Freigeben über

Aktivieren der kennwortlosen Anmeldung mit Authenticator

  • Artikel

Authenticator wird verwendet, um sich bei jedem Microsoft Entra-Konto anzumelden, ohne ein Kennwort zu verwenden. Authenticator verwendet die schlüsselbasierte Authentifizierung, um eine Benutzeranmeldeinformationen zu ermöglichen, die an ein Gerät gebunden sind, in dem das Gerät eine PIN oder biometrische Daten verwendet. Windows Hello for Business verwendet eine ähnliche Technologie.

Authentifizierungstechnologie kann auf jeder Beliebigen Geräteplattform verwendet werden, einschließlich mobiler Geräte. Authenticator kann entweder unter iOS oder Android ausgeführt werden.

Screenshot, der ein Beispiel für eine Browseranmeldung zeigt, in der der Benutzer aufgefordert wird, die Anmeldung zu genehmigen.

Die Telefonische Anmeldung von Authenticator zeigt eine Nachricht an, die den Benutzer auffordern, in der App auf eine Nummer zu tippen. Es wird nicht nach einem Benutzernamen oder Kennwort gefragt. Führen Sie die folgenden Schritte aus, um den Anmeldevorgang in der App abzuschließen:

  1. Geben Sie im Dialogfeld "Authenticator" die auf dem Anmeldebildschirm angezeigte Nummer ein.
  2. Wählen Sie aus und genehmigen Sie.
  3. Geben Sie Ihre PIN oder Ihre biometrischen Daten ein.

Mehrere Konten

Sie können die Kennwortlose Telefonanmeldung für mehrere Konten in Authenticator auf jedem unterstützten Android- oder iOS-Gerät aktivieren. Berater, Studenten und andere Benutzer mit mehreren Konten in der Microsoft Entra-ID können jedes Konto zu Authenticator hinzufügen und die Kennwortlose Telefonanmeldung für alle Benutzer auf demselben Gerät verwenden.

Die Microsoft Entra-Konten können sich in demselben Mandanten oder in verschiedenen Mandanten befinden. Gastkonten werden für die Anmeldung über mehrere Konten von einem Gerät aus nicht unterstützt.

Voraussetzungen

Um die Kennwortlose Telefonanmeldung mit Authenticator zu verwenden, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Empfohlen: Microsoft Entra multifactor authentication (MFA), mit Pushbenachrichtigungen, die als Überprüfungsmethode zulässig sind. Pushbenachrichtigungen an ein Benutzer-Smartphone oder Tablet helfen der Authenticator-App, unbefugten Zugriff auf Konten zu verhindern und betrügerische Transaktionen zu beenden. Die Authenticator-App generiert automatisch Codes, wenn sie für Pushbenachrichtigungen eingerichtet wurde. Der Benutzer hat selbst dann eine Sicherungsanmeldemethode, wenn sein Gerät keine Verbindung herstellen kann.

  • Das Gerät muss bei jedem Mandanten registriert werden, in dem es zum Anmelden verwendet wird. Beispielsweise muss das folgende Gerät bei Contoso und Wingtip Toys registriert werden, damit sich alle Konten anmelden können:

    • balas@contoso.com
    • balas@wingtiptoys.com und bsandhu@wingtiptoys

Um die kennwortlose Authentifizierung in Der Microsoft Entra-ID zu verwenden, aktivieren Sie zuerst die kombinierte Registrierung, und aktivieren Sie dann Benutzer für die kennwortlose Methode.

Aktivieren von Authentifizierungsmethoden für die kennwortlose Anmeldung per Telefon

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Mit der Microsoft Entra ID können Administrierende von Authentifizierungsrichtlinien auswählen, welche Authentifizierungsmethoden für die Anmeldung verwendet werden können. Sie können Microsoft Authenticator- in der Richtlinie für Authentifizierungsmethoden aktivieren, um sowohl die herkömmliche Push-MFA-Methode als auch die kennwortlose Authentifizierungsmethode zu verwalten.

Nachdem Microsoft Authenticator als Authentifizierungsmethode aktiviert wurde, können Benutzer zu Sicherheitsinformationen wechseln,, um Authenticator als Möglichkeit zur Anmeldung zu registrieren. Microsoft Authenticator ist als Methode für Sicherheitsinfoaufgeführt. Beispielsweise wird Microsoft Authenticator-Kennwortlos oder Microsoft Authenticator-MFA Push angezeigt, je nachdem, was aktiviert und registriert ist.

Führen Sie die folgenden Schritte aus, um die Authentifizierungsmethode für die Kennwortlose Telefonanmeldung zu aktivieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinien.

Jede Gruppe ist standardmäßig für die Verwendung des Modus Any aktiviert. Jeder-Modus ermöglicht es Gruppenmitgliedern, sich entweder mit einer Pushbenachrichtigung oder über eine kennwortlose Telefonanmeldung anzumelden.

Hinweis

Wenn beim Speichern ein Fehler angezeigt wird, liegt dies möglicherweise an der Anzahl der Benutzer oder Gruppen, die hinzugefügt werden. Ersetzen Sie zur Problemumgehung die Benutzer und Gruppen, die Sie hinzufügen möchten, durch eine einzelne Gruppe im selben Vorgang. Wählen Sie dann erneut Speichern aus.

Benutzerregistrierung

Benutzer registrieren sich für die kennwortlose Authentifizierungsmethode von Microsoft Entra ID. Benutzende, die bereits die Authenticator-App für die Multi-Faktor-Authentifizierung registriert haben, können mit dem nächsten Abschnitt fortfahren und die Anmeldung per Telefon aktivieren.

Direkte Anmeldung per Telefon

Benutzer können sich direkt in der Authenticator-App für die kennwortlose Telefonanmeldung registrieren, ohne dass Sie Authenticator zuerst mit ihrem Konto registrieren müssen, während sie niemals ein Kennwort erhalten. Gehen Sie dazu wie folgt vor:

  1. Erwerben Sie einen temporären Zugriffspass von Ihrem Administrator oder Ihrer Organisation.
  2. Laden Sie die Authenticator-App auf Ihrem mobilen Gerät herunter, und installieren Sie sie.
  3. Öffnen Sie Authenticator, und wählen Sie Konto hinzufügenaus, und wählen Sie dann Geschäfts-, Schul- oder Unikontoaus.
  4. Wählen Sie Anmelden aus.
  5. Befolgen Sie die Anweisungen, um sich mit Ihrem Konto anzumelden, indem Sie den temporären Zugriffspass verwenden, der von Ihrem Administrator oder Ihrer Organisation bereitgestellt wird.
  6. Fahren Sie nach der Anmeldung mit den zusätzlichen Schritten fort, um die Anmeldung per Telefon einzurichten.

Geführte Registrierung bei My Sign-Ins

Hinweis

Benutzer können Authenticator nur über die kombinierte Registrierung registrieren, wenn der Authentifizierungsmodus für den Authenticator auf Any oder Pushfestgelegt ist.

Führen Sie die folgenden Schritte aus, um die Authenticator-App zu registrieren:

  1. Navigieren Sie zu Sicherheitsinformation.
  2. Melden Sie sich an, und wählen Sie dann Methode hinzufügen>Authenticator-App>Add zum Hinzufügen von Authenticator aus.
  3. Befolgen Sie die Anweisungen zum Installieren und Konfigurieren der Authenticator-App auf Ihrem Gerät.
  4. Wählen Sie Fertig aus, um die Authenticator-Konfiguration abzuschließen.

Aktivieren der Anmeldung per Telefon

Nachdem benutzer sich für die Authenticator-App registriert haben, müssen sie die Telefonanmeldung aktivieren:

  1. Wählen Sie in Microsoft Authenticator das registrierte Konto aus.
  2. Wählen Sie Anmeldung per Telefon aktivieren aus.
  3. Folgen Sie den Anweisungen in der App, um die Registrierung für die kennwortlose Anmeldung per Telefon für das Konto abzuschließen.

Eine Organisation kann ihre Benutzer so weiterleiten, dass sie sich mit ihrem Smartphone anmelden, ohne ein Kennwort zu verwenden. Weitere Unterstützung bei der Konfiguration von Authenticator und aktivieren der Telefonanmeldung finden Sie unter Anmelden bei Ihren Konten mithilfe der Authenticator-App.

Hinweis

Wenn eine Richtlinie einschränkt, dass der Benutzer die Telefonanmeldung verwendet, kann er sie nicht in Authenticator aktivieren.

Anmelden mit kennwortlosen Anmeldeinformationen

Nachdem alle folgenden Aktionen abgeschlossen sind, kann ein Benutzer beginnen, die kennwortlose Anmeldung zu verwenden:

  • Ein Mitglied des Administratorteams hat den Mandanten der benutzenden Person aktiviert.
  • Der Benutzer hat Authenticator als Anmeldemethode hinzugefügt.

