Microsoft Entra ID: Automatisches Aktivieren von Passkey-Profilen

Veröffentlicht am

23

.

01

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Ab März 2026 aktiviert Microsoft Entra ID automatisch Passkey-Profile mit einer neuen Eigenschaft namens passkeyType für gerätegebundene und synchronisierte Passkeys. Mandanten, die nicht zustimmen, werden automatisch migriert, wobei bestehende Einstellungen erhalten bleiben. Von Microsoft verwaltete Registrierungskampagnen werden die Zielgruppen auf Passkeys aktualisieren. Eine Vorbereitung und Konfiguration vor der Einführung wird empfohlen.

[Einführung]

Ab März 2026 führt Microsoft Entra ID Passkey-Profile und synchrone Passkeys in die allgemeine Verfügbarkeit (GA) ein. Dieses Update ermöglicht es Administratoren, auf das neue Passkey-Profile-Erlebnis umzustellen, das gruppenbasierte Passkey-Konfigurationen unterstützt und eine neue passkeyType-Eigenschaft einführt.

passkeyType ermöglicht Administratoren die Konfiguration von:

  • Gerätegebundenen Passkeys
  • Synchronisierten Passkeys
  • Beidem

Wenn ein Mandant während des initialen Rollout-Zeitraums nicht auf Passkey-Profile umstellt, wird das neue Schema automatisch zum unten angegebenen Zeitraum aktiviert. Dabei gilt:

  • Bestehende Passkey- (FIDO2) Authentifizierungsmethoden-Konfigurationen werden in ein Standard-Passkey-Profil verschoben.
  • Der Wert von passkeyType wird basierend auf den aktuellen Attestierungseinstellungen des Mandanten festgelegt.
  • Für Mandanten mit aktivierten synchronisierten Passkeys werden Microsoft-verwaltene Registrierungsaktionen aktualisiert, um Passkeys zu adressieren.

[Zeitplan]

  • Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Anfang März 2026 und wird voraussichtlich bis Ende März 2026 abgeschlossen sein.
    • Automatische Aktivierung für Mandanten, die sich noch nicht angemeldet haben (weltweit): Rollout beginnt Anfang April 2026 und wird voraussichtlich bis Ende Mai 2026 abgeschlossen sein.
  • Allgemeine Verfügbarkeit (GCC, GCC High und DoD): Rollout beginnt Anfang April 2026 und wird voraussichtlich bis Ende April 2026 abgeschlossen sein.
    • Automatische Aktivierung für Mandanten, die sich noch nicht angemeldet haben (GCC, GCC High und DoD): Rollout beginnt Anfang Juni 2026 und wird voraussichtlich bis Ende Juni 2026 abgeschlossen sein.

[Auswirkungen auf Ihre Organisation]

Betroffene: Alle Microsoft Entra ID Mandanten

Was passiert:

Wenn Sie sich nicht vor Beginn Ihres automatischen Aktivierungszeitraums für Passkey-Profile entschieden haben, wird Ihr Mandant auf Passkey-Profile migriert.

  • Ihre bestehenden Passkey- (FIDO2) Konfigurationen werden in ein Standard-Passkey-Profil migriert.
  • Die neue passkeyType-Eigenschaft wird automatisch ausgefüllt
    • Ist die Attestierung erzwingen-Option aktiviert, sind nur gerätegebundene Passkeys erlaubt.
    • Ist die Attestierung erzwingen-Option deaktiviert, sind sowohl gerätegebundene als auch synchronisierte Passkeys erlaubt.
  • Bestehende Schlüsselbeschränkungen bleiben bestehen.
  • Bestehende Benutzerauswahlen werden dem Standard-Passkey-Profil zugewiesen.

[Registrierungskampagnen-Verhalten (nur Microsoft-verwaltene Kampagnen)]

  • Für Mandanten mit aktivierten synchronisierten Passkeys und einer Microsoft-verwalten Registrierungskampagne gilt:
    • Die Ziel-Authentifizierungsmethode wird von Microsoft Authenticator auf Passkeys geändert.
    • Die standardmäßige Benutzerzielgruppe ändert sich von Sprachanruf oder Textnachricht auf alle MFA-fähigen Benutzer.
    • Die Einstellungen Begrenzte Anzahl von Aufschüben und Erlaubte Anzahl der Tage für Aufschub sind nicht mehr konfigurierbar und werden auf unbegrenzte Aufschübe mit einer Erinnerungsfrequenz von einem Tag gesetzt.

[Vorbereitungsmöglichkeiten]

Wenn Sie eine andere Konfiguration als die Migrationsstandards wünschen, prüfen Sie den obigen Zeitplan und melden Sie sich vor Beginn des automatischen Aktivierungsfensters Ihres Mandanten für Passkey-Profile an. Konfigurieren Sie dann das passkeyType-Feld im Standard-Passkey-Profil nach Ihren bevorzugten Einstellungen.

Wir empfehlen außerdem:

  • Überprüfen Sie Ihre Registrierungskampagnen-Konfiguration, insbesondere wenn diese auf Microsoft-verwalten gesetzt ist. Wenn Sie synchronisierte Passkeys aktiviert haben möchten, aber nicht möchten, dass die Registrierungskampagne Passkeys anvisiert, können Sie:
    • Den Status der Registrierungskampagne auf Aktiviert setzen und weiterhin Microsoft Authenticator anvisieren, oder
    • Den Status der Registrierungskampagne auf Deaktiviert setzen.
  • Aktualisieren Sie Runbooks und Hilfsmaterialien, damit Ihr Helpdesk und Endanwender die Änderungen in Passkey-Verfügbarkeit oder Verhalten verstehen.

Weitere Informationen:

[Compliance-Hinweise]

Keine Compliance-Bedenken ermittelt. Bitte überprüfen Sie dies entsprechend den Anforderungen Ihrer Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH