Noch ein kleiner Nachtrag für Administratoren von Unternehmens-IT-Umgebungen, sofern das noch unbekannt sein sollte. Microsoft beginnt mit der Realisierung einer Phishing-resistenten Windows-Anmeldung durch Microsoft Entra-Passkeys. Die neue Funktion ermöglicht eine passwortlose Anmeldung über Windows Hello und wird ab Mitte März 2026 schrittweise ausgerollt.
Ich hatte bereits im Januar 2026 im Beitrag MC1221452: Microsoft Entra ID Auto-enabling passkey Profile ab März 2026 darauf hingewiesen, dass Microsoft ab März 2026 Passkey-Profile in Entra ID aktiviert. Zum 9. März 2026 hat Microsoft dann im Microsoft 365 Admin-Center die Meldung MC1247893 – Microsoft Entra passkeys on Windows now support phishing-resistant sign-in ergänzt, in der die neue Funktion zur Phishing-resistenten Anmeldung erläutert wird.
Derzeit (Mitte März 2026) beginnt die öffentliche Vorschau (Public Preview) von Microsoft Entra-Passkeys, was eine eine phishing-sichere, passwortlose Anmeldung über Windows Hello bei durch Entra geschützten Ressourcen, einschließlich nicht verwalteter Geräte, ermöglichen soll.
Administratoren in Unternehmen müssen sich für diese Funktion anmelden und Richtlinien konfigurieren. Denn ohne Aktivierung ergeben sich andernfalls keine Auswirkungen, teilt Microsoft mit.
Sobald Microsoft Entra-Passkeys unter Windows entsprechend konfiguriert wurde, können Benutzer gerätegebundene Passkeys erstellen. Diese werden im Windows Hello-Container gespeichert. Das neue Feature ermöglicht den Nutzern sich mithilfe von Windows Hello-Methoden (Gesichtserkennung, Fingerabdruck oder PIN) am Gerät zu authentifizieren.
Außerdem wird die passwortlose Authentifizierung auf Windows-Geräte ausgeweitet, die nicht mit Entra verbunden oder registriert sind. Microsoft schreibt, dass Unternehmen dadurch die Sicherheit verbessern und die Abhängigkeit von Passwörtern verringern können. Microsoft hat dazu folgende Zeitangaben veröffentlicht:
- Öffentliche Vorschau: Einführung von Mitte März 2026 bis Ende April 2026
- Allgemeine Verfügbarkeit: Mitte März 2026 bis Mitte April 2026
- GCC: Mitte April 2026 bis Mitte Mai 2026
- GCC High: Mitte April 2026 bis Mitte Mai 2026
- DoD: Mitte April 2026 bis Mitte Mai 2026
Betroffen sind Organisationen, die Microsoft Entra ID verwenden und deren Benutzer sich über Windows-Geräte anmelden. Das betrifft auch verwaltete, private und gemeinsam genutzte PCs.
- Benutzer können Passkeys auf Windows-Geräten verwenden, die nicht mit Entra verbunden oder registriert sind. Dies ermöglicht die Nutzung auf privaten, gemeinsam genutzten und nicht verwalteten PCs.
- Benutzer können sich auf demselben Windows-Gerät bei mehreren Entra-Konten anmelden, wobei