Führen Sie die folgenden Schritte aus, um den Anmeldevorgang des Telefons zum ersten Mal zu starten:

  1. Geben Sie Ihren Namen im Anmeldefeld ein.
  2. Wählen Sie Weiter aus.
  3. Wählen Sie bei Bedarf Andere Möglichkeiten, sich anzumeldenaus.
  4. Wählen Sie Eine Anforderung in meiner Authenticator-App bestätigen aus.

Anschließend wird eine Zahl angezeigt. Die App fordert den Benutzer auf, sich zu authentifizieren, indem er die entsprechende Nummer anstelle eines Kennworts eingibt.

Nachdem der Benutzer die Kennwortlose Telefonanmeldung verwendet hat, führt die App den Benutzer weiterhin durch diese Methode. Der Benutzer sieht auch die Option zum Auswählen einer anderen Methode.

Screenshot, der ein Beispiel für eine Browseranmeldung mithilfe der Authenticator-App zeigt.

Befristeter Zugriffspass

Wenn der Mandantenadministrator die Selbstbedienungs-Kennwortzurücksetzung für Benutzer aktiviert hat, um mithilfe eines temporären Zugriffspasses die kennwortlose Anmeldung mit der Authenticator-App erstmalig einzurichten, gehen Sie wie folgt vor:

  1. Öffnen Sie einen Browser auf einem mobilen Gerät oder Desktop, und wechseln Sie zu Sicherheitsinformationen.
  2. Registrieren Sie die Authenticator-App als Anmeldemethode. Diese Aktion verknüpft Ihr Konto mit der App.
  3. Kehren Sie zu Ihrem mobilen Gerät zurück, und aktivieren Sie die kennwortlose Anmeldung über die Authenticator-App.

Verwaltung

Wir empfehlen die Richtlinie für Authentifizierungsmethoden als beste Methode zum Verwalten von Authenticator. Authentifizierungsrichtlinienadministratoren können diese Richtlinie bearbeiten, um Authenticator zu aktivieren oder zu deaktivieren. Administratoren können bestimmte Benutzer und Gruppen in die Verwendung einschließen oder bestimmte Benutzer und Gruppen davon ausschließen.

Administratoren können auch Parameter konfigurieren, um die Verwendung von Authenticator besser zu steuern. Beispielsweise können sie der Anmeldeanforderung den Standort oder den App-Namen hinzufügen, damit Benutzende vor der Genehmigung über einen besseren Kontext verfügen.

Bekannte Probleme

Die folgenden Probleme sind bekannt.

Die Option für die Kennwortlose Telefonanmeldung wird nicht angezeigt.

In einem Szenario kann die Überprüfung der kennwortlosen Anmeldung per Telefon der benutzenden Person ausstehen. Wenn der Benutzer versucht, sich erneut anzumelden, sieht der Benutzer nur die Option zum Eingeben eines Kennworts.

Gehen Sie wie folgt vor, um dieses Szenario aufzulösen:

  1. Öffnen Sie Authenticator.
  2. Antworten Sie ggf. auf Benachrichtigungsaufforderungen.

Verwenden Sie dann weiterhin die kennwortlose Telefonanmeldung.

AuthenticatorAppSignInPolicy nicht unterstützt

Die Legacyrichtlinie AuthenticatorAppSignInPolicy wird mit Authenticator nicht unterstützt. Um Benutzern Pushbenachrichtigungen oder kennwortlose Telefonanmeldung mit der Authenticator-App zu ermöglichen, verwenden Sie die Richtlinie Authentifizierungsmethoden.

Verbundkonten

Nachdem eine benutzende Person eine kennwortlose Anmeldeinformation aktiviert hat, beendet der Microsoft Entra-Anmeldevorgang die Verwendung von login\_hint. Der Prozess führt den Benutzer nicht mehr schnell zu einem föderierten Anmeldeort.

Mit dieser Logik wird in der Regel verhindert, dass Benutzende in einem hybriden Mandanten zur Anmeldungsüberprüfung an Active Directory-Verbunddienste (Active Directory Federated Services, AD FS) weitergeleitet werden. Die Option Stattdessen Ihr Kennwort verwenden ist weiterhin verfügbar.

Lokale Benutzer

Administratoren können Benutzer für MFA über einen lokalen Identitätsanbieter aktivieren. Nutzer können nach wie vor eine telefonbasierte, kennwortlose Anmeldeinformation erstellen und verwenden.

Wenn ein Benutzer versucht, mehrere Installationen (5+) von Authenticator mit anmeldeinformationen ohne Kennwort zu aktualisieren, kann diese Änderung zu einem Fehler führen.

Verwandte Inhalte

Weitere Informationen zur Microsoft Entra-Authentifizierung und zu kennwortlosen Methoden finden Sie in den folgenden Artikeln: