Microsoft Entra ID: Allgemeine Verfügbarkeit von Passkey-Profilen und Migration für bestehende Passkeys (FIDO2) Mandanten

Veröffentlicht am

23

.

01

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Ab März 2026 wird Microsoft Entra ID allgemeine Verfügbarkeit für Passkey-Profile und synchronisierte Passkeys für Mandanten mit aktiviertem Passkeys (FIDO2) bereitstellen. Bestehende Konfigurationen werden auf ein Standard-Passkey-Profil mit einer neuen Eigenschaft passkeyType migriert. Von Microsoft verwaltete Registrierungsaktionen werden aktualisiert und fordern Benutzer nach der MFA zur Passkey-Registrierung auf.

Aktualisiert am 13. März 2026: Wir haben die Inhalte aktualisiert. Vielen Dank für Ihre Geduld.

[Einführung]

Ab März 2026 führt Microsoft Entra ID Passkey-Profile und gespiegelte Passkeys in die allgemeine Verfügbarkeit (GA) ein. Dieses Update ermöglicht Administratoren die Wahl, an einer neuen Passkey-Profile-Erfahrung teilzunehmen, die gruppenbasierte Passkey-Konfigurationen unterstützt und eine neue passkeyType-Eigenschaft einführt.

Wichtig: Dieses Update betrifft nur Mandanten, die bereits Passkeys (FIDO2) aktiviert haben.

Die passkeyType-Eigenschaft ermöglicht es Administratoren, Folgendes zu konfigurieren:

  • Gerätegebundene Passkeys
  • Gespeicherte Passkeys
  • Beides

Wenn Ihr Mandant bereits Passkeys (FIDO2) aktiviert hat und Sie sich während des anfänglichen Rollout-Zeitraums nicht für Passkey-Profile entscheiden, wird Ihr Mandant automatisch zum Passkey-Profile-Schema innerhalb des unten angegebenen Zeitraums migriert. Dabei gilt:

  • Bestehende Passkey (FIDO2)-Authentifizierungsmethoden-Konfigurationen werden in ein Standard-Passkey-Profil überführt.
  • Der Wert für passkeyType wird basierend auf den aktuellen Attestierungs-Einstellungen des Mandanten gesetzt. Gespiegelte Passkeys werden für Mandanten mit deaktivierter Attestierungspflicht aktiviert.
  • Es werden keine neuen Authentifizierungsmethoden im Rahmen dieser Migration aktiviert.
  • Diese Migration betrifft auch die Authentifizierungsmethoden-Registrierungskampagne, die auf den Status „Microsoft verwaltet“ gesetzt ist, da diese die Passkey-Konfigurationseinstellungen verwendet, um zu bestimmen, welche Registrierungseinladungen an Benutzer ausgegeben werden.

Änderungen bei der Authentifizierungsmethoden-Registrierungskampagne (nur Microsoft-verwaltete Mandanten)

Mandanten sind betroffen, wenn alle folgenden Bedingungen erfüllt sind:

  • Die Richtlinie für die Authentifizierungsmethode Passkeys (FIDO2) ist aktiviert.
  • Die Registrierungskampagne für Authentifizierungsmethoden ist auf den Status „Microsoft verwaltet“ gesetzt.
  • Die Selbstbedienungseinrichtung ist aktiviert.
  • Es sind keine Einschränkungen für spezifische AAGUIDs gesetzt.
  • Der Status der Authentifizierungsmethoden-Registrierungskampagne ist „Microsoft verwaltet“.

Für diese Mandanten werden nach Abschluss der automatischen Migration der Passkey-Profile die Einstellungen der Microsoft-verwalteten Registrierungskampagne aktualisiert. Die Änderungen werden schrittweise für betroffene Mandanten nach dem unten aufgeführten Zeitplan ausgerollt.

[Zeitplan]

Allgemeine Verfügbarkeit von Passkey-Profilen und gespiegelten Passkeys

  • Öffentliche Cloud weltweit: Rollout beginnt Anfang März 2026 und soll Ende März 2026 abgeschlossen sein.
  • GCC, GCC High, DoD Clouds: Rollout beginnt Anfang April 2026 und soll Ende April 2026 abgeschlossen sein.

Automatische Migration für Mandanten mit bereits aktivierten Passkeys (FIDO2)

  • Öffentliche Cloud weltweit: Rollout beginnt Anfang April 2026 und soll Ende Mai 2026 abgeschlossen sein.
  • GCC, GCC High, DoD Clouds: Rollout beginnt Anfang Juni 2026 und soll Ende Juni 2026 abgeschlossen sein.

Änderungen bei der Registrierungskampagne der Authentifizierungsmethoden im Microsoft-verwalteten Status (für betroffene Mandanten):

  • Öffentliche Cloud weltweit: Rollout beginnt Anfang April 2026 und soll Ende Mai 2026 abgeschlossen sein.

[Auswirkungen auf Ihre Organisation]

Automatische Migration für Mandanten mit bereits aktivierten Passkeys (FIDO2)

Was passiert:

Wenn Sie sich nicht vor Beginn Ihres automatischen Aktivierungszeitraums für Passkey-Profile entscheiden, wird Ihr Mandant auf Passkey-Profile migriert.

  • Ihre bestehenden Passkey (FIDO2)-Konfigurationen werden in ein Standard-Passkey-Profil migriert.
  • Die neue passkeyType-Eigenschaft wird automatisch befüllt:
    • Wenn Attestierungspflicht aktiviert ist, sind nur gerätegebundene Passkeys erlaubt.
    • Wenn Attestierungspflicht deaktiviert ist, sind sowohl gerätegebundene als auch gespiegelte Passkeys erlaubt.
  • Alle bestehenden Schlüsselbeschränkungen bleiben erhalten.
  • Alle bestehenden Benutzerziele werden dem Standard-Passkey-Profil zugewiesen.

Änderungen bei der Registrierungskampagne der Authentifizierungsmethoden im Microsoft-verwalteten Status (für betroffene Mandanten)

Was passiert:

Die Einstellungen der Microsoft-verwalteten Registrierungskampagne werden aktualisiert:

  • Die „Ziel-Authentifizierungsmethode“ ändert sich von Microsoft Authenticator zu „Passkeys (FIDO2)“.
  • Die Einstellung „Tage, die Aufschub erlaubt sind“ ändert sich von 3 Tagen auf 1 Tag und kann künftig nicht mehr konfiguriert werden.
  • Die Einstellung „Begrenzte Anzahl von Aufschüben“ ändert sich von aktiviert auf deaktiviert und kann künftig nicht mehr konfiguriert werden.
  • Die Standard-Benutzerzielgruppe wird von Nutzern mit Sprachanruf oder Textnachricht auf alle Nutzer mit Multifaktor-Authentifizierung (MFA) geändert.

Auswirkungen für Endbenutzer:

Sobald die oben genannten Änderungen wirksam sind, erhalten Benutzer, die in der Registrierungskampagne angesprochen werden, während der Anmeldeabläufe nach Abschluss der Multifaktor-Authentifizierung Hinweise zur Registrierung von Passkeys.

[Vorbereitungsmöglichkeiten]

Wenn Sie eine andere Konfiguration als die standardmäßigen Migrationseinstellungen wünschen, überprüfen Sie den oben genannten Zeitplan und entscheiden Sie sich vor Beginn des automatischen Aktivierungsfensters Ihres Mandanten für Passkey-Profile. Konfigurieren Sie dann die passkeyType-Eigenschaft des Standard-Passkey-Profils nach Ihren Präferenzen.

Wir empfehlen außerdem:

  • Überprüfen Sie Ihre Konfiguration der Registrierungskampagne, insbesondere wenn sie auf Microsoft-verwaltet gesetzt ist. Möchten Sie nicht, dass die Registrierungskampagne Passkeys adressiert, können Sie:
    • Den Status der Registrierungskampagne auf Aktiviert setzen und weiterhin Microsoft Authenticator ansprechen, oder
    • Den Status der Registrierungskampagne auf Deaktiviert setzen.
  • Aktualisieren Sie Runbooks und Hilfematerialien, damit Ihr Helpdesk und Ihre Endbenutzer Änderungen in der Verfügbarkeit oder im Verhalten von Passkeys verstehen.

Weitere Informationen:

[Compliance-Aspekte]

Es wurden keine Compliance-Aspekte identifiziert. Bitte prüfen Sie dies entsprechend den Anforderungen Ihrer Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH