Unterstützen von Passkeys in Authenticator in Ihrem Microsoft Entra ID-Mandanten

In diesem Artikel werden Probleme behandelt, die Benutzern möglicherweise angezeigt werden, wenn sie Passkeys in Authenticator verwenden, und mögliche Möglichkeiten für Administratoren, sie zu beheben.

Passkeys in Android-Profilen speichern

Passkeys unter Android werden nur aus dem Profil verwendet, in dem sie gespeichert sind. Wenn ein Kennungsschlüssel in einem Android Work-Profil gespeichert ist, wird er aus diesem Profil verwendet. Wenn ein Kennungsschlüssel in einem Android Personal-Profil gespeichert ist, wird er aus diesem Profil verwendet. Um sicherzustellen, dass Benutzer auf den benötigten Kennungsschlüssel zugreifen und diese verwenden können, sollten Benutzer mit einem Android Personal-Profil und einem Android Work-Profil für jedes Profil ihre Kennungen in Authenticator erstellen.

Problemumgehungen

Verwenden Sie die folgenden Problemumgehungen für Probleme mit Authenticator-Passkeys.

Problemumgehungen für eine Schleife in der Richtlinie für bedingten Zugriff für die Authentifizierungsstärke

Benutzende können in eine Schleife geraten, wenn sie versuchen, einen Passkey in Authenticator hinzuzufügen, wenn eine Richtlinie für bedingten Zugriff eine phishingresistente Authentifizierung für den Zugriff auf Alle Ressourcen (früher „Alle Cloud-Apps“) erfordert. Beispiel:

• Bedingung: Alle Geräte (Windows, Linux, macOS, Windows, Android)
• Zielressource: Alle Ressourcen (vormals „Alle Cloud-Apps“)
• Kontrolle zuweisen: Authentifizierungsstärke – Passkey in Authenticator erfordern

Die Richtlinie erzwingt, dass gezielte Benutzer einen Passkey verwenden, um sich bei allen Cloudanwendungen anzumelden, einschließlich der Authenticator-App. Benutzer müssen einen Kennungsschlüssel verwenden, wenn sie versuchen, einen Kennungsschlüssel in Authenticator unter Android oder iOS hinzuzufügen.

Hier sind einige Problemumgehungen:

• Sie können nach Anwendungen filtern und das Richtlinienziel von Alle Ressourcen (vormals „Alle Cloud-Apps“) auf bestimmte Anwendungen umstellen. Beginnen Sie mit einer Überprüfung der Anwendungen, die in Ihrem Mandanten verwendet werden. Verwenden Sie Filter, um Authenticator und andere Anwendungen zu markieren.

• Um die Supportkosten weiter zu reduzieren, können Sie eine interne Kampagne ausführen, damit Benutzer Passkeys übernehmen können, bevor Sie sie erzwingen. Wenn Sie bereit sind, die Verwendung von Passkeys zu erzwingen, erstellen Sie zwei Richtlinien für bedingten Zugriff:

  • Eine Richtlinie für Versionen mobiler Betriebssysteme
  • Eine Richtlinie für Versionen von Desktopbetriebssystemen

  Erfordern Sie für jede Richtlinie eine andere Authentifizierungsstärke, und konfigurieren Sie weitere Richtlinieneinstellungen, die in der folgenden Tabelle aufgeführt sind. Sie können einen temporären Zugriffspass (Temporary Access Pass, TAP) für Benutzer aktivieren oder andere Authentifizierungsmethoden aktivieren, um Benutzern bei der Registrierung des Kennungsschlüssels zu helfen.

  Eine TAP begrenzt die Zeit, in der Benutzer einen Zugangsschlüssel registrieren können. Sie können es nur auf mobilen Plattformen akzeptieren, auf denen Sie die Passkey-Registrierung zulassen.

  Richtlinie für bedingten Zugriff	Desktopbetriebssystem	Mobiles Betriebssystem
  Name	Voraussetzen eines Passkey in Authenticator für den Zugriff auf ein Desktopbetriebssystem	Voraussetzen eines TAP, phishingresistenter Anmeldeinformationen oder einer anderen angegebenen Authentifizierungsmethode für den Zugriff auf ein mobiles Betriebssystem
  Bedingung	Bestimmte Geräte (Desktopbetriebssysteme).	Bestimmte Geräte (mobile Betriebssysteme).
  Geräte	N/V.	Android, iOS.
  Geräte ausschließen	Android, iOS.	N/V.
  Zielressource	Alle Ressourcen.	Alle Ressourcen.
  Zuweisungssteuerelement	Authentifizierungsstärke.	Authentifizierungsstärke.1
  Methoden	Passkey in Authenticator	TAP, Passkey in Authenticator
  Richtlinienergebnis	Benutzende, die sich nicht mit einem Passkey in Authenticator anmelden können, werden an den Assistentenmodus Meine Anmeldungen geleitet. Nach der Registrierung werden sie aufgefordert, sich auf ihrem mobilen Gerät bei Authenticator anzumelden.	Benutzer, die sich mit einem TAP oder einer anderen zulässigen Methode bei Authenticator anmelden, können einen Passkey direkt in Authenticator registrieren. Es tritt keine Schleife auf, da der Benutzer die Authentifizierungsanforderungen erfüllt.

  ¹Damit Benutzer neue Anmeldemethoden registrieren können, muss Ihre Zuweisungssteuerung für die mobile Richtlinie mit Ihrer Richtlinie für bedingten Zugriff übereinstimmen, um Sicherheitsinformationen zu registrieren.

Hinweis

Bei beiden Problemumgehungen müssen Benutzende auch alle Richtlinien für bedingten Zugriff erfüllen, die auf Sicherheitsinformationen registrieren ausgerichtet sind. Ansonsten können sie den Passkey nicht registrieren. Wenn Sie weitere Bedingungen für die Richtlinien für Alle Ressourcen eingerichtet haben, müssen diese beim Registrieren des Passkey erfüllt werden.

Benutzende, die aufgrund der Conditional Access-Zuweisungssteuerelemente „Genehmigte Client-App erforderlich“ oder „App-Schutzrichtlinie erforderlich“ keine Passkeys registrieren können

Benutzer können keine Schlüssel in Authenticator registrieren, wenn sie in die folgende Richtlinie für bedingten Zugriff eingeschlossen sind:

• Bedingung: Alle Geräte (Windows, Linux, macOS, Windows, Android)
• Zielressource: Alle Ressourcen (vormals „Alle Cloud-Apps“)
• Zuweisungssteuerelement: Genehmigte Client-App erforderlich oder App-Schutzrichtlinie erforderlich

Die Richtlinie zwingt Benutzer, sich bei allen Cloudanwendungen anzumelden, indem sie eine App verwenden, die Microsoft Intune-App-Schutzrichtlinienunterstützt. Authenticator unterstützt diese Richtlinie nicht unter Android oder iOS.

Hier sind einige Lösungen:

• Sie können nach Anwendungen filtern und das Richtlinienziel von Alle Ressourcen (vormals „Alle Cloud-Apps“) auf bestimmte Anwendungen umstellen. Beginnen Sie mit einer Überprüfung der Anwendungen, die in Ihrem Mandanten verwendet werden. Verwenden Sie Filter, um geeignete Anwendungen zu markieren.

• Sie können die Verwaltung mobiler Geräte (Mobile Device Management, MDM) und das Steuerelement Markieren des Geräts als kompatibel erforderlich verwenden. Authenticator kann diese Berechtigungssteuerung erfüllen, wenn MDM das Gerät vollständig verwaltet und es kompatibel ist. Beispiel:

  • Bedingung: Alle Geräte (Windows, Linux, macOS, Windows, Android)
  • Zielressource: Alle Ressourcen (vormals „Alle Cloud-Apps“)
  • Zuweisungssteuerelement: Genehmigte Client-App erforderlich oder App-Schutzrichtlinie erforderlich oder Markieren des Geräts als kompatibel erforderlich

• Sie können Benutzern eine vorübergehende Ausnahme von der Richtlinie für bedingten Zugriff gewähren. Es wird empfohlen, mindestens ein Ausgleichssteuerelement zu verwenden:

  • Die Ausnahme nur für einen begrenzten Zeitraum zulassen. Kommunizieren Sie dem Benutzer, wenn er berechtigt ist, einen Kennungsschlüssel zu registrieren. Entfernen Sie die Ausnahme nach dem Zeitraum. Leiten Sie dann die Benutzer an, den Helpdesk anzurufen, wenn sie ihre Zeit verpasst haben.
  • Verwenden Sie eine andere Richtlinie für den bedingten Zugriff, um festzulegen, dass Benutzer sich nur von einem bestimmten Netzwerkstandort oder einem kompatiblen Gerät registrieren.

Hinweis

Bei allen vorgeschlagenen Problemumgehungen müssen Benutzende auch alle Richtlinien für bedingten Zugriff erfüllen, die auf Sicherheitsinformationen registrieren ausgerichtet sind. Ansonsten können sie den Passkey nicht registrieren. Wenn Sie weitere Bedingungen für die Richtlinien für Alle Ressourcen eingerichtet haben, müssen diese ebenfalls erfüllt sein, bevor Benutzende einen Passkey registrieren können.

Beschränken der Bluetooth-Nutzung auf Passkeys in Authenticator

Einige Organisationen schränken die Bluetooth-Nutzung ein. Dies schließt die Nutzung von Passkeys ein. In solchen Fällen können Organisationen Passkeys zulassen, indem sie die Bluetooth-Kopplung ausschließlich mit Passkey-fähigen FIDO2-Authentifikatoren zulassen. Weitere Informationen zum Konfigurieren der ausschließlichen Bluetooth-Nutzung für Passkeys finden Sie unter Passkeys in Umgebungen mit eingeschränkter Bluetooth-Nutzung.

Verwandte Inhalte

• Weitere Informationen zu Passkeys in Microsoft Authenticator finden Sie unter Microsoft Authenticator-Authentifizierungsmethode.
• Informationen zum Aktivieren von Passkeys in Authenticator als Anmeldemöglichkeit für Benutzende finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.