Die Einführung von Passkeys (FIDO2) in Microsoft Entra ID ermöglicht eine neue Ära der sicheren, benutzerfreundlichen Authentifizierung. Aber wie gelingt der Übergang von klassischen Passwörtern hin zu einer modernen Passkey-Infrastruktur in der Praxis?
Technische Umsetzung des Rollouts
Damit die Passkey-Authentifizierung genutzt werden kann, müssen Unternehmen einige zentrale Schritte umsetzen:
- Aktivierung der Passkey-Authentifizierungsmethode im Microsoft Entra Admin Center unter „Authentifizierungsmethoden“.
- Konfiguration von Self-Service-Registrierung, damit Nutzer eigenständig Passkeys anlegen können.
- Optional: Durchsetzung von Attestierung für Geräteverifikation und Einschränkung auf bestimmte Sicherheitsschlüssel (über AAGUID-Filter), um nur vertrauenswürdige Geräte zuzulassen.
Provisionierung von FIDO2-Token
Die einfache Benutzerregistrierung ist entscheidend für den Erfolg. Zwei Varianten sind zu unterscheiden:
- Same-Device-Registration: Passkey wird direkt auf dem Endgerät (Smartphone) eingerichtet mit dem eine Anmledung durchgeführt wird.
Cross-Device-Registration: Passkey Registrierung wird auf einem Endgerät wie z.B. Notebook angefragt und auf einem anderen Gerät wie z.B. Smartphone registriert. Die Kopplung erfolgt via Bluetooth und dem Scannen eines QR-Code.
Zentrale Provisionierung per Graph API
Admins können FIDO2-Token (z. B. von Yubico, Swissbit, Feitian oder anderen Anbietern) vorkonfigurieren und den Nutzern fertig bereitstellen – automatisiert und sicher. Damit entfällt die individuelle, fehleranfällige Registrierung durch den Endanwender.
Häufige Stolpersteine und Best Practices
Herausforderungen:
- Unvollständige Geräteunterstützung auf älteren Betriebssystemen (z. B. Windows 10 < 1903)
- Nicht korrekt konfigurierte Schlüsselrichtlinien (z. B. fehlende AAGUID-Filter), wenn nur bestimmte FIDO2-Token eines Herstellers registriert werden sollen
- Unsichere BYOD-Geräte ( Passkeys können zwar auch auf BYOD-Geräten oder in privaten Clouds gespeichert werden, dennoch sollten Unternehmen klare Sicherheitsrichtlinien für den Einsatz unverwalteter Geräte definieren.)
Best Practices:
- Device-bound Passkeys als Standard für sensible Accounts nutzen
- Pilotphase mit technikaffinen Nutzergruppen starten
- Fallback-Mechanismen (z. B. Backup-Authentifikatoren) einplanen
- Monitoring & Reporting aktivieren, um Anmeldeversuche mit veralteten Methoden zu erkennen
- Self-Service-Portale für Gerätewechsel und Recovery bereitstellen
Plattformen wie OpenText Advanced Authentication, HID DigitalPersona, oder Veridium bieten hier wertvolle Erweiterungen, z. B. das zentrale Management von Authentifikatoren und Recovery-Prozessen.
Zukunftsausblick: Synced Passkeys
Microsoft treibt die Unterstützung synchronisierter Passkeys in Microsoft Entra ID weiter voran. Diese cloudbasierten Passkeys werden sicher gespeichert und automatisch zwischen Geräten synchronisiert – ähnlich wie bei Apple iCloud Keychain oder dem Google Passwortmanager. Dadurch wird die Benutzerfreundlichkeit nochmals deutlich verbessert, gleichzeitig steigen jedoch die Anforderungen an Sicherheit, Datenschutz und Compliance.
Unternehmen sollten sich frühzeitig auf hybride Szenarien vorbereiten, in denen device-bound Passkeys (also an ein bestimmtes Gerät gebunden) und synchronisierte Passkeys nebeneinander existieren. Für beide Varianten sind jeweils klare Richtlinien, Risikobewertungen und Zugriffsstrategien erforderlich.
Aktueller Stand (Herbst 2025)
Mit Windows 11 hat Microsoft die Unterstützung für synchronisierte Passkeys auf Betriebssystemebene eingeführt. Aktuell können im Microsoft Entra ID-Umfeld jedoch ausschließlich gerätegebundene Passkeys verwendet werden.
Eine vollständige Implementierung der synced Passkeys für Entra ID-Konten wird voraussichtlich mit dem kommenden Jahres-Update 25H2 erfolgen. Ein konkretes Datum steht derzeit noch nicht fest.
Quellen: Windows Developer Blog – “Passkeys on Windows” · Microsoft TechCommunity – Expanding Passkey Support in Entra ID
Fazit
Ein erfolgreicher Passkey-Rollout in Microsoft Entra ID setzt eine durchdachte Strategie voraus: von der Auswahl geeigneter Token und Authenticator-Apps bis zur Definition klarer Recovery-Prozesse.
IAM-Plattformen wie OpenText Advanced Authentication,HID DigitalPersona oder Veridium unterstützen Unternehmen dabei, eine flexible, skalierbare und hochsichere Umgebung zu schaffen – und machen den Weg frei für eine passwortlose Zukunft.
Lassen Sie sich unverbindlich beraten!
Sie haben Fragen oder möchten die beste Lösung für Ihr Unternehmen finden? Unsere Experten stehen Ihnen zur Seite.