöglichen.For public preview, an admin must first add a policy via powershell to allow use of the credential in the tenant. Lesen Sie den Abschnitt „Bekannte Probleme“, bevor Sie diesen Schritt ausführen.Review the "Known Issues” section before taking this step.

Voraussetzungen für den MandantenTenant prerequisites

  • Azure Active DirectoryAzure Active Directory
  • Microsoft Azure Multi-Factor Authentication ist für Endbenutzer aktiviert.End users enabled for Azure Multi-Factor Authentication
  • Benutzer können ihre Geräte registrieren.Users can register their devices

Schritte zum AktivierenSteps to enable

  1. Stellen Sie sicher, dass bei Ihnen die neueste Public Preview-Version des Azure Active Directory V2 PowerShell-Moduls installiert ist.Ensure you have the latest version of the Public Preview release of the Azure Active Directory V2 PowerShell Module. Dazu empfiehlt es sich unter Umständen, das Modul zu deinstallieren und anschließend erneut zu installieren. Führen Sie hierzu die folgenden Befehle aus:You may wish to uninstall and reinstall to confirm this by executing the following commands:

    Uninstall-Module -Name AzureADPreview
    Install-Module -Name AzureADPreview
    
  2. Führen Sie die Authentifizierung für den Azure AD-Mandanten durch, um das Azure AD V2 PowerShell-Modul zu verwenden.Authenticate to the Azure AD tenant to use the Azure AD V2 PowerShell module. Beim verwendeten Konto muss es sich um einen Sicherheitsadministrator oder globalen Administrator handeln.The account used must either be a Security Administrator or Global Administrator.

    Connect-AzureAD
    
  3. Erstellen Sie die Richtlinie für die Authenticator-Anmeldung:Create the Authenticator Sign In policy:

    New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition '{"AuthenticatorAppSignInPolicy":{"Enabled":true}}' -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn
    

Wie aktivieren Endbenutzer die Anmeldung per Smartphone?How do my end users enable phone sign-in?

In der Public Preview-Version ist es nicht möglich, die Erstellung oder Verwendung dieser neuen Anmeldeinformationen durch Benutzer zu erzwingen.For public preview, there is no way to enforce users to create or use this new credential. Für einen Endbenutzer gilt die Anmeldung ohne Kennwort erst, wenn ein Administrator die Richtlinie für den jeweiligen Mandanten aktiviert und der Benutzer die Microsoft Authenticator-App aktualisiert hat, um die Anmeldung per Smartphone zu aktivieren.An end user will only encounter password-less sign-in once an admin has enabled their tenant and the user has updated their Microsoft Authenticator app to enable phone sign-in.

Hinweis

Diese Funktion ist seit März 2017 in der App verfügbar. Wenn die Richtlinie für einen Mandanten aktiviert ist, ist es daher möglich, dass dieser Anmeldungsablauf sofort für Benutzer verwendet wird.This capability has been in the app since March of 2017, so there is a possibility that when the policy is enabled for a tenant, users may encounter this flow immediately. Bedenken Sie dies, und breiten Sie Ihre Benutzer auf die Umstellung vor.Be aware and prepare your users for this change.

  1. Für Microsoft Azure Multi-Factor Authentication (MFA) registrieren.Enroll in Azure Multi-Factor Authentication
  2. Aktuelle Version von Microsoft Authenticator auf Geräten mit iOS 8.0 oder höher oder Android 6.0 oder höher installieren.Latest version of Microsoft Authenticator installed on devices running iOS 8.0 or greater, or Android 6.0 or greater.
  3. Geschäfts-, Schul- oder Unikonto mit Pushbenachrichtigungen zur App hinzufügen.Work or school account with push notifications added to the app. Die Dokumentation für Endbenutzer finden Sie unter https://aka.ms/authappstart.End-user documentation can be found at https://aka.ms/authappstart.

Sobald die Benutzer das MFA-Konto mit Pushbenachrichtigungen in der Microsoft Authenticator-App eingerichtet haben, können sie den Schritten im Artikel Sign in with your phone, not your password (Anmelden per Smartphone anstelle Ihres Kennworts) folgen, um die Registrierung für die Anmeldung per Smartphone abzuschließen.Once the user has the MFA account with push notifications set up in the Microsoft Authenticator app, they can follow the steps in the article Sign in with your phone, not your password to complete the phone sign-in registration.

Bekannte ProblemeKnown Issues

AD FS-IntegrationAD FS Integration

Wenn ein Benutzer die Microsoft Authenticator-Anmeldeinformationen ohne Kennwort aktiviert hat, wird die Authentifizierung für diesen Benutzer standardmäßig immer auf das Senden einer Genehmigungsbenachrichtigung festgelegt.When a user has enabled the Microsoft Authenticator password-less credential, authentication for that user will always default to sending a notification for approval. Diese Logik verhindert, dass Benutzer in einem Hybridmandanten zur Überprüfung der Anmeldung zu Active Directory-Verbunddienste (AD FS) weitergeleitet werden, ohne zusätzlich auf „Stattdessen Ihr Kennwort verwenden“ zu klicken.This logic prevents users in a hybrid tenant from being directed to ADFS for sign-in verification without the user taking an additional step to click “Use your password instead.” Bei diesem Prozess werden auch alle lokalen Richtlinien für bedingten Zugriff und Passthrough-Authentifizierungsflüsse umgangen.This process will also bypass any on-premises Conditional Access policies, and Pass-through authentication flows. Dabei gilt jedoch folgende Ausnahme: Wenn ein Anmeldehinweis (login_hint) angegeben ist, wird ein Benutzer automatisch zu AD FS weitergeleitet, und die Option zur Verwendung von Anmeldeinformationen ohne Kennwort wird umgangen.The exception to this process is if a login_hint is specified, a user will be autoforwarded to AD FS, and bypass the option to use the password-less credential.

Azure MFA-ServerAzure MFA server

Endbenutzer, für die MFA über den lokalen Azure MFA-Server einer Organisation aktiviert ist, können weiterhin einen einzelnen Satz von Anmeldeinformationen für die Anmeldung per Smartphone ohne Kennwort erstellen und verwenden.End users who are enabled for MFA through an organization’s on-premises Azure MFA server can still create and use a single password-less phone sign-in credential. Wenn der Benutzer versucht, mehrere Installationen (fünf oder mehr) von Microsoft Authenticator mit den Anmeldeinformationen zu aktualisieren, kann diese Änderung zu einem Fehler führen.If the user attempts to upgrade multiple installations (5+) of the Microsoft Authenticator with the credential, this change may result in an error.

GeräteregistrierungDevice Registration

Eine der Voraussetzungen für die Erstellung dieser neuen, sicheren Anmeldeinformationen ist die Registrierung des zugehörigen Geräts im Azure AD-Mandanten für einen einzelnen Benutzer.One of the prerequisites to create this new, strong credential, is that the device where it resides is registered within the Azure AD tenant, to an individual user. Aufgrund der Einschränkungen, die für die Registrierung von Geräten gelten, kann ein Gerät nur in einem einzigen Mandanten registriert werden.Due to device registration restrictions, a device can only be registered in a single tenant. Dies bedeutet, dass nur ein Geschäfts-, Schul- oder Unikonto in der Microsoft Authenticator-App für die Anmeldung per Smartphone aktiviert werden kann.This limit means that only one work or school account in the Microsoft Authenticator app can be enabled for phone sign-in.

Nächste SchritteNext steps

Informationen zur GeräteregistrierungLearn about device registration

Informationen zu Microsoft Azure Multi-Factor AuthenticationLearn about Azure Multi-Factor Authentication