General Availability: Microsoft Entra Passkeys unter Windows

Veröffentlicht am

16

.

04

.

2026

Aktualisiert am

17

.

04

.

2026

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Entra Passkeys für Windows werden ab Ende April 2026 allgemein verfügbar sein und eine passwortlose, phishing-resistente Anmeldung auf Windows-Geräten ermöglichen, ohne dass eine explizite Anmeldung erforderlich ist. Dies unterstützt Unternehmens-, persönliche und gemeinsam genutzte Geräte, mit Administratorsteuerungen über Authentifizierungsmethoden-Richtlinien und Conditional Access. Es sind keine Maßnahmen erforderlich, es sei denn, eine Blockierung ist gewünscht.

[Einleitung]

Microsoft Entra Passkeys unter Windows werden bald allgemein verfügbar sein und ermöglichen eine phishing-resistente, passwortlose Anmeldung bei Microsoft Entra-geschützten Ressourcen von Windows-Geräten aus.

Die öffentliche Vorschau dieser Funktion wurde zuvor in MC1247893 angekündigt.

Benutzer können gerätegebundene Passkeys erstellen, die im Windows Hello-Container gespeichert werden, und sich mit Windows Hello-Methoden (Gesichtserkennung, Fingerabdruck oder PIN) authentifizieren. Dies erweitert die Unterstützung der passwortlosen Authentifizierung auf Windows-Geräte, die nicht mit Microsoft Entra verbunden oder registriert sind, und hilft Organisationen, die Sicherheit zu erhöhen und die Abhängigkeit von Passwörtern in unternehmensverwalteten, persönlichen und gemeinsam genutzten Geräteszenarien zu verringern.

[Zeitplan:]

  • Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Ende April 2026 und wird voraussichtlich bis Mitte Juni 2026 abgeschlossen sein.
  • Allgemeine Verfügbarkeit (GCC, GCC High, DoD): Der Rollout beginnt Anfang Juli 2026 und wird voraussichtlich bis Ende Juli 2026 abgeschlossen sein.

Auswirkungen auf Ihre Organisation:

Betroffene Nutzer:

Organisationen, die Microsoft Entra ID mit aktivierten Passkeys in der Authentication Methods-Richtlinie verwenden, deren Benutzer sich von Windows-Geräten anmelden, darunter:

  • Unternehmensverwaltete PCs
  • Private Geräte
  • Gemeinsame Geräte

Was passiert:

Mit dieser allgemeinen Verfügbarkeit:

  • Microsoft Entra Passkeys unter Windows benötigen keine explizite Anmeldung mehr über die Zulassung von Windows Hello AAGUIDs in einem Passkey (FIDO2) Profil.
  • Dies stellt eine Änderung gegenüber dem Verhalten der öffentlichen Vorschau dar, bei der Administratoren explizit Windows Hello AAGUIDs in einem Passkey-Profil zulassen mussten, damit Microsoft Entra Passkeys unter Windows funktionierten.
  • Wenn Ihr Passkey-Profil gerätespezifische, nicht attestierte Passkeys zulässt:
    • Benutzer, die diesem Profil zugewiesen sind, können nun standardmäßig Microsoft Entra Passkeys unter Windows registrieren und verwenden, ohne dass zusätzliche Administrator-Konfiguration erforderlich ist.
  • Folglich:
    • Benutzer in Geltungsbereich von Passkey-Profilen, die gerätegebundene, nicht attestierte Passkeys erlauben, können beginnen, Passkeys auf Windows-Geräten zu registrieren und zu verwenden.
    • Wenn Conditional Access-Richtlinien dies erlauben:
      • Passkeys können auf Windows-Geräten erstellt und verwendet werden, die nicht mit Microsoft Entra verbunden oder registriert sind, einschließlich privater oder gemeinsam genutzter PCs.
  • Jedes Windows-Gerät benötigt eine separate Passkey-Registrierung pro Entra-Konto.
  • Windows Hello for Business bleibt für verwaltete, mit Microsoft Entra verbundene oder registrierte Geräte empfohlen.
  • Passkeys unter Windows ergänzen Szenarien für nicht verwaltete oder gemeinsam genutzte Geräte und unterstützen keine Geräteanmeldung.
  • Attestierung wird derzeit für Microsoft Entra Passkeys unter Windows nicht unterstützt, ist aber für ein zukünftiges Update geplant.

Vorbereitungsmöglichkeiten:

Für die meisten Organisationen ist keine Maßnahme erforderlich.

Wenn Sie nicht möchten, dass Benutzer Microsoft Entra Passkeys unter Windows registrieren oder verwenden:

  • Aktualisieren Sie das entsprechende Passkey (FIDO2) Profil, um Windows Hello AAGUIDs zu blockieren.
  • Überprüfen Sie bestehende Passkey-Profile, die gerätegebundene, nicht attestierte Passkeys erlauben.
  • Fügen Sie Windows Hello AAGUIDs zur Sperrliste in Passkey-Profilen hinzu, in denen Passkey-Nutzung auf Windows-Geräten nicht gestattet sein soll.

Weiterführende Informationen: Microsoft Entra Passkey unter Windows aktivieren | Microsoft Learn (wird vor dem GA-Rollout aktualisiert)

[Compliance-Aspekte:]

Compliance-Bereich: Ändert die Änderung Conditional Access-Richtlinien oder unterbricht bzw. deaktiviert sie diese?
Erklärung: Bestehende Conditional Access-Richtlinien regeln weiterhin, ob Passkeys auf nicht verwalteten Windows-Geräten erstellt oder verwendet werden können.

Compliance-Bereich: Enthält die Änderung eine Administratorkontrolle und lässt sie sich über die Entra ID-Gruppenmitgliedschaft steuern?
Erklärung: Administratoren können die Verfügbarkeit von Passkeys über Authentication Methods-Richtlinien und FIDO2 Passkey-Profile steuern, die auf Microsoft Entra ID-Gruppen angewendet werden.

Compliance-Bereich: Ermöglicht die Änderung Benutzern, die Funktion selbst zu aktivieren oder zu deaktivieren?
Erklärung: Benutzer können Microsoft Entra Passkeys auf Windows-Geräten registrieren, wenn dies durch die Administratorrichtlinie erlaubt ist.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH