Microsoft Entra Passkeys unter Windows werden demnächst allgemein verfügbar sein und ermöglichen eine phishing-resistente, kennwortlose Anmeldung bei Microsoft Entra-geschützten Ressourcen von Windows-Geräten aus.
Die Public Preview dieser Funktion wurde zuvor in MC1247893 angekündigt.
Benutzer können gerätegebundene Passkeys erstellen, die im Windows Hello-Container gespeichert werden, und sich mit Windows Hello-Methoden (Gesichtserkennung, Fingerabdruck oder PIN) authentifizieren. Dies erweitert die Unterstützung der kennwortlosen Authentifizierung auf Windows-Geräte, die nicht Microsoft Entra-verbunden oder registriert sind. So helfen wir Organisationen, die Sicherheit zu erhöhen und die Abhängigkeit von Kennwörtern in Szenarien mit firmenverwalteten, persönlichen und gemeinsam genutzten Geräten zu reduzieren.
Wann dies geschieht:
- Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Ende April 2026 und soll bis Mitte Juni 2026 abgeschlossen sein.
- Allgemeine Verfügbarkeit (GCC, GCC High, DoD): Der Rollout startet Anfang September 2026 (zuvor Anfang Juli) und soll bis Ende September 2026 (zuvor Ende Juli) abgeschlossen sein.
Auswirkungen auf Ihre Organisation:
Betroffene:
Organisationen, die Microsoft Entra ID mit in der Authentifizierungsmethoden-Richtlinie aktivierten Passkeys nutzen und deren Benutzer sich von Windows-Geräten aus anmelden. Dazu gehören:
- Firmenverwaltete PCs
- Private Geräte
- Gemeinsam genutzte Geräte
Was passiert:
Mit dieser allgemeinen Verfügbarkeitsversion:
- Microsoft Entra Passkeys unter Windows benötigen keine explizite Opt-in durch eine Windows Hello AAGUID-Allowlist in einem Passkey (FIDO2)-Profil mehr.
- Dies stellt eine Änderung gegenüber dem Verhalten der Public Preview dar, bei der Administratoren Windows Hello AAGUIDs explizit in einem Passkey-Profil erlauben mussten, damit Microsoft Entra Passkeys unter Windows funktionieren.
- Wenn Ihr Passkey-Profil gerätegebundene, nicht attestierte Passkeys zulässt:
- Benutzer, die diesem Profil zugeordnet sind, können Microsoft Entra Passkeys unter Windows nun standardmäßig ohne weitere Administratoraktionen registrieren und nutzen.
- Folglich:
- Benutzer in der Geltungsbereich von Passkey-Profilen, die gerätegebundene, nicht attestierte Passkeys zulassen, können beginnen, Passkeys auf Windows-Geräten zu registrieren und zu verwenden.
- Sofern Conditional Access-Richtlinien dies zulassen:
- Passkeys können auf Windows-Geräten erstellt und verwendet werden, die nicht Microsoft Entra-verbunden oder registriert sind, einschließlich persönlicher oder gemeinsam genutzter PCs.
- Jedes Windows-Gerät erfordert eine separate Passkey-Registrierung pro Entra-Konto.
- Windows Hello for Business bleibt für verwaltete, Microsoft Entra-verbundene oder registrierte Geräte empfohlen.
- Passkeys unter Windows ergänzen Szenarien mit nicht verwalteten oder gemeinsam genutzten Geräten, unterstützen jedoch keine Geräteanmeldung.
- Attestierung wird derzeit für Microsoft Entra Passkeys unter Windows nicht unterstützt, ist aber für ein zukünftiges Update geplant.
Was Sie zur Vorbereitung tun können:
Für die meisten Organisationen ist keine Aktion erforderlich.
Wenn Sie nicht möchten, dass Benutzer Microsoft Entra Passkeys unter Windows registrieren oder verwenden:
- Aktualisieren Sie das jeweilige Passkey (FIDO2)-Profil, um Windows Hello AAGUIDs zu blockieren.
- Überprüfen Sie vorhandene Passkey-Profile, die gerätegebundene, nicht attestierte Passkeys zulassen.
- Fügen Sie Windows Hello AAGUIDs der Blockliste in Passkey-Profilen hinzu, in denen die Nutzung von Passkeys auf Windows-Geräten nicht erlaubt sein soll.
Weitere Informationen: Microsoft Entra Passkey unter Windows aktivieren | Microsoft Learn (wird vor dem GA-Rollout aktualisiert)
Compliance-Aspekte:
Ändert sich die Steuerung von Conditional Access-Richtlinien?
Vorhandene Conditional Access-Richtlinien regeln weiterhin, ob Passkeys auf nicht verwalteten Windows-Geräten erstellt oder verwendet werden können.
Gibt es administrative Steuerungsmöglichkeiten, kontrollierbar über Entra ID-Gruppenmitgliedschaften?
Administratoren können die Verfügbarkeit von Passkeys über Authentication Methods-Richtlinien und FIDO2-Passkey-Profile steuern, die auf Microsoft Entra ID-Gruppen beschränkt sind.
Können Benutzer die Funktion selbst aktivieren oder deaktivieren?
Benutzer können Microsoft Entra Passkeys auf Windows-Geräten registrieren, sofern dies durch Administratorrichtlinien erlaubt ist.
