Kennwortlose Authentifizierung mit Microsoft Intune

Kennwortlose Authentifizierung reduziert Phishing und Diebstahl von Anmeldeinformationen, indem Kennwörter durch stärkere Anmeldemethoden wie Windows Hello, FIDO2-Sicherheitsschlüssel, Passkeys, Zertifikate, Microsoft Authenticator-Anmeldung und befristete Zugriffspass ersetzt werden.

Microsoft Intune gibt keine kennwortlosen Anmeldeinformationen aus. Stattdessen werden Geräte, Apps und Benutzeroberflächen so vorbereitet, dass diese kennwortlosen Methoden zuverlässig im großen Stil funktionieren. Microsoft Entra ID ist die Identitätsstelle, die Anmeldeinformationen überprüft und Authentifizierungs- und Richtlinien für bedingten Zugriff erzwingt, während Microsoft Intune Geräteeinstellungen konfiguriert, Compliance erzwingt und die Plattformfunktionen aktiviert, von denen diese Methoden abhängen. Zusammen stellen Microsoft Entra ID und Microsoft Intune die Identitätsgrundlage und Gerätebereitschaft bereit, die erforderlich ist, um die kennwortlose Authentifizierung über verschiedene Plattformen und Formfaktoren hinweg einzuführen.

Die kennwortlose Benutzeroberfläche variiert je nach Plattform. Unter Windows umfasst dies in der Regel sowohl die Geräteanmeldung als auch den App-Zugriff über SSO. Unter macOS liegt der Schwerpunkt auf der Plattformauthentifizierung und SSO in Apps und nicht auf einer tiefen gerätegebundenen Identität. Unter iOS/iPadOS und Android liegt der Schwerpunkt häufiger auf der App-Anmeldung, der Brokerauthentifizierung und dem Kennungsverhalten als auf der Geräteanmeldung. Berücksichtigen Sie diese Unterschiede bei der Bewertung der Plattformanforderungen und der Planung der Bereitstellung.

In diesem Artikel wird erläutert, wie Microsoft Intune eine kennwortlose Strategie aus Der Perspektive eines Administrators unterstützt. Informationen zur Bereitstellung finden Sie unter den Implementierungslinks für jede kennwortlose Methode.

Funktionsweise der kennwortlosen Microsoft-Lösung

Die kennwortlose Lösung von Microsoft paart Microsoft Entra ID für Identität und einmaliges Anmelden (Single Sign-On, SSO) mit Microsoft Intune für die Gerätekonfiguration und Richtlinienerzwingung. Diese Kombination ermöglicht benutzern die Authentifizierung mit sicheren Anmeldeinformationen wie biometrischen Daten, FIDO2-Sicherheitsschlüsseln oder Passkeys, ohne Kennwörter einzugeben.

Microsoft Entra ID ist der Kernidentitätsanbieter. Sie überprüft kennwortlose Anmeldeinformationen wie Windows Hello PINs, FIDO2-Schlüssel und Passkeys. Nach erfolgreicher Authentifizierung gibt Microsoft Entra ID ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) oder eine entsprechende Option aus, sodass ein nahtloses einmaliges Anmelden für Microsoft 365, Azure und andere geschützte Ressourcen ermöglicht wird. Richtlinien für bedingten Zugriff werten Gerätestatus, Authentifizierungsstärke und Risikosignale aus, bevor sie Zugriff gewähren.

Microsoft Intune bereitet Geräte für die kennwortlose Anmeldung vor, indem Einstellungen konfiguriert, Compliance erzwungen, erforderliche Apps bereitgestellt und plattformbasierte Funktionen unterstützt werden, die kennwortloses Kennwort im großen Stil praktisch machen. Microsoft Intune bietet Administratoren eine Verwaltungsebene für Windows, macOS, iOS/iPadOS und Android.

Plattformfunktionen unter Windows, macOS, iOS und Android bieten gerätegebundene Funktionen, einschließlich Biometrie, sicherer Hardware (TPM unter Windows, Secure Enclave unter macOS), Unterstützung von Kennungen und brokeriertem einmaligem Anmelden.

Diese Trennung ist wichtig. Microsoft Entra ID ist die Identitätsautorität. Microsoft Intune ist die Verwaltungsebene, die Benutzern hilft, diese Methoden erfolgreich anzuwenden und zu verwenden.

Kennwortlose, MFA und Phishing-Widerstand

Die kennwortlose Authentifizierung beseitigt keine Sicherheitsfaktoren. Die meisten kennwortlosen Methoden erfüllen tatsächlich die Anforderungen der mehrstufigen Authentifizierung (MFA). Beispielsweise verwendet Windows Hello gerätegebundene Anmeldeinformationen (Besitz), gekoppelt mit einer biometrischen Geste (Inherence) oder einer PIN (Wissen), die die MFA standardmäßig erfüllen. Daher klassifizieren Richtlinien für die Authentifizierungsstärke für bedingten Zugriff viele kennwortlose Methoden als MFA-kompatibel oder sogar als phishingsichere MFA.

Nicht alle kennwortlosen Optionen bieten den gleichen Schutz. Wenn Sie den Unterschied zwischen phishingsicheren und nicht phishingsicheren Methoden verstehen, können Sie die richtigen Authentifizierungsstärken auswählen und eine sichere Identitätsstrategie entwerfen.

  • Phishing-resistente Methoden verwenden hardwaregebundene, asymmetrische kryptografische Schlüssel, die nicht abgefangen oder wiedergegeben werden können – auch wenn ein Benutzer mit einer böswilligen oder gefälschten Eingabeaufforderung interagiert.
  • Nicht phishingsichere Methoden verwenden kennwortlose Flows, können aber trotzdem durch Social Engineering, prompte Manipulation oder MFA-Ermüdung kompromittiert werden.

Jede weiter unten in diesem Artikel beschriebene Methode enthält ihren Grad an Phishing-Widerstand.

Weitere Informationen

Vorteile der kennwortlosen Authentifizierung mit Microsoft Intune

Wenn Sie Microsoft Intune-, Microsoft Entra ID- und Plattformfunktionen zusammen verwenden, gewinnt Ihre organization:

  • Nahtloses einmaliges Anmelden: Benutzer melden sich einmal am Gerät an und erhalten automatischen Zugriff auf Apps, Clouddienste und – in einigen Fällen – lokale Ressourcen. Aufrufe zur Kennwortzurücksetzung und wiederholte Authentifizierungsaufforderungen werden eliminiert.
  • Benutzerfreundlichkeit auf allen Geräten: Benutzer erhalten eine native, konsistente Erfahrung auf allen Geräten. Windows Hello die Betriebssystemanmeldung verwendet, integriert macOS Touch ID in Microsoft Entra ID, und mobile Plattformen verwenden Microsoft Authenticator und Plattform-Passkeys. Benutzer müssen nicht pro Gerät mit separaten Kennwörtern jonglieren.
  • Stärkerer Sicherheitsstatus: Phishing-resistente Methoden verhindern Diebstahl und Replay-Angriffe von Anmeldeinformationen. Gerätekonformitäts-Gating stellt sicher, dass selbst gültige Anmeldeinformationen nur von fehlerfreien, verwalteten Geräten funktionieren – entsprechend Zero Trust Prinzipien.
  • Geringere IT-Supportlast: Weniger Kennwortzurücksetzungen, ein reibungsloseres Onboarding mit temporärem Zugriffspass und Self-Service-Wiederherstellungsoptionen reduzieren das Helpdesk-Volumen.
  • Zukunftsfähige Architektur: Mit der Weiterentwicklung von Standards können neue kennwortlose Methoden – einschließlich synchronisierter Passkeys und hardwaregestützter Anmeldeinformationen – in dieselbe Microsoft Entra ID + Microsoft Intune Architektur integriert werden, ohne dass eine umfassende Neugestaltung erforderlich ist.

Wie Microsoft Intune die kennwortlose Einführung vorantreibt

Microsoft Intune aktiviert und operationalisiert die kennwortlose Authentifizierung, indem sichergestellt wird, dass Geräte und Anwendungen ordnungsgemäß für die Verwendung sicherer, moderner Anmeldeinformationen konfiguriert sind. Während Microsoft Entra ID die Identitäts- und Authentifizierungsrichtlinie steuert, bereitet Microsoft Intune die Geräteumgebung vor, von der kennwortlose Methoden abhängen.

Zu den wichtigsten Beiträge gehören:

  • Gerätebereitschaft: Registrieren, Registrieren und Konfigurieren von Geräten, damit sie an kennwortlosen Anmeldeflows teilnehmen können.
  • Konfigurationsbereitstellung: Bereitstellung der Richtlinien, die für Windows Hello for Business, zertifikatbasierte Authentifizierung, Einmaliges Anmelden von Apple Platform und ähnliche Plattformfunktionen erforderlich sind.
  • Compliance- und Zugriffssignale: Bereitstellung von Geräteintegritäts- und Konformitätsdaten, die der bedingte Zugriff vor dem Gewähren des Zugriffs auswertet.
  • App- und Brokerbereitstellung: Bereitstellen von Kernanwendungen wie Microsoft Authenticator und Microsoft Intune Unternehmensportal, die Identitätsbroker- und kennwortlose SSO-Szenarien ermöglichen.
  • Einheitliche plattformübergreifende Verwaltung: Bereitstellung eines konsistenten Richtlinien- und Verwaltungsframeworks für Windows, macOS, iOS/iPadOS und Android, um die Unternehmensbereitstellung zu optimieren.

Die für Benutzer verfügbaren kennwortlosen Methoden hängen sowohl von der Geräteplattform als auch von den in Microsoft Entra ID aktivierten Authentifizierungsoptionen ab. Microsoft Intune stellt sicher, dass jedes Gerät vorbereitet, konfiguriert und in der Lage ist, eine sichere und zuverlässige kennwortlose Erfahrung bereitzustellen.

Windows Hello

Phishing-resistent

Windows Hello ersetzt Kennwörter durch einen gerätegebundenen asymmetrischen Schlüssel, der generiert und im TPM versiegelt wird. Der Zugriff auf den Schlüssel wird durch eine PIN oder biometrische Geste (Fingerabdruck oder Gesichtserkennung) gesteuert, die Besitz und Inhärenz in einem einzigen Anmeldeschritt kombiniert. Diese Methode ist hardwaregestützte und phishingresistent für Windows-Geräte.

rolle von Intune
Microsoft Intune bereitet Windows-Geräte auf Windows Hello vor, indem Windows Hello for Business Richtlinieneinstellungen bereitgestellt und erzwungen werden.

Diese Methode ist besonders relevant, wenn Sie Folgendes benötigen:

  • Vorbereiten von Windows-Geräten in der Cloud für die kennwortlose Anmeldung
  • Bereitstellen Windows Hello for Business Richtlinieneinstellungen während der Registrierung und laufenden Verwaltung.
  • Richten Sie die Windows-Anmeldung an gerätekonformität und moderner Verwaltung aus.

Weitere Informationen

FIDO2-Sicherheitsschlüssel

Phishing-resistent

FIDO2-Sicherheitsschlüssel sind physische Geräte (USB, NFC oder Bluetooth), die FIDO-Anmeldeinformationen speichern und phishingsichere Authentifizierung bereitstellen, ohne sich auf die Geräteplattform verlassen zu müssen. Da die Anmeldeinformationen an den Hardwareschlüssel gebunden und durch eine kryptografische Anforderung überprüft werden, können sie nicht abgefangen oder wiedergegeben werden. FIDO2-Schlüssel eignen sich ideal für freigegebene Geräte, Umgebungen mit hoher Sicherheit oder als Wiederherstellungspfad zusammen mit plattformbasierten Anmeldeinformationen.

rolle von Intune
Microsoft Intune können Geräte für diese Methode vorbereiten, indem sie unterstützte Plattformen und zugehörige Anmeldefunktionen verwalten.

Diese Methode eignet sich häufig, wenn Organisationen Folgendes benötigen:

  • Eine portable kennwortlose Option für freigegebene oder spezialisierte Geräte.
  • Eine starke Phishing-resistente Option, die nicht an eine einzelne Plattform oder An Microsoft Authenticator gebunden ist.
  • Ein Wiederherstellungs- oder alternativer Pfad neben plattformbasierten Anmeldeinformationen.

Anleitungen zur Implementierung finden Sie unter:

Hauptschlüssel

Phishing-resistent

Passkeys sind der standardbasierte Schutzschirm für FIDO-Anmeldeinformationen, die gerätegebunden oder geräteübergreifend synchronisiert werden können. In Microsoft Entra ID können Sie Folgendes verwenden:

  • Gerätegebundene Kennungen, die auf sicherer Hardware (TPM oder Secure Enclave) auf einem einzelnen Gerät gespeichert sind, z. B. über Windows Hello oder Microsoft Authenticator unter iOS 17 oder höher und Android 14 oder höher.
  • Synchronisierte Schlüssel, die von Plattformkennwort-Managern (z. B. iCloud Keychain oder Google Password Manager) oder unterstützten Drittanbietern verwaltet werden, die die geräteübergreifende Verwendung ermöglichen.
  • Microsoft Entra Kennung unter Windows ist ein FIDO2-Kennungsschlüssel, der Windows Hello für die biometrische Überprüfung verwendet, aber keinen Gerätebeitritt oder keine Registrierung erfordert. Benutzer können mehrere Kennungen für mehrere Microsoft Entra-Konten auf demselben Gerät registrieren, sodass es sich gut für freigegebene Geräte, nicht verwaltete Endpunkte und Szenarien eignet, in denen Windows Hello for Business nicht bereitgestellt wird.

rolle von Intune
Aus Microsoft Intune Perspektive geht es bei Den Hauptschlüsseln hauptsächlich um plattform- und app-bereitschaft– die Verwaltung der Geräte- und App-Voraussetzungen, die die Einführung von Schlüsseln plattformübergreifend ermöglichen.

Diese Abhängigkeit ist besonders wichtig für:

  • Windows, in dem sich plattformbasierte Anmeldung und Windows Hello mit einer umfassenderen kennwortlosen Planung überschneiden können. Microsoft Entra Kennung unter Windows erweitert die Kennungsabdeckung auf Geräte, die nicht registriert oder eingebunden sind, und ergänzt Windows Hello for Business auf verwalteten Geräten.
  • iOS/iPadOS und Android, wobei Kennungen vom Zustand des mobilen Geräts und dem Verhalten des App-Brokers abhängen können.
  • macOS: Plattformidentitätsintegration und Benutzeranmeldung prägen die Einführung.

Anleitungen zur Implementierung finden Sie unter:

Anmeldung per Microsoft Authenticator-Telefon

Nicht phishingresistent

Die Anmeldung per Microsoft Authenticator-Telefon ersetzt Kennwörter durch pushbasierte Genehmigung und Nummernabgleich auf dem vertrauenswürdigen mobilen Gerät des Benutzers. Es ist praktisch und allgemein unterstützt, basiert jedoch auf Pushbenachrichtigungen anstelle von hardwaregebundenen Anmeldeinformationen, was bedeutet, dass Phishingangriffe wie die Manipulation von MFA-Aufforderungen nicht vollständig verhindert werden.

Hinweis

Microsoft Authenticator kann auch gerätegebundene Schlüssel (iOS 17 und höher, Android 14 und höher) speichern, die phishingresistent sind . In diesem Abschnitt wird speziell der Push-basierte Telefonanmeldungsablauf behandelt.

rolle von Intune
Microsoft Intune unterstützt diesen Flow, indem die voraussetzungen für mobile Apps und Geräte bereitgestellt und verwaltet werden.

In vielen Umgebungen umfasst diese Unterstützung Folgendes:

  • Bereitstellen von Microsoft Authenticator auf verwalteten mobilen Geräten.
  • Unterstützung der vermittelten Anmeldung über Microsoft-Apps hinweg.
  • Berücksichtigung von Überlegungen zu App-Schutzrichtlinien auf mobilen Plattformen, wenn diese Teil des umfassenderen Entwurfs für den mobilen Zugriff sind.

Anleitungen zur Implementierung finden Sie unter:

Befristeter Zugriffspass

Keine permanente Methode – wird für Das Onboarding und die Wiederherstellung verwendet.

Der temporäre Zugriffspass (Temporary Access Pass, TAP) ist eine zeitlich begrenzte Anmeldeinformation, die ein Administrator ausgibt, um Benutzern das Bootstrap oder die Wiederherstellung des Zugriffs zu erleichtern, bevor sie ihre langfristige kennwortlose Einrichtung abschließen. TAP ist keine permanente kennwortlose Methode und nicht phishingresistent, aber es ist oft ein wichtiger Teil eines erfolgreichen Rollouts, da es das Problem der ersten Anmeldung löst, ohne ein Kennwort auszugeben.

rolle von Intune
Aus Microsoft Intune Perspektive ist der temporäre Zugriffspass wichtig, wenn Sie Folgendes möchten:

  • Vereinfachen Sie das Onboarding mit kennwortlosen Methoden.
  • Verringern Sie die Abhängigkeit von temporären Kennwörtern während der Bereitstellung.
  • Verbinden von Onboardingszenarien mit der Einrichtung eines verwalteten Windows-Geräts

Day-Zero-Onboarding mit TAP

Eine häufige Herausforderung bei kennwortlosen Bereitstellungen ist das Chicken-and-Egg-Problem : Ein neuer Benutzer muss sich anmelden, um seine kennwortlosen Anmeldeinformationen zu registrieren, aber Sie möchten kein Kennwort für diese erste Anmeldung ausstellen. TAP löst dieses Problem, indem kurzlebige Anmeldeinformationen für die ersteinrichtung des Geräts und die Registrierung von Anmeldeinformationen bereitgestellt werden.

Ein typischer Onboardingflow sieht wie folgt aus:

  1. Admin einen TAP ausgibt – Der IT-Administrator oder automatisierte Workflow generiert einen zeitlich begrenzten TAP für den neuen Benutzer im Microsoft Entra Admin Center oder über Microsoft Graph-API.
  2. Benutzer richtet sein Gerät ein – Der Benutzer gibt den TAP während der Windows Autopilot OOBE, der macOS-Einrichtung Assistent oder der Registrierung mobiler Geräte ein. Auf Windows 11 ermöglicht die Webanmeldung die TAP-Eingabe direkt auf dem Sperrbildschirm.
  3. Benutzer registriert eine kennwortlose Methode– Nach der Anmeldung mit dem TAP wird der Benutzer aufgefordert, Windows Hello, einen FIDO2-Sicherheitsschlüssel, einen Schlüssel in Microsoft Authenticator oder eine andere kennwortlose Methode zu registrieren. Dies sind die permanenten Anmeldeinformationen, die den TAP ersetzen.
  4. TAP läuft ab – Der TAP ist einmalig oder zeitlich begrenzt (konfigurierbar), sodass er nicht wiederverwendet werden kann, nachdem der Benutzer seine kennwortlose Methode registriert hat.

Dieser Flow entfällt die Notwendigkeit, ein temporäres Kennwort auszugeben und dann zu widerrufen, und Microsoft Intune einen verwalteten Onboardingpfad ab der ersten Anmeldung.

Anleitungen zur Implementierung finden Sie unter:

Zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA)

Phishing-resistent

Die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) verwendet digitale Zertifikate und asymmetrische Kryptografie, um die Identität zu überprüfen, wodurch sie phishingsicher ist und die Wiedergabe von Anmeldeinformationen verhindert wird. Es ist weit verbreitet in regulierten Branchen und Behördenumgebungen, häufig über Smartcards wie PIV und CAC. Im Gegensatz zu anderen kennwortlosen Methoden, bei denen Microsoft Intune in erster Linie die Geräteumgebung vorbereitet, ist CBA ein Bereich, in dem Microsoft Intune eine direkte Rolle bei der Verteilung der Anmeldeinformationen selbst spielt.

rolle von Intune
Microsoft Intune unterstützt zwei Infrastrukturmodelle für die Zertifikatübermittlung:

  • Lokale PKI: Organisationen mit einer vorhandenen Zertifizierungsstelle (CA) können den Zertifikatconnector für Microsoft Intune verwenden, um ihre lokale PKI mit Microsoft Intune zu überbrücken. Der Connector ermöglicht Microsoft Intune die Bereitstellung von SCEP- und PKCS-Zertifikatprofilen auf verwalteten Geräten mithilfe Ihrer vorhandenen Zertifizierungsstelleninfrastruktur. Dieses Modell eignet sich für Organisationen, die bereits eine Unternehmenszertifizierungsstelle betreiben oder sich in etablierte PKI-Investitionen integrieren müssen.
  • Microsoft Cloud PKI: Für Organisationen, die die lokale Zertifikatinfrastruktur vereinfachen oder beseitigen möchten, bietet Microsoft Cloud PKI eine cloudbasierte Zertifizierungsstelle als Teil der Microsoft Intune Suite. Cloud-PKI stellt Zertifikate aus und verwaltet diese, ohne dass lokale Server, Connectors oder Hardwaresicherheitsmodule erforderlich sind.

Unabhängig vom Infrastrukturmodell übermittelt Microsoft Intune Zertifikate mithilfe von Zertifikatprofilen an Geräte:

  • Vertrauenswürdige Stammzertifikatprofile verteilen das Stammzertifikat Ihrer Zertifizierungsstelle, damit Geräte die Vertrauenskette einrichten können.
  • SCEP-Zertifikatprofile fordern Zertifikate von einer SCEP-fähigen Zertifizierungsstelle an und stellen sie bereit.
  • PKCS-Zertifikatprofile fordern Zertifikate mit dem PKCS #12-Standard an und stellen sie bereit.
  • Importierte PFX-Zertifikatprofile stellen vorab generierte Zertifikate bereit, die in Microsoft Intune importiert werden.

Diese Profile funktionieren unter Windows, macOS, iOS/iPadOS und Android und machen Microsoft Intune den Bereitstellungsmechanismus, der Ihre PKI-Infrastruktur – ob lokal oder cloudbasiert – mit der in Microsoft Entra ID definierten Identitätsmethode verbindet.

Anleitungen zur Implementierung finden Sie unter:

Voraussetzungen

Bevor Sie eine kennwortlose Bereitstellung planen, überprüfen Sie, ob Ihre Umgebung die Lizenzierungs- und Plattformanforderungen für die Methoden erfüllt, die Sie verwenden möchten. Einige kennwortlose Features erfordern bestimmte Microsoft Entra ID- oder Microsoft Intune-Lizenzebenen, und für jede Methode gelten Mindestanforderungen an die Betriebssystemversion.

Lizenzierungsanforderungen

Abhängig von den kennwortlosen Methoden, die Sie auswählen, benötigt Ihr organization möglicherweise Microsoft Entra ID P1- oder Microsoft Entra ID P2-Lizenzen für Benutzer sowie spezifische Microsoft Intune Lizenzen für die Geräteverwaltung und Zertifikatübermittlung. In der folgenden Tabelle sind die Lizenzierungsanforderungen für allgemeine kennwortlose Funktionen zusammengefasst:

Funktion Lizenzanforderung
Windows Hello Microsoft Entra ID P1 (für die Erzwingung des bedingten Zugriffs)
FIDO2-Sicherheitsschlüssel Microsoft Entra ID P1
Hauptschlüssel (gerätegebunden und synchronisiert) Microsoft Entra ID P1
Anmeldung per Microsoft Authenticator-Telefon Microsoft Entra ID P1
Befristeter Zugriffspass Microsoft Entra ID P1
Zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) Microsoft Entra ID P1 (P2 für risikobasierten bedingten Zugriff)
Richtlinien zur Authentifizierungsstärke Microsoft Entra ID P1
Risikobasierter bedingter Zugriff Microsoft Entra ID P2
Microsoft Cloud PKI Microsoft Intune Suite oder eigenständige Cloud-PKI-Lizenz
Gerätekonformitäts- und Konfigurationsprofile Microsoft Intune Plan 1

Weitere Informationen

Plattformanforderungen

Die in diesem Artikel beschriebenen kennwortlosen Methoden basieren auf bestimmten Plattformfunktionen, die nur in bestimmten Betriebssystemversionen verfügbar sind. In der folgenden Tabelle sind die Plattformanforderungen für die einzelnen Methoden zusammengefasst:

Methode Windows macOS iOS/iPadOS Android
Windows Hello Alle unterstützten Windows-Clients
FIDO2-Sicherheitsschlüssel Alle unterstützten Windows-Clients
Hauptschlüssel Windows 11 Alle unterstützten Versionen Alle unterstützten Versionen Android 14+
Gerätegebundene Schlüssel in Microsoft Authenticator Alle unterstützten Versionen Android 14+
Plattform-SSO (Secure Enclave) Alle unterstützten Versionen
Webanmeldung (TAP auf Sperrbildschirm) Windows 11
Anmeldung per Microsoft Authenticator-Telefon Alle unterstützten Versionen Android 11+

Hinweis

Unterstützt bezieht sich auf Betriebssystemversionen, die Microsoft Intune derzeit für vollständige Funktionalität, Richtlinienbereitstellung und -verwaltung unterstützt.
Die Anforderungen an die Plattformversion können sich mit jedem Releasezyklus ändern. Überprüfen Sie immer die aktuellen Anforderungen in der Produktdokumentation für die spezifische Methode, die Sie bereitstellen.

Weitere Informationen

Überlegungen zur Plattform

Kennwortlos ist kein Feature. Es handelt sich um eine Reihe plattformspezifischer Umgebungen, die auf Microsoft Entra ID für identitäts- und Microsoft Intune für die Geräteverwaltung basieren.

Windows

Windows ist das umfassendste Beispiel dafür, wie Geräteregistrierung, Cloudanmeldung, Sicherheitsstatus und kennwortlose Benutzeroberfläche zusammenarbeiten.

Microsoft Intune unterstützt häufig kennwortlose Windows-Szenarien wie folgt:

  • Vorbereiten von cloudbasierten, Microsoft Entra eingebundenen Geräten.
  • Bereitstellen Windows Hello for Business Konfiguration.
  • Unterstützung von FIDO2-Sicherheitsschlüsselfunktionen.
  • Ausrichten der Gerätebereitschaft an Compliance und moderner Verwaltung.
  • Unterstützung von Onboardingfunktionen, die eine Verbindung mit Windows Autopilot herstellen können.

Wenn sich ein Benutzer mit Windows Hello oder einem FIDO2-Schlüssel anmeldet, ruft Windows ein primäres Aktualisierungstoken von Microsoft Entra ID ab. Dieses PRT ermöglicht ein nahtloses einmaliges Anmelden für Microsoft 365-Apps, SaaS-Anwendungen und – wenn die Cloud Kerberos-Vertrauensstellung konfiguriert ist – lokale Ressourcen wie Dateifreigaben, alles ohne zusätzliche Anmeldeaufforderungen.

Weitere Informationen

Überlegungen zu Hybrid- und Legacyversionen

Die in diesem Artikel beschriebenen kennwortlosen Umgebungen gehen von einer Cloud-First-Richtung mit Microsoft Entra eingebundenen Geräten aus. Organisationen mit hybriden Microsoft Entra verbundenen Geräten sollten sich der folgenden Unterschiede bewusst sein:

  • Die Webanmeldung (die für TAP auf dem Windows-Sperrbildschirm verwendet wird) wird nur auf Microsoft Entra verbundenen Geräten unterstützt, nicht auf hybriden Microsoft Entra verbundenen Geräten.
  • Windows Hello for Business funktioniert sowohl auf Microsoft Entra als auch auf hybriden Microsoft Entra eingebundenen Geräten, aber Hybridbereitstellungen erfordern je nach Vertrauensmodell möglicherweise zusätzliche Infrastruktur.
  • Für den zugriff auf lokale Ressourcen von Microsoft Entra verbundenen Geräten ist eine Kerberos-Cloudvertrauensstellung oder eine zertifikatbasierte Vertrauensstellung erforderlich. Die Cloud-Kerberos-Vertrauensstellung ist das empfohlene Modell, da es keine Bereitstellung von Zertifikaten für die Kerberos-Authentifizierung erfordert. Weitere Informationen finden Sie unter [Bereitstellung der Kerberos-Vertrauensstellung in der Cloud](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust).
  • Ältere Anwendungen , die die Active Directory-Kerberos-Authentifizierung erfordern, können weiterhin mit kennwortlosen Methoden funktionieren, aber Anwendungen, die NTLM- oder direkte LDAP-Bindung erfordern, erfordern möglicherweise zusätzliche Planung.

Wenn Ihre Umgebung hybrid ist, planen Sie Ihren kennwortlosen Rollout, beginnend mit Microsoft Entra eingebundenen Geräten, und erweitern Sie sie auf hybride Microsoft Entra eingebundene Geräte, da Ihre Infrastruktur dies unterstützt.

Weitere Informationen

macOS

Unter macOS hängt die kennwortlose Planung davon ab, wie Microsoft Entra ID in die Plattformanmeldung und das einmalige Anmelden integriert werden kann. Microsoft Intune stellt die Gerätekonfiguration bereit, die für Apple-fokussierte Identitätsintegrationen erforderlich ist.

Mit dem Microsoft Enterprise SSO-Plug-In und dem Plattform-SSO-Framework von Apple können Microsoft Intune eine Konfiguration bereitstellen, die es Benutzern ermöglicht, sich mit ihren Microsoft Entra ID Anmeldeinformationen beim Mac anzumelden. Bei der Konfiguration mit der Secure Enclave-Schlüsselmethode bietet dies eine phishingsichere, hardwaregestützte Anmeldung, die Windows Hello ähnelt.

Diese Informationen sind wichtig, wenn Sie Folgendes planen:

  • Plattform-SSO und zugehörige Anmeldeerfahrungen.
  • Einmaliges Anmelden zwischen dem Gerät und Microsoft-Apps.
  • Ein konsistentes Verwaltungsmodell neben Windows und mobilen Geräten.

Weitere Informationen

iOS und iPadOS

Unter iOS und iPadOS konzentriert sich die kennwortlose Planung mehr auf die App-Anmeldung, die Brokerauthentifizierung und das Kennungsverhalten als auf die Geräteanmeldung. Microsoft Intune stellt die Apps und Einstellungen bereit und verwaltet diese, die diese Benutzeroberflächen konsistent machen.

Die Microsoft SSO-Erweiterung unter iOS kann Authentifizierungsanforderungen über Microsoft- und Drittanbieter-Apps hinweg abfangen und ermöglicht eine nahtlose Anmeldung nach der anfänglichen Einrichtung des Geräts. Microsoft Authenticator fungiert als Authentifizierungsbroker und kann gerätegebundene Schlüssel auch unter iOS 17 und höher für phishingsichere Authentifizierung speichern.

Weitere Informationen

Android

Unter Android richtet Microsoft Intune den verwalteten Kontext ein, von dem kennwortlose und brokerierte Authentifizierungsflows abhängen. Dieser Kontext ist besonders relevant, wenn Microsoft Authenticator oder zugehörige App-Funktionen Teil Ihres mobilen Zugriffsdesigns sind.

Sowohl Unternehmensportal als auch Microsoft Authenticator können unter Android als Authentifizierungsbroker fungieren. Nachdem sich ein Benutzer über den Broker angemeldet hat, gibt Microsoft Entra ID ein primäres Aktualisierungstoken aus, das einmaliges Anmelden für alle Broker-fähigen Apps im Arbeitsprofil ermöglicht. Unter Android 14 und höher kann Microsoft Authenticator auch gerätegebundene Schlüssel für phishingsichere Authentifizierung speichern.

Weitere Informationen

Abhängigkeiten für die kennwortlose Authentifizierung

Zero Trust-Architektur

Die kennwortlose Authentifizierung ist teil einer umfassenderen Identitäts- und Gerätezugriffsstrategie. Für einen Microsoft Intune-Administrator umfasst die Planung in der Regel die folgenden Ebenen:

  • Identität: Phishingsichere Authentifizierungsmethoden in Microsoft Entra ID.
  • Gerätevertrauen: Microsoft Intune Registrierung, Kompatibilität und Konfiguration.
  • Zugriffsrichtlinie: Bedingter Zugriff und zugehörige Ausschlussplanung.
  • Datenschutz: Microsoft Purview-Funktionen, die zum Schutz von Inhalten beitragen, nachdem der Zugriff gewährt wurde.
  • Untersuchung und Reaktion: Microsoft Defender Signale und Workflows, wenn Risiken oder Kompromittierungen nachverfolgt werden müssen.

Weitere Informationen

Bedingter Zugriff

Der bedingte Zugriff wertet Signale wie den Gerätezustand und die Authentifizierungsstärke aus, bevor der Zugriff gewährt wird. In Kombination mit kennwortlosen Methoden kann der bedingte Zugriff Richtlinien zur Authentifizierungsstärke erzwingen, die Phishing-resistente MFA erfordern. Dies erfordert effektiv kennwortlose Methoden, indem schwächere Methoden wie Kennwörter oder SMS-Codes blockiert werden.

Wenn Sie bedingten Zugriff neben kennwortlosem Zugriff implementieren, müssen Sie auch die Notfallzugriffsplanung berücksichtigen, um versehentliche Sperrszenarien zu verhindern.

Weitere Informationen

Notfallzugriff und Wiederherstellung

Ein häufiges Problem beim Entfernen von Kennwörtern ist, was passiert, wenn ein Benutzer sein einziges kennwortloses Gerät verliert – ein Telefon, einen FIDO2-Schlüssel oder einen Laptop mit Windows Hello. Ohne wiederherstellungsplan können Administratoren mit Supportausweitungen konfrontiert sein, und Benutzer können von kritischen Ressourcen ausgeschlossen werden.

Planen Sie diese Szenarien im Rahmen Ihrer kennwortlosen Bereitstellung:

  • Konten für den Notfallzugriff: Verwalten Sie mindestens zwei Break-Glass-Konten, die von richtlinien für bedingten Zugriff und kennwortlose Erzwingung ausgeschlossen sind. Diese Konten stellen einen Fallbackpfad bereit, wenn eine Fehlkonfiguration oder ein Ausfall alle anderen Zugriffe blockiert. Speichern Sie Anmeldeinformationen sicher, und überwachen Sie die Anmeldeaktivitäten für diese Konten.
  • Wiederherstellung mit temporärem Zugriffspass: Wenn ein Benutzer sein kennwortloses Gerät verliert, kann ein Administrator einen neuen TAP ausstellen, damit sich der Benutzer anmelden und ersatzweise Anmeldeinformationen registrieren kann. Dieser Ansatz vermeidet das Zurücksetzen des Benutzers auf ein Kennwort und behält den Wiederherstellungsflow innerhalb des kennwortlosen Modells bei.
  • Mehrere registrierte Methoden: Ermutigen Sie Benutzer, nach Möglichkeit mehr als eine kennwortlose Methode zu registrieren. Beispielsweise kann ein Benutzer, der Hello for Business auf dem Laptop verwendet, auch einen Hauptschlüssel in Microsoft Authenticator auf dem Smartphone registrieren. Wenn ein Gerät verloren geht, funktioniert die andere Methode weiterhin.
  • Self-Service-Verwaltung von Anmeldeinformationen: Benutzer können ihre Authentifizierungsmethoden unter Meine Sicherheitsinformationen verwalten. In Kombination mit der TAP-basierten Wiederherstellung reduziert dieser Ansatz die Helpdeskabhängigkeit bei der Zurücksetzung von Anmeldeinformationen.
  • Wiederherstellung von Gesamtverlusten mit Verified ID: In Szenarien, in denen ein Benutzer alle registrierten Anmeldeinformationen und Geräte verliert, stellt Microsoft Entra Kontowiederherstellung mithilfe von Verified ID einen identitätsverprüften Wiederherstellungspfad bereit, der nicht auf Kennwörtern oder vom Helpdesk ausgestellten Anmeldeinformationen basiert.

Die Planung der Wiederherstellung, bevor Sie kennwortlos erzwingen, ist von entscheidender Bedeutung. Ein Rollout, der Kennwörter ohne Wiederherstellungspfad blockiert, erstellt die Art von Sperrszenarien, die das Vertrauen von Administratoren und Benutzern in den Übergang untergraben.

Weitere Informationen

Compliance und Gerätebereitschaft

Kennwortlos hängt häufig davon ab, dass sich das Gerät im richtigen Zustand befindet, bevor benutzer sich auf die Erfahrung verlassen können. Die Bereitschaft umfasst in der Regel Folgendes:

Überprüfung und laufender Betrieb

Um eine kennwortlose Bereitstellung zu überprüfen, umfassen häufige Prüfpunkte:

Benutzerakzeptanz und -kommunikation

Die technische Bereitschaft ist nur ein Teil eines kennwortlosen Rollouts. Bei Benutzern, die an Kennwörter gewöhnt sind, kann es zu Verwirrung oder Widerstand kommen, wenn sich Anmeldeflows ändern. Die Planung von Benutzerkommunikation und -support kann den Unterschied zwischen einem reibungslosen Übergang und einer breiten Helpdeskausweitung ausmachen.

Berücksichtigen Sie die folgenden Vorgehensweisen:

  • Frühzeitiges Kommunizieren der Änderung: Informieren Sie Die Benutzer darüber, dass sich ihre Anmeldeerfahrung ändert, warum sie sich ändert und was zu erwarten ist. Konzentrieren Sie sich auf die Vorteile: weniger Kennwörter, die sie sich merken müssen, schnellere Anmeldung und höhere Sicherheit.
  • Bereitstellen plattformspezifischer Anleitungen: Die kennwortlose Benutzeroberfläche unterscheidet sich unter Windows (biometrisch oder PIN), macOS (Touch ID mit Plattform-SSO), iOS (Authenticator oder Passkeys) und Android (Authenticator-Broker). Passen Sie die Kommunikation an die Plattformen Ihrer Benutzer an.
  • Identifizieren von Pilotgruppen: Beginnen Sie mit einer Gruppe von Benutzern, die die Erfahrung testen und Feedback geben können, bevor Sie kennwortloses organization erzwingen. IT-Mitarbeiter, Early Adopters und sicherheitsbewusste Teams sind häufig gute Kandidaten.
  • Vorbereiten von Helpdeskmitarbeitern: Stellen Sie sicher, dass Ihr Supportteam weiß, wie ein temporärer Zugriffspass für die Wiederherstellung ausgestellt wird, wie Benutzer durch die Registrierung von Anmeldeinformationen geleitet werden und wo Anmeldeprotokolle überprüft werden können, wenn Probleme auftreten.

Weitere Informationen

  • Last updated on