Menü
Skip to main content
Inhaltsverzeichnis
< Alle Themen
Drucken

Sicherer Widerruf von AD-Zertifikaten und Entra ID Passkeys mit Appterix YubiKey Management

Hardware-Sicherheitsschlüssel wie der YubiKey bieten den höchsten Schutz gegen Phishing und unautorisierten Zugriff. Doch die Sicherheit einer hardwarebasierten Authentifizierung steht und fällt mit einem effizienten Lifecycle Management – insbesondere dann, wenn ein Schlüssel verloren geht, gestohlen wird oder ein Mitarbeiter das Unternehmen verlässt.

Das Appterix YubiKey LifeCycle Management bietet hierfür eine zentrale Plattform. Dieser Artikel beleuchtet die Best Practices, konkrete Lösungsszenarien und die enormen Mehrwerte beim zentralen Widerruf von Active Directory (AD) Zertifikaten und Microsoft Entra ID Passkeys.

Die Mehrwerte des zentralen Managements mit Appterix

Ohne ein zentrales Management-Tool ist der Widerruf von Anmeldeinformationen auf physischen Token oft ein fragmentierter und zeitaufwändiger Prozess. Appterix löst dieses Problem durch folgende Mehrwerte:

  • Single Pane of Glass: Administratoren sehen auf einen Blick (im Bereich Inventar > Registrierte Anmeldeinformationen), welche Zertifikate und FIDO2-Passkeys auf welchem physischen YubiKey gespeichert sind.
  • Schnelle Reaktionszeit (MTTR): Im Ernstfall (z. B. Verlust) können Anmeldeinformationen mit nur wenigen Klicks systemübergreifend widerrufen werden, ohne dass Administratoren zwischen AD CS-Konsolen und dem Entra ID-Portal wechseln müssen.
  • Revisionssicherheit (Compliance): Appterix protokolliert jeden Widerruf lückenlos. Es wird erfasst, welcher Administrator wann und aus welchem Grund eine Anmeldeinformation widerrufen hat. Der Status ändert sich dauerhaft auf „Widerrufen“.
  • Granulare Kontrolle: Es muss nicht zwangsläufig der gesamte YubiKey unbrauchbar gemacht werden. Appterix erlaubt den gezielten Widerruf einzelner Zertifikate oder Passkeys, während andere Funktionen des YubiKeys intakt bleiben.

Lösungsszenarien aus der Praxis

Szenario A: Der verlorene YubiKey

Ein Mitarbeiter meldet seinen YubiKey als verloren.

  • Aktion: Der Administrator sucht den YubiKey im Appterix Inventar, markiert den physischen Key als „Verloren“ (Tag) oder „Gesperrt“ und navigiert zum Reiter Registrierte Anmeldeinformationen.
  • Lösung: Alle gelisteten AD-Zertifikate und Entra ID Passkeys werden sofort widerrufen. Selbst wenn ein Finder die PIN des Keys kennen sollte, wird die Authentifizierung am Backend (Entra ID / AD) vom Identitätsprovider abgelehnt.

Szenario B: Offboarding eines Mitarbeiters

Ein Mitarbeiter verlässt das Unternehmen, gibt seinen YubiKey aber zurück. Der Security Key soll für einen neuen Mitarbeiter „recycelt“ werden.

  • Aktion: Vor der physischen Rücksetzung (PIV/FIDO-Reset) des Keys über den Appterix Agenten, geht der IT-Support in die Appterix Management-UI.
  • Lösung: Um sicherzustellen, dass keine „verwaisten“ Authentifizierungsmethoden im Entra ID oder im AD verbleiben, werden die registrierten Passkeys und Zertifikate des scheidenden Mitarbeiters über Appterix widerrufen. Das Identitätssystem bleibt „sauber“.

Szenario C: Verdacht auf Kompromittierung

Ein Mitarbeiter klickt auf einen verdächtigen Link, es besteht der Verdacht, dass seine Session oder sein Rechner kompromittiert wurde.

  • Aktion: Präventiver Widerruf der aktuellen Anmeldeinformationen.
  • Lösung: Der Administrator widerruft das aktuell gültige AD-Zertifikat über Appterix. Der Mitarbeiter wird anschließend aufgefordert, über den Appterix Agenten ein „Anmeldeinformationen-Update“ (Enrollment-Schritt) durchzuführen, um ein frisches, sicheres Zertifikat auf den YubiKey zu laden.

Handlungsempfehlung: So widerrufen Sie Anmeldeinformationen in Appterix

Um eine Anmeldeinformation effektiv und sicher zu widerrufen, folgen Sie diesem Best-Practice-Workflow in der Appterix Management-UI:

  1. Voraussetzung prüfen: Stellen Sie sicher, dass die FIDO2-Synchronisierung für den betreffenden YubiKey abgeschlossen ist, damit Appterix den aktuellen Stand der Passkeys aus Entra ID kennt.
  2. YubiKey lokalisieren: Navigieren Sie zu YubiKey Management > Inventar und wählen Sie den YubiKey des betroffenen Benutzers aus.
  3. Anmeldeinformationen aufrufen: Wechseln Sie auf die Registerkarte Registrierte Anmeldeinformationen.
  4. Widerruf einleiten: Suchen Sie in der Tabelle das spezifische AD-Zertifikat oder den Entra ID Passkey (FIDO2) und klicken Sie in der Zeile auf Widerrufen.
  5. Grund angeben (Wichtig für Audits!): Es öffnet sich ein Bestätigungsdialog. Geben Sie hier immer einen aussagekräftigen Grund an (z. B. „Token verloren am 15.05.“ oder „Offboarding User XY“).
  6. Bestätigen: Schließen Sie den Vorgang ab. Die Anmeldeinformation erhält den Status Widerrufen und kann für diesen Token nicht wiederhergestellt werden.

Achtung: Der Widerruf ist dauerhaft. Ein widerrufenes Zertifikat oder ein gelöschter Passkey kann nicht reaktiviert, sondern muss bei Bedarf neu ausgerollt werden.

4. Backend-Voraussetzungen: Berechtigungen in AD und Entra ID

Damit Appterix die Anmeldeinformationen nicht nur in der eigenen Datenbank, sondern auch tatsächlich in Ihren Identitätssystemen widerrufen kann, benötigt das Appterix Service-Konto (bzw. die verbundene Enterprise App) spezifische Berechtigungen in Ihren Backend-Systemen.

Active Directory Zertifikatsdienste (AD CS)

Wenn Appterix ein Zertifikat widerruft, muss es mit der Zertifizierungsstelle (Certification Authority, CA) kommunizieren, um das Zertifikat auf die Certificate Revocation List (CRL) zu setzen.

  • Erforderliche Berechtigung: Das Dienstkonto, welches Appterix für die Kommunikation mit der AD CS nutzt, benötigt das Recht „Zertifikate ausstellen und verwalten“ (Issue and Manage Certificates) auf der entsprechenden Zertifizierungsstelle.
  • Konfiguration: Öffnen Sie die Zertifizierungsstellen-MMC (certsrv.msc) -> Rechtsklick auf die CA -> Eigenschaften -> Reiter Sicherheit -> Fügen Sie das Appterix-Dienstkonto hinzu und setzen Sie den Haken bei „Zertifikate ausstellen und verwalten“.

Microsoft Entra ID (ehemals Azure AD)

Um FIDO2-Passkeys für einen Benutzer zu löschen (widerrufen), interagiert Appterix über die Microsoft Graph API mit Ihrem Entra ID Tenant.

  • Erforderliche API-Berechtigungen (Microsoft Graph): Die für Appterix in Entra ID registrierte App benötigt Applikations-Berechtigungen (Application Permissions), um Authentifizierungsmethoden der Nutzer zu bearbeiten.
    • UserAuthenticationMethod.ReadWrite.All (Damit kann Appterix FIDO2-Methoden für alle Nutzer lesen und löschen).
  • Erforderliche Entra ID Rolle: Alternativ/Zusätzlich (je nach Integrationsart) benötigt der Service Principal die Rolle „Authentifizierungsrichtlinienadministrator“ (Authentication Policy Administrator) oder „Privilegierter Authentifizierungsadministrator“, um Passkeys für Benutzer verwalten zu dürfen.
  • Konfiguration: Prüfen Sie im Entra ID Portal unter App-Registrierungen > [Appterix App] > API-Berechtigungen, dass die genannten Graph API Rechte gewährt und durch einen Admin zugestimmt (Admin Consent) wurden.