Microsoft Entra ID: Allgemeine Verfügbarkeit von Passkey-Profilen und Migration für bestehende Passkey- (FIDO2)-Mandanten

Veröffentlicht am

23

.

01

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Ab März 2026 wird Microsoft Entra ID allgemeine Verfügbarkeit für Passkey-Profile und synchronisierte Passkeys für Mandanten mit aktivierten Passkeys (FIDO2) bieten. Bestehende Mandanten werden automatisch auf ein Standard-Passkey-Profil mit einer neuen Eigenschaft namens passkeyType migriert. Die Änderungen betreffen auch von Microsoft verwaltete Kampagnen zur Registrierung von Authentifizierungen.

[Einführung]

Ab März 2026 führt Microsoft Entra ID Passkey-Profile und synchrone Passkeys in die allgemeine Verfügbarkeit (GA) ein. Dieses Update ermöglicht Administratoren die Entscheidung für eine neue Passkey-Profile-Erfahrung, die gruppenbasierte Passkey-Konfigurationen unterstützt und eine neue Eigenschaft passkeyType einführt.

Wichtig: Von diesem Update sind nur Mandanten betroffen, bei denen Passkeys (FIDO2) bereits aktiviert sind.

Die Eigenschaft passkeyType ermöglicht Administratoren die Konfiguration von:

  • Gerätegebundenen Passkeys
  • Synchronisierten Passkeys
  • Beiden

Wenn Ihr Mandant bereits Passkeys (FIDO2) aktiviert hat und Sie sich während des anfänglichen Rollout-Zeitraums nicht für Passkey-Profile entscheiden, wird Ihr Mandant automatisch zum unten angegebenen Zeitraum auf das Passkey-Profile-Schema migriert. Dabei gilt:

  • Bestehende Passkey (FIDO2)-Authentifizierungsmethode-Konfigurationen werden in ein Standard-Passkey-Profil überführt.
  • Der Wert von passkeyType wird basierend auf den aktuellen Attestierungs-Einstellungen des Mandanten gesetzt. Synchronisierte Passkeys werden für Mandanten aktiviert, bei denen die Attestierungsdurchsetzung deaktiviert ist.
  • Es werden keine neuen Authentifizierungsmethoden im Rahmen dieser Migration aktiviert.
  • Diese Migration wirkt sich auch auf die Registrierungskampagne für Authentifizierungsmethoden aus, wenn diese auf den Status „Microsoft verwaltet\" gesetzt ist und die Passkey-Konfigurationseinstellungen verwendet, um zu bestimmen, welche Registrierungsaufforderungen den Benutzern angezeigt werden.

Änderungen bei der Registrierungskampagne für Authentifizierungsmethoden (nur Microsoft-verwaltet)

Mandanten sind betroffen, wenn alle folgenden Bedingungen erfüllt sind:

  • Die Passkeys (FIDO2)-Authentifizierungsmethoden-Richtlinie ist aktiviert
  • Die Registrierungskampagne für Authentifizierungsmethoden ist auf „Microsoft verwaltet\" gesetzt
  • Selbstbedienungseinrichtung ist aktiviert
  • Es sind keine spezifischen AAGUIDs als Ziel ausgewählt (keine AAGUID-Einschränkungen konfiguriert)
  • Der Status der Registrierungskampagne für Authentifizierungsmethoden ist Microsoft-verwaltet
  • Der Mandant hat mindestens einen Benutzer mit einer Aktivierung für sowohl synchronisierte Passkeys als auch gerätegebundene Passkeys
    • Nur Benutzer, die für sowohl synchronisierte Passkeys als auch gerätegebundene Passkeys aktiviert sind und bei denen keine Einschränkungen im Passkey-Profil konfiguriert sind (z. B. Attestierungsdurchsetzung, AAGUID-Einschränkungen), erhalten während der Anmeldung eine Aufforderung zur Passkey-Registrierung.

Für diese Mandanten werden die Microsoft-verwalteten Einstellungen der Registrierungskampagne nach Abschluss der automatischen Migration des Passkey-Profils aktualisiert. Wir werden die Änderungen gemäß dem untenstehenden Zeitplan schrittweise bei den betroffenen Mandanten ausrollen.

[Zeitplan]

Allgemeine Verfügbarkeit von Passkey-Profilen und synchronisierten Passkeys

  • Microsoft-Cloud weltweit: Der Rollout beginnt Anfang März 2026 und soll Ende März 2026 abgeschlossen sein.
  • GCC, GCC High, DoD Clouds: Der Rollout beginnt Anfang Mai 2026 und soll Ende Mai 2026 abgeschlossen sein.
  • USNat, USSec: Der Rollout beginnt Anfang Juli 2026 und soll Ende Juli 2026 abgeschlossen sein.

Automatische Migration für Mandanten mit aktivierten Passkeys (FIDO2)

  • Microsoft-Cloud weltweit: Rollout beginnt Anfang Mai 2026 und soll Ende Juni 2026 abgeschlossen sein.
  • GCC, GCC High, DoD Clouds: Rollout beginnt Anfang August 2026 und soll Ende August 2026 abgeschlossen sein.
  • USNat, USSec: Rollout beginnt Anfang August 2026 und soll Ende August 2026 abgeschlossen sein.

Änderungen an der Registrierungskampagne für Authentifizierungsmethoden im Microsoft-verwalteten Modus (für betroffene Mandanten):

  • Microsoft-Cloud weltweit: Rollout beginnt Anfang Mai 2026 und soll Ende Juni 2026 abgeschlossen sein.

[Auswirkungen auf Ihre Organisation]

Automatische Migration für Mandanten mit aktivierten Passkeys (FIDO2)

Was passiert:

Wenn Sie sich nicht vor Beginn des automatischen Aktivierungsfensters für Passkey-Profile entschieden haben, wird Ihr Mandant migriert.

  • Ihre bestehenden Passkey (FIDO2)-Konfigurationen werden in ein Standard-Passkey-Profil migriert.
  • Die neue Eigenschaft passkeyType wird automatisch ausgefüllt
    • Wenn die Attestierungsdurchsetzung aktiviert ist, sind nur gerätegebundene Passkeys erlaubt.
    • Wenn die Attestierungsdurchsetzung deaktiviert ist, sind sowohl gerätegebundene als auch synchronisierte Passkeys erlaubt.
  • Bestehende Schlüsselbeschränkungen bleiben unverändert.
  • Bestehende Benutzerziele werden dem Standard-Passkey-Profil zugewiesen.

Änderungen an der Registrierungskampagne für Authentifizierungsmethoden im Microsoft-verwalteten Modus (für betroffene Mandanten)

Was passiert:

Die Microsoft-verwalteten Einstellungen der Registrierungskampagne werden aktualisiert:

  • Die Einstellung „Gezielte Authentifizierungsmethode“ ändert sich von Microsoft Authenticator zu „Passkeys (FIDO2)“.
  • Die Einstellung „Tage erlaubt zum Verschieben (Snooze)“ ändert sich von 3 Tagen zu „1 Tag“ und wird künftig nicht mehr konfigurierbar sein.
  • Die Einstellung „Begrenzte Anzahl von Verschiebungen“ wird von Aktiviert auf Deaktiviert geändert und ist künftig nicht mehr konfigurierbar.
  • Die Standardbenutzerzielgruppe wird von Benutzern mit Sprachanruf oder SMS auf alle für Multifaktor-Authentifizierung (MFA) befähigten Benutzer ausgeweitet.

Auswirkungen auf Endbenutzer:

Nach Umsetzung der oben genannten Änderungen erhalten die in der Registrierungskampagne erfassten Benutzer während des Anmeldeflusses, unmittelbar nach Abschluss der Multifaktor-Authentifizierung, Aufforderungen zur Registrierung von Passkeys.

[Vorbereitungsmöglichkeiten]

Wenn Sie eine andere Konfiguration als die der Migrationsstandards wünschen, prüfen Sie bitte den oben dargestellten Zeitplan und melden Sie sich vor Beginn des automatischen Aktivierungsfensters Ihres Mandanten für Passkey-Profile an. Passen Sie anschließend das passkeyType im Standard-Passkey-Profil entsprechend Ihren Präferenzen an.

Wir empfehlen zudem:

  • Überprüfen Sie Ihre Konfiguration der Registrierungskampagne, besonders wenn diese auf Microsoft-verwaltet gesetzt ist. Wenn Sie nicht möchten, dass die Registrierungskampagne auf Passkeys abzielt, können Sie:
    • den Status der Registrierungskampagne auf Aktiviert setzen und weiterhin Microsoft Authenticator anvisieren, oder
    • den Status der Registrierungskampagne auf Deaktiviert setzen.
  • Aktualisieren Sie Runbooks und Hilfedokumentationen, damit Ihre Service-Desk-Mitarbeiter und Endbenutzer Änderungen in der Verfügbarkeit oder im Verhalten von Passkeys verstehen.

Weitere Informationen:

[Compliance-Überlegungen]

Es wurden keine Compliance-Bedenken festgestellt. Bitte prüfen Sie dies entsprechend für Ihre Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH