Microsoft Entra: Update zu Passkeys in Registrierungs-Kampagnen

Veröffentlicht am

13

.

04

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Entra wird Passkeys (FIDO2) weiterhin in den Zuständen „Enabled“ und „Microsoft-managed“ für Registrierungs-Kampagnen unterstützen. Die weltweite Einführung erfolgt von Mitte Mai bis Ende Juni 2026. Berechtigte Mandanten erhalten automatische Updates der Kampagneneinstellungen und Erinnerungen zur Passkey-Registrierung nach MFA, ohne dass sofortiges Handeln erforderlich ist.

[Einführung]

Frühere Mitteilungen deuteten auf eine Kursänderung hin; Microsoft wird jedoch weiterhin die Unterstützung für Passkeys (FIDO2) im Aktivierten Zustand innerhalb von Registrierungskampagnen hinzufügen. Dies ist die endgültige Ausrichtung und entspricht unserer langfristigen Strategie zur Einführung von Passkeys.

Wir nehmen eine Aktualisierung der Unterstützung für Passkeys (FIDO2) in den Microsoft Entra Authentication Methods Registration Campaigns vor.

Passkeys (FIDO2) werden weiterhin auf die allgemeine Verfügbarkeit als die angestrebte Authentifizierungsmethode für Registrierungskampagnen im Aktivierten Zustand voranschreiten, wie zuvor in MC1253746 kommuniziert.

Passkeys (FIDO2) werden zudem als angestrebte Authentifizierungsmethode für Registrierungskampagnen im Microsoft-verwalteten Zustand für Mandanten eingeführt, die unsere Kriterien erfüllen.

[Wann dies geschieht]

  • Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Mitte Mai 2026 im Microsoft-verwalteten Zustand und soll bis Ende Juni 2026 abgeschlossen sein.

[Wie sich dies auf Ihre Organisation auswirkt]

Wer ist betroffen

  • Microsoft Entra Mandanten, die Authentication Methods Registration Campaigns nutzen
  • Mandanten, bei denen Passkeys (FIDO2) aktiviert sind
  • Nur Mandanten, die die unten beschriebenen Microsoft-verwalteten Anspruchsvoraussetzungen erfüllen

Was wird passieren

Aktivierter Zustand

  • Passkeys (FIDO2) werden als angestrebte Authentifizierungsmethode für Registrierungskampagnen im Aktivierten Zustand unterstützt.
  • Im Laufe der Zeit werden wir die Logik für Passkey-Erinnerungen in Microsoft Registrierungskampagnen schrittweise verfeinern, um Benutzer basierend auf ihrem Passkey-Profilumfang zu einer geeigneten Passkey-Registrierungserfahrung zu führen. Anfangs berücksichtigt die Logik möglicherweise keine Randfallszenarien bei Profilbeschränkungen, doch wir erweitern und verbessern sie kontinuierlich. Wenn Nutzer Passkey-Profilbeschränkungen haben (z. B. nur gerätegebundene Passkeys erlaubt), ist die durch die Erinnerung ausgelöste Registrierungserfahrung möglicherweise nicht optimal.

Microsoft-verwalteter Zustand

  • Passkeys (FIDO2) werden als angestrebte Authentifizierungsmethode im Microsoft-verwalteten Zustand für berechtigte Mandanten eingeführt.

Mandanten sind betroffen, wenn alle folgenden Bedingungen erfüllt sind:

  • Die Richtlinie für die Authentifizierungsmethode Passkeys (FIDO2) ist Aktiviert.
  • Self-Service Setup zulassen ist Aktiviert.
  • Bestimmte AAGUIDs anvisieren ist nicht ausgewählt (keine AAGUID-Einschränkungen konfiguriert).
  • Der Zustand der Authentication Methods Registration Campaign ist auf Microsoft-verwaltet gesetzt.
  • Der Mandant hat mindestens einen Nutzer, der für sowohl synchronisierte als auch gerätegebundene Passkeys aktiviert ist.

Nur Nutzer, die für sowohl synchronisierte als auch gerätegebundene Passkeys aktiviert sind und keine Passkey-Profilbeschränkungen konfiguriert haben (z. B. Attestierungsanforderungen oder AAGUID-Einschränkungen), erhalten bei der Anmeldung eine Passkey-Registrierungserinnerung.

Für betroffene Mandanten werden die folgenden Einstellungen der Registrierungskampagne automatisch aktualisiert:

  • Die angestrebte Authentifizierungsmethode ändert sich von Microsoft Authenticator zu Passkeys (FIDO2).
  • Die erlaubte Anzahl der Tage zum Aufschieben ändert sich von 3 Tagen auf 1 Tag (nicht mehr konfigurierbar).
  • Die begrenzte Anzahl an Aufschüben ändert sich von Aktiviert zu Deaktiviert (nicht mehr konfigurierbar).
  • Die Standardbenutzerzielgruppe ändert sich von Nutzern mit Sprachanruf oder SMS zu allen MFA-fähigen Nutzern.

Nach Inkrafttreten dieser Änderungen erhalten die Zielnutzer bei der Anmeldung nach Abschluss der Multi-Faktor-Authentifizierung Passkey-Registrierungserinnerungen.

Der Rollout erfolgt schrittweise über berechtigte Microsoft Entra Mandanten.

[Was Sie zur Vorbereitung tun können]

Derzeit sind keine Maßnahmen erforderlich.

Wenn Sie planen, Passkey-Registrierungserinnerungen zukünftig zu aktivieren:

  • Stellen Sie sicher, dass Nutzer für sowohl synchronisierte als auch gerätegebundene Passkeys aktiviert sind.
  • Entfernen Sie jegliche Passkey-Profilbeschränkungen (z. B. AAGUID- oder Attestierungsanforderungen).
  • Setzen Sie Ihre Authentication Methods Registration Campaign auf Microsoft-verwaltet oder Aktiviert.

[Compliance-Überlegungen]

Frage: Enthält die Änderung eine Administratorsteuerung, und kann sie über Microsoft Entra-Einstellungen verwaltet werden?

Antwort: Ja. Diese Änderung unterliegt den bestehenden Microsoft Entra Authentication Methods-Richtlinien und der Konfiguration der Authentication Methods Registration Campaign. Administratoren steuern, ob Passkey-Registrierungserinnerungen geliefert werden, indem sie Passkeys aktivieren, Self-Service-Setup konfigurieren und die Registrierungskampagne auf den Microsoft-verwalteten Zustand setzen.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH