Microsoft Entra-Passkeys unter Windows unterstützen jetzt phishingresistentes Anmelden

Veröffentlicht am

09

.

03

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Entra-Passkeys unter Windows ermöglichen eine phishing-resistente, passwortlose Anmeldung mit Windows Hello bei Entra-geschützten Ressourcen, einschließlich nicht verwalteter Geräte. Die öffentliche Vorschau beginnt Mitte März 2026. Organisationen müssen sich anmelden und Richtlinien konfigurieren, um diese Funktion zu aktivieren; ohne Aktivierung gibt es keine Auswirkungen.

[Introduction]

Wir führen Microsoft Entra-Passkeys unter Windows ein, um eine phishing-resistente Anmeldung an Entra-geschützten Ressourcen zu ermöglichen. Dieses Update erlaubt es Benutzern, gerätegebundene Passkeys zu erstellen, die im Windows Hello Container gespeichert sind, und sich mit Windows Hello-Methoden (Gesicht, Fingerabdruck oder PIN) zu authentifizieren. Zudem erweitert es die passwortlose Authentifizierung auf Windows-Geräte, die nicht Entra-verbunden oder registriert sind, und unterstützt Organisationen dabei, die Sicherheit zu erhöhen und die Abhängigkeit von Passwörtern zu reduzieren.

[Wann dies geschieht]

  • Öffentliche Vorschau: Rollout von Mitte März 2026 bis Ende April 2026
  • Allgemeine Verfügbarkeit
    • Weltweit: Mitte März 2026 bis Mitte April 2026
    • GCC: Mitte April 2026 bis Mitte Mai 2026
    • GCC High: Mitte April 2026 bis Mitte Mai 2026
    • DoD: Mitte April 2026 bis Mitte Mai 2026

[Auswirkungen auf Ihre Organisation]

Wer ist betroffen

  • Organisationen, die Microsoft Entra ID verwenden und deren Benutzer sich von Windows-Geräten anmelden, einschließlich unternehmensverwalteter, persönlicher und geteilter PCs.

Was passiert

  • Es entstehen keine Auswirkungen für Ihre Organisation, sofern Sie nicht aktiv zustimmen.
  • Microsoft Entra-Passkeys unter Windows stehen als phishing-resistente, passwortlose Anmeldeoption für Entra-geschützte Cloud-Ressourcen zur Verfügung.
  • Benutzer authentifizieren sich mittels Windows Hello (Gesicht, Fingerabdruck oder PIN).
  • Benutzer können Passkeys auf Windows-Geräten verwenden, die nicht Entra-verbunden oder registriert sind, was die Nutzung auf persönlichen, geteilten und nicht verwalteten PCs ermöglicht.
  • Benutzer können sich mit mehreren Entra-Konten auf demselben Windows-Gerät anmelden, wobei jedes Konto seinen eigenen Passkey registriert.
  • Passkeys unter Windows sind gerätegebunden und werden nicht zwischen Geräten synchronisiert; jedes Gerät erfordert eine separate Registrierung pro Entra-Konto.
  • Windows Hello for Business bleibt für verwaltete, Entra-verbundene oder registrierte Geräte empfohlen; Passkeys ergänzen Szenarien mit nicht verwalteten Geräten und unterstützen keine Geräteanmeldung.
  • Bestehende Richtlinien für Conditional Access und Authentifizierungsstärken gelten weiterhin ohne erforderliche Konfigurationsänderungen, sofern Sie Passkeys nicht aktivieren.
  • Benutzer können keinen Passkey unter Windows registrieren, wenn bereits eine Windows Hello for Business-Anmeldeinformation für dasselbe Konto und denselben Container existiert. Diese Sperre kann entfallen, wenn der Benutzer mehr als 50 Gesamtanmeldeinformationen aus Passkeys (FIDO2), Windows Hello for Business und Mac Platform Credentials besitzt.

[Was Sie zur Vorbereitung tun können]

Wenn Sie Microsoft Entra-Passkeys unter Windows während der öffentlichen Vorschau aktivieren möchten:

  • Aktivieren Sie die Authentifizierungsmethode Passkeys (FIDO2) in den Authentifizierungsmethoden-Richtlinien.
  • Erstellen Sie ein Passkey-Profil und konfigurieren Sie:
    • Attestierungserzwingung: Deaktiviert
    • Schlüsselbeschränkungen: Aktiviert
    • Erlaubte AAGUIDs (während der Vorschau erforderlich):
      • Windows Hello Hardware Authenticator: 08987058-cadc-4b81-b6e1-30de50dcbe96
      • Windows Hello VBS Hardware Authenticator: 9ddd1817-af5a-4672-a2b9-3e3dd95000a9
      • Windows Hello Software Authenticator: 6028b017-b1d4-4c02-b4b3-afcdafc96bb2
      • Hinweis: Während der öffentlichen Vorschau müssen diese Windows Hello AAGUIDs ausdrücklich in die erlaubte Liste aufgenommen werden.
  • Weisen Sie das Passkey-Profil den entsprechenden Gruppen zu.
  • Überprüfen Sie die Richtlinien für Conditional Access und Authentifizierungsstärken, um sicherzustellen, dass sie die Passkey-Authentifizierung unterstützen.
  • Kommunizieren Sie mit Pilotbenutzern über unterstützte Szenarien und Registrierungsschritte.
  • Aktualisieren Sie Ihre interne Dokumentation, falls Ihre Organisation genehmigte Authentifizierungsmethoden verfolgt.

Wenn Sie nicht an der öffentlichen Vorschau teilnehmen möchten, sind keine Maßnahmen erforderlich.

Weitere Informationen: How to enable passkey (FIDO2) profiles in Microsoft Entra ID (preview) | Authentication | Microsoft Entra ID | Microsoft Learn

[Compliance-Überlegungen]

Es wurden keine Compliance-Aspekte identifiziert; prüfen Sie diese angemessen für Ihre Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH