Microsoft Entra: Passkeys in Microsoft-Registrierungskampagnen

Veröffentlicht am

16

.

03

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Ab April 2026 unterstützen Microsoft Registration Campaigns Passkeys (FIDO2) als zusätzliche Authentifizierungsmethode, die phishing-resistente Anmeldeinformationen ermöglicht. Berechtigte Microsoft 365-Mandanten können Benutzer während der Anmeldung für Passkey-Registrierungsaufforderungen aktivieren. Die Änderungen werden schrittweise ausgerollt und betreffen MFA-fähige Benutzer mit bestimmten Richtlinieneinstellungen.

[Einführung]

Wie bereits in MC1221452 angekündigt, unterstützen Microsoft Registration Campaigns ab Anfang April 2026 Passkeys (FIDO2) als zusätzliche Authentifizierungsmethode. Dieses Update hilft Organisationen, die Einführung phishing‑resistenter Anmeldeinformationen zu beschleunigen, indem Administratoren Nutzer für Passkeys aktivieren und während der Anmeldung Erinnerungshinweise zur Passkey-Registrierung ausspielen können.

[Zeitpunkt der Einführung]

Allgemeine Verfügbarkeit (weltweit): Die Einführung beginnt Anfang April 2026 und wird voraussichtlich bis Ende Mai 2026 abgeschlossen sein.

[Auswirkungen auf Ihre Organisation]

Betroffene Gruppen

  • Microsoft 365-Mandanten, die Microsoft Registration Campaigns verwenden
  • Mandanten, die im Microsoft‑verwalteten oder Aktivierten Zustand konfiguriert sind
  • Benutzer, die MFA-fähig und für Passkeys (FIDO2) berechtigt sind

Was passiert

Microsoft‑verwalteter Zustand

Ihr Mandant ist betroffen, wenn alle folgenden Bedingungen erfüllt sind:

  • Die Passkeys (FIDO2) Authentifizierungsmethoden-Richtlinie ist aktiviert.
  • Selbstbedienungseinrichtung erlauben ist aktiviert.
  • Bestimmte AAGUIDs anvisieren ist nicht ausgewählt (keine AAGUID-Beschränkungen konfiguriert).
  • Der Zustand der Authentication Methods Registration Campaign ist auf Microsoft‑verwaltet gesetzt.

Sind diese Bedingungen erfüllt, werden folgende Einstellungen automatisch aktualisiert:

  • Die anvisierte Authentifizierungsmethode ändert sich von Microsoft Authenticator zu Passkeys (FIDO2).
  • Tage, um Erinnerung zu verschieben ändern sich von drei Tagen auf einen Tag. (Diese Einstellung ist künftig nicht mehr konfigurierbar.)
  • Limit für Anzahl der Verschiebungen wird deaktiviert. (Diese Einstellung ist künftig nicht mehr konfigurierbar.)
  • Das Targeting wird auf alle MFA-fähigen Benutzer ausgeweitet. (Diese Einstellung ist künftig nicht mehr konfigurierbar.)
  • Das standardmäßige Nutzer-Targeting ändert sich von Benutzern mit Sprachanruf oder Textnachrichten zu allen MFA-fähigen Benutzern.

Betroffene Benutzer erhalten nach erfolgreichem MFA beim Anmelden Erinnerungshinweise zur Passkey-Registrierung.

Wir werden diese Änderungen schrittweise für die betroffenen Mandanten ausrollen.

Aktivierter Zustand

Passkey (FIDO2) kann als anvisierte Authentifizierungsmethode ausgewählt werden, wenn Microsoft Registration Campaigns im Aktivierten Zustand sind.

Hinweis: Registration Campaigns unterstützen jeweils nur das Targeting einer einzelnen Authentifizierungsmethode – entweder Microsoft Authenticator oder Passkeys (FIDO2), nicht beide gleichzeitig.

[Vorbereitungsmöglichkeiten]

Aktivieren von Passkey-Registrierungserinnerungen:

Sie können Passkeys aktivieren und Ihre Benutzer so einstellen, dass sie einen Erinnerungshinweis zur Passkey-Registrierung erhalten. Der Hinweis erscheint jedoch nur, wenn alle der folgenden Bedingungen erfüllt sind:

  • Der Benutzer ist MFA-fähig
    • er hat mindestens eine registrierte MFA-Methode
    • er kann MFA bei der Anmeldung erfolgreich abschließen
  • Unter Authentication methods > Policies fällt der Benutzer in den Geltungsbereich für Passkeys (FIDO2)
  • Unter Authentication methods > Policies > Passkeys (FIDO2) > Configure ist Selbstbedienungseinrichtung erlauben aktiviert

Wichtige Hinweise:

Microsoft-verwalteter Zustand:

Wir werden diese Änderungen schrittweise ab Anfang April für berechtigte Mandanten ausrollen. Der Rollout benötigt Zeit und auch wenn Ihr Mandant die Voraussetzungen erfüllt, erscheinen die Änderungen möglicherweise nicht sofort.

Aktivierter Zustand

Im Laufe der Zeit werden wir die Logik für Passkey-Erinnerungen in Microsoft Registration Campaigns verfeinern, um Benutzer anhand ihres Passkey-Profilbereichs zur passenden Registrierungserfahrung zu führen. Anfangs berücksichtigt die Logik eventuell noch nicht jede Ausnahmesituation, wir erweitern und verbessern sie aber kontinuierlich. Bei Benutzern mit Passkey-Profilbeschränkungen (z.B. AAGUID-Beschränkungen) kann die durch den Hinweis ausgelöste Registrierungserfahrung suboptimal sein.

Passkeys trotz Beschränkungen verwenden

Sie können Passkeys weiterhin als Ziel-Authentifizierungsmethode in Microsoft Registration Campaigns festlegen. Nutzer könnten jedoch eine schlechte oder verwirrende Erfahrung machen, wenn sie Passkey-Profilbeschränkungen haben.

Beispiel:

Ist ein Nutzer nur für bestimmte per AAGUID synchronisierte Passkeys vorgesehen, sieht er möglicherweise einen Passkey-Erinnerungshinweis bei der Anmeldung. Versucht er, einen gerätgebundenen Passkey zu registrieren, schlägt die Registrierung fehl, da er für diesen Passkey-Typ nicht berechtigt ist.

Empfohlene nächste Schritte

  • Überprüfen Sie den Zustand Ihrer Registration Campaign bis Anfang April 2026.
  • Informieren Sie Helpdesk- oder Support-Teams über diese Änderung.
  • Aktualisieren Sie interne Dokumentationen zur Anmeldung mit Authentifizierungsmethoden.
  • Wenn Sie weiterhin Microsoft Authenticator anvisieren wollen, verifizieren Sie diese Konfiguration vor dem Rollout.

Weitere Informationen: Wie man Passkey (FIDO2) Profile in Microsoft Entra ID aktiviert (Preview) | Authentication | Microsoft Entra ID | Microsoft Entra | Microsoft Learn

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH