Nach der erfolgreichen Konfiguration eines Benutzers für MFA steht dessen Registrierungsprozess an. Die Benutzeranmeldung wird dabei temporär unterbrochen, um den Benutzer zu bitten, die MFA-Registrierung durchzuführen. Für Mitarbeiter, die mit ADFS authentifiziert werden, tritt die Registrierung nach der ADFS-Anmeldung ein.
Nachdem ADFS den Mitarbeiter authentifiziert hat und den Browser zurück zum Azure AD leitet, erhält der Benutzer die Meldung, dass die Unternehmens-IT die MFA-Registrierung erfordert. Darunter findet er den "Set it up now"-Knopf. Der erste Schritt umfasst dann die Auswahl der Kontaktmethode und die Anmeldung des Telefons. Zur Auswahl stehen "Authentication phone" – ein Smartphone, das sowohl Anrufe als auch Textnachrichten empfangen kann.
Bild 3: Mitarbeiter registrieren sich bei Azure MFA selbst und wählen die gewünschte Kontaktmethode aus.
Die Alternative ist das "Office phone", ein Festnetztelefon ohne Textnachrichtenfunktion, bei dem die Telefonnummer bereits aus dem Windows-AD synchronisiert wurde und nicht änderbar ist. Zuletzt gibt es die Variante "Mobile app", bei dem die App "Microsoft Authenticator" auf das Smartphone geladen werden muss und registriert wird, um dort MFA-Anfragen zu bestätigen. Je nach Benutzerauswahl verändern sich die Registrierungsoptionen. Für das "Authentication phone" (Smartphone) muss der Benutzer seine Telefonnummer selbst angeben.
Die Microsoft-Authenticator-App kann im jeweiligen App-Store heruntergeladen werden. Der Registrierungsassistent bietet bequemerweise Links zum App-Download sowie weiterführende Schritte für die Einrichtung der App. So fügen die Anwender ihren Account in der App hinzu und richten diesen mit Hilfe eines auf der Webseite angezeigten QR-Codes ein. Bei der Konfiguration der App gibt es zwei Modi: Entweder sendet das Azure AD eine Push-Notification zur App, die der Benutzer dann per Knopfdruck auf seinem registrierten Smartphone bestätigt oder die App zeigt einen sechsstelligen Code an, den der Benutzer beim MFA-Prompt eingeben muss. Deutlich bequemer ist die Push-Notification, die aber zum Zeitpunkt der Abfrage eine Internetverbindung benötigt.
Für den zweiten Schritt klicken die Nutzer auf "Contact me". Das Azure AD will sicherstellen, dass die gerade ausgewählte Methode funktioniert und löst eine Test-MFA-Anfrage aus. Je nach ausgewählter Methode wird der Benutzer kontaktiert und muss einen Telefonanruf beantworten, einen Code eingeben oder MFA in der App bestätigen. Gelingt dies, endet die Anmeldung mit Schritt 3, bei dem die Benutzer ihr App-Passwort angezeigt bekommen. Für alle Anwendungen, die kein MFA unterstützen, weil sie ältere Anmeldemethoden gegen das Azure AD nutzen, muss nämlich ein App-Passwort hinterlegt werden.
