Microsoft Entra Passwörter unter Windows unterstützen jetzt phishing-resistente Anmeldung

Veröffentlicht am

09

.

03

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Entra-Passkeys unter Windows ermöglichen eine phishing-resistente, passwortlose Anmeldung mit Windows Hello auf verwalteten und nicht verwalteten Geräten. Die öffentliche Vorschau läuft von Ende März bis Mai 2026. Organisationen müssen sich anmelden und Passkey-Richtlinien konfigurieren; bestehende Sicherheitsrichtlinien bleiben unverändert. Es wurden keine Compliance-Probleme festgestellt.

Aktualisiert am 18. März 2026: Wir haben den Zeitplan aktualisiert. Vielen Dank für Ihre Geduld. 

[Einführung]

Wir führen Microsoft Entra Passkeys unter Windows ein, um eine phishing-resistente Anmeldung bei Entra-geschützten Ressourcen zu ermöglichen. Dieses Update erlaubt es Nutzern, gerätegebundene Passkeys zu erstellen, die im Windows Hello Container gespeichert sind, und sich mit Windows Hello-Methoden (Gesicht, Fingerabdruck oder PIN) zu authentifizieren. Zudem wird die passwortlose Authentifizierung auf Windows-Geräte ausgeweitet, die nicht Entra-verbunden oder registriert sind, was Organisationen hilft, die Sicherheit zu stärken und die Abhängigkeit von Passwörtern zu reduzieren.

[Zeitpunkt der Einführung]

  • Öffentliche Vorschau:
    • Weltweit: Ende März 2026 bis Ende April 2026
    • GCC: Ende April 2026 bis Ende Mai 2026
    • GCC High: Ende April 2026 bis Ende Mai 2026
    • DoD: Ende April 2026 bis Ende Mai 2026

[Auswirkungen auf Ihre Organisation]

Betroffene

  • Organisationen, die Microsoft Entra ID verwenden und deren Benutzer sich von Windows-Geräten anmelden, einschließlich unternehmensverwalteter, privater und gemeinsam genutzter PCs.

Was passiert

  • Es entstehen keine Auswirkungen auf Ihre Organisation, sofern Sie nicht aktiv zustimmen.
  • Microsoft Entra Passkeys unter Windows stehen als phishing-resistente, passwortlose Anmeldemöglichkeit für Entra-geschützte Cloud-Ressourcen zur Verfügung.
  • Benutzer authentifizieren sich mit Windows Hello (Gesicht, Fingerabdruck oder PIN).
  • Benutzer können Passkeys auf Windows-Geräten verwenden, die nicht Entra-verbunden oder registriert sind, was die Nutzung auf privaten, geteilten und nicht verwalteten PCs ermöglicht.
  • Benutzer können sich mit mehreren Entra-Konten auf demselben Windows-Gerät anmelden, wobei jedes Konto seinen eigenen Passkey registriert.
  • Passkeys unter Windows sind gerätegebunden und werden nicht zwischen Geräten synchronisiert; jedes Gerät erfordert eine separate Registrierung pro Entra-Konto.
  • Windows Hello for Business bleibt die empfohlene Lösung für verwaltete, Entra-verbundene oder registrierte Geräte; Passkeys ergänzen Szenarien mit nicht verwalteten Geräten und unterstützen keine Geräteanmeldung.
  • Bestehende Conditional Access- und Authentifizierungsstärkepolicen bleiben weiterhin gültig, es sind keine Konfigurationsänderungen erforderlich, sofern Sie Passkeys nicht aktivieren.
  • Benutzer können keinen Passkey unter Windows registrieren, wenn bereits eine Windows Hello for Business-Anmeldeinformation für dasselbe Konto und denselben Container vorhanden ist. Diese Sperre entfällt möglicherweise, sobald der Benutzer insgesamt mehr als 50 Anmeldeinformationen über Passkeys (FIDO2), Windows Hello for Business und Mac Platform Credentials besitzt.  

[Vorbereitungsmöglichkeiten]

Wenn Sie während der öffentlichen Vorschau Entra Passkeys unter Windows aktivieren möchten:

  • Aktivieren Sie die Authentifizierungsmethode Passkeys (FIDO2) in den Richtlinien für Authentifizierungsmethoden.
  • Erstellen Sie ein Passkey-Profil und konfigurieren Sie:
    • Attestierungserzwingung: Deaktiviert
    • Schlüsselbeschränkungen: Aktiviert
    • Zugelassene AAGUIDs (während der Vorschau erforderlich):
      • Windows Hello Hardware Authenticator: 08987058-cadc-4b81-b6e1-30de50dcbe96
      • Windows Hello VBS Hardware Authenticator: 9ddd1817-af5a-4672-a2b9-3e3dd95000a9
      • Windows Hello Software Authenticator: 6028b017-b1d4-4c02-b4b3-afcdafc96bb2
      • Hinweis: Während der öffentlichen Vorschau müssen Sie diese Windows Hello AAGUIDs explizit in die zugelassene Liste aufnehmen.
  • Weisen Sie das Passkey-Profil den entsprechenden Gruppen zu.
  • Überprüfen Sie Ihre Conditional Access- und Authentifizierungsstärkepolicen, damit diese die Passkey-Authentifizierung unterstützen.
  • Kommunizieren Sie mit Pilotbenutzern über unterstützte Szenarien und Registrierungsschritte.
  • Aktualisieren Sie Ihre interne Dokumentation, falls Ihre Organisation genehmigte Authentifizierungsmethoden verfolgt.

Wenn Sie nicht an der öffentlichen Vorschau teilnehmen möchten, sind keine Maßnahmen erforderlich.

Weitere Informationen: How to enable passkey (FIDO2) profiles in Microsoft Entra ID (preview) | Authentication | Microsoft Entra ID | Microsoft Learn

[Compliance-Aspekte]

Es wurden keine Compliance-Bedenken festgestellt; überprüfen Sie diese entsprechend den Anforderungen Ihrer Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH