Nach weiterer Prüfung haben wir uns entschieden, diese Änderung derzeit nicht weiterzuverfolgen. Sie können unter MC1279092 Updates entnehmen. Wir entschuldigen uns für etwaige Unannehmlichkeiten und danken für Ihr Verständnis.
[Einführung]
Wie zuvor in MC1221452 angekündigt, unterstützen Microsoft Registration Campaigns ab Anfang April 2026 Passkeys (FIDO2) als zusätzliche Authentifizierungsmethode. Dieses Update hilft Organisationen, die Einführung phishing-resistenter Anmeldeinformationen zu beschleunigen, indem Administratoren die Möglichkeit erhalten, Nutzer für Passkeys zu aktivieren und Passkey-Registrierungsbenachrichtigungen während der Anmeldung auszuliefern.
Bitte beachten Sie Updates in MC1279092.
[Zeitplan]
Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Anfang April 2026 und wird voraussichtlich bis Ende Mai 2026 abgeschlossen sein.
[Auswirkungen auf Ihre Organisation]
Betroffene Nutzergruppen
- Microsoft 365-Mandanten, die Microsoft Registration Campaigns verwenden
- Mandanten, die sich im Microsoft-managed oder Enabled Status befinden
- Nutzer, die MFA-fähig sind und für Passkeys (FIDO2) zugelassen sind
Was passiert
Microsoft-managed Status
Ihr Mandant ist betroffen, wenn alle folgenden Bedingungen erfüllt sind:
- Die Richtlinie für Passkeys (FIDO2) als Authentifizierungsmethode ist aktiviert.
- Selbstbedienungseinrichtung zulassen ist aktiviert.
- Bestimmte AAGUIDs ansprechen ist nicht ausgewählt (keine AAGUID-Einschränkungen konfiguriert).
- Der Status der Authentication Methods Registration Campaign ist auf Microsoft-managed gesetzt.
Wenn diese Bedingungen erfüllt sind, werden die folgenden Einstellungen automatisch angepasst:
- Die anvisierte Authentifizierungsmethode ändert sich von Microsoft Authenticator zu Passkeys (FIDO2).
- Erlaubte Snooze-Tage werden von drei Tagen auf einen Tag reduziert. (Diese Einstellung ist künftig nicht mehr konfigurierbar.)
- Limit für Anzahl der Snoozes wird deaktiviert. (Diese Einstellung ist künftig nicht mehr konfigurierbar.)
- Die Zielgruppe wird auf alle MFA-fähigen Nutzer ausgeweitet. (Diese Einstellung ist künftig nicht mehr konfigurierbar.)
- Die Standardzielgruppe ändert sich von Nutzern mit Sprachanruf oder SMS auf alle MFA-fähigen Nutzer.
Betroffene Nutzer erhalten bei der Anmeldung nach Abschluss der MFA eine Passkey-Registrierungsbenachrichtigung.
Wir werden diese Änderungen schrittweise bei den in-scope-Mandanten ausrollen.
Enabled Status
Passkeys (FIDO2) können als Anvisierte Authentifizierungsmethode ausgewählt werden, wenn Microsoft Registration Campaigns sich im Enabled-Status befinden.
Hinweis: Registration Campaigns unterstützen jeweils nur eine Authentifizierungsmethode gleichzeitig – entweder Microsoft Authenticator oder Passkeys (FIDO2), aber nicht beides parallel.
[Vorbereitungsmöglichkeiten]
Aktivierung von Passkey-Registrierungsbenachrichtigungen:
Sie können Passkeys aktivieren und Ihre Nutzer auf die Anzeige von Passkey-Registrierungsbenachrichtigungen umstellen. Die Benachrichtigung wird einem Nutzer jedoch nur angezeigt, wenn alle der folgenden Bedingungen erfüllt sind:
- Der Nutzer ist MFA-fähig
- Er hat mindestens eine registrierte MFA-Methode
- Er kann die MFA-Anmeldung erfolgreich durchführen
- Unter Authentifizierungsmethoden > Richtlinien ist der Nutzer für Passkeys (FIDO2) im Scope
- Unter Authentifizierungsmethoden > Richtlinien > Passkeys (FIDO2) > Konfigurieren ist Selbstbedienungseinrichtung zulassen aktiviert
Wichtige Hinweise:
Microsoft-managed Status:Diese Änderungen werden wir ab Anfang April schrittweise für die in-scope Mandanten ausrollen. Der Rollout wird Zeit in Anspruch nehmen, und auch wenn Ihr Mandant die Voraussetzungen erfüllt, können die Änderungen nicht sofort sichtbar sein.
Enabled Status
Im Laufe der Zeit werden wir die Logik für Passkey-Benachrichtigungen in Microsoft Registration Campaigns kontinuierlich verbessern, um Nutzer basierend auf ihrem spezifischen Passkey-Profil gezielter zu der passenden Registrierungserfahrung zu führen. Anfangs berücksichtigt die Logik möglicherweise nicht alle Randfälle, jedoch wird sie laufend erweitert und optimiert. Wenn Nutzer einschränkende Passkey-Profilbeschränkungen haben (z. B. AAGUID-Einschränkungen), ist die durch die Benachrichtigung ausgelöste Registrierungserfahrung möglicherweise nicht ideal.
Passkeys trotz Einschränkungen verwenden
Sie können weiterhin Passkeys als Zielauthentifizierungsmethode in Microsoft Registration Campaigns setzen. Nutzer könnten jedoch eine ungünstige oder verwirrende Erfahrung machen, falls sie Profilbeschränkungen haben.
Beispiel:
Wenn ein Nutzer nur für bestimmte AAGUID-synchronisierte Passkeys im Scope ist, kann er bei der Anmeldung eine Passkey-Benachrichtigung sehen. Versucht er dann, einen gerätegebundenen Passkey zu registrieren, schlägt die Registrierung fehl, da dieser Passkey-Typ nicht zulässig ist.
Empfohlene nächste Schritte
- Prüfen Sie den Status Ihrer Registration Campaign bis spätestens Anfang April 2026.
- Informieren Sie Helpdesk- oder Support-Teams über diese Änderung.
- Aktualisieren Sie interne Dokumentationen zur Anmeldung mit Authentifizierungsmethoden.
- Falls Sie weiterhin Microsoft Authenticator ansprechen möchten, prüfen Sie diese Einstellung vor dem Rollout.
Weitere Informationen: So aktivieren Sie Passkey (FIDO2)-Profile in Microsoft Entra ID (Preview) | Authentication | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
