[Einführung]
Ab März 2026 führt Microsoft Entra ID Passkey-Profile und synchrone Passkeys in die allgemeine Verfügbarkeit (GA) ein. Dieses Update ermöglicht es Administratoren, auf das neue Passkey-Profile-Erlebnis umzustellen, das gruppenbasierte Passkey-Konfigurationen unterstützt und eine neue passkeyType-Eigenschaft einführt.
passkeyType ermöglicht Administratoren die Konfiguration von:
- Gerätegebundenen Passkeys
- Synchronisierten Passkeys
- Beidem
Wenn ein Mandant während des initialen Rollout-Zeitraums nicht auf Passkey-Profile umstellt, wird das neue Schema automatisch zum unten angegebenen Zeitraum aktiviert. Dabei gilt:
- Bestehende Passkey- (FIDO2) Authentifizierungsmethoden-Konfigurationen werden in ein Standard-Passkey-Profil verschoben.
- Der Wert von passkeyType wird basierend auf den aktuellen Attestierungseinstellungen des Mandanten festgelegt.
- Für Mandanten mit aktivierten synchronisierten Passkeys werden Microsoft-verwaltene Registrierungsaktionen aktualisiert, um Passkeys zu adressieren.
[Zeitplan]
- Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Anfang März 2026 und wird voraussichtlich bis Ende März 2026 abgeschlossen sein.
- Automatische Aktivierung für Mandanten, die sich noch nicht angemeldet haben (weltweit): Rollout beginnt Anfang April 2026 und wird voraussichtlich bis Ende Mai 2026 abgeschlossen sein.
- Allgemeine Verfügbarkeit (GCC, GCC High und DoD): Rollout beginnt Anfang April 2026 und wird voraussichtlich bis Ende April 2026 abgeschlossen sein.
- Automatische Aktivierung für Mandanten, die sich noch nicht angemeldet haben (GCC, GCC High und DoD): Rollout beginnt Anfang Juni 2026 und wird voraussichtlich bis Ende Juni 2026 abgeschlossen sein.
[Auswirkungen auf Ihre Organisation]
Betroffene: Alle Microsoft Entra ID Mandanten
Was passiert:
Wenn Sie sich nicht vor Beginn Ihres automatischen Aktivierungszeitraums für Passkey-Profile entschieden haben, wird Ihr Mandant auf Passkey-Profile migriert.
- Ihre bestehenden Passkey- (FIDO2) Konfigurationen werden in ein Standard-Passkey-Profil migriert.
- Die neue passkeyType-Eigenschaft wird automatisch ausgefüllt
- Ist die Attestierung erzwingen-Option aktiviert, sind nur gerätegebundene Passkeys erlaubt.
- Ist die Attestierung erzwingen-Option deaktiviert, sind sowohl gerätegebundene als auch synchronisierte Passkeys erlaubt.
- Bestehende Schlüsselbeschränkungen bleiben bestehen.
- Bestehende Benutzerauswahlen werden dem Standard-Passkey-Profil zugewiesen.
[Registrierungskampagnen-Verhalten (nur Microsoft-verwaltene Kampagnen)]
- Für Mandanten mit aktivierten synchronisierten Passkeys und einer Microsoft-verwalten Registrierungskampagne gilt:
- Die Ziel-Authentifizierungsmethode wird von Microsoft Authenticator auf Passkeys geändert.
- Die standardmäßige Benutzerzielgruppe ändert sich von Sprachanruf oder Textnachricht auf alle MFA-fähigen Benutzer.
- Die Einstellungen Begrenzte Anzahl von Aufschüben und Erlaubte Anzahl der Tage für Aufschub sind nicht mehr konfigurierbar und werden auf unbegrenzte Aufschübe mit einer Erinnerungsfrequenz von einem Tag gesetzt.
[Vorbereitungsmöglichkeiten]
Wenn Sie eine andere Konfiguration als die Migrationsstandards wünschen, prüfen Sie den obigen Zeitplan und melden Sie sich vor Beginn des automatischen Aktivierungsfensters Ihres Mandanten für Passkey-Profile an. Konfigurieren Sie dann das passkeyType-Feld im Standard-Passkey-Profil nach Ihren bevorzugten Einstellungen.
Wir empfehlen außerdem:
- Überprüfen Sie Ihre Registrierungskampagnen-Konfiguration, insbesondere wenn diese auf Microsoft-verwalten gesetzt ist. Wenn Sie synchronisierte Passkeys aktiviert haben möchten, aber nicht möchten, dass die Registrierungskampagne Passkeys anvisiert, können Sie:
- Den Status der Registrierungskampagne auf Aktiviert setzen und weiterhin Microsoft Authenticator anvisieren, oder
- Den Status der Registrierungskampagne auf Deaktiviert setzen.
- Aktualisieren Sie Runbooks und Hilfsmaterialien, damit Ihr Helpdesk und Endanwender die Änderungen in Passkey-Verfügbarkeit oder Verhalten verstehen.
Weitere Informationen:
- How to Enable Passkey (FIDO2) Profiles in Microsoft Entra ID (preview) - Microsoft Entra ID | Microsoft Learn
- How to Enable Synced Passkeys (FIDO2) in Microsoft Entra ID (preview) - Microsoft Entra ID | Microsoft Learn
- How to run a registration campaign to set up Microsoft Authenticator - Microsoft Entra ID | Microsoft Learn
- Synced passkeys FAQ - Microsoft Entra ID | Microsoft Learn
[Compliance-Hinweise]
Keine Compliance-Bedenken ermittelt. Bitte überprüfen Sie dies entsprechend den Anforderungen Ihrer Organisation.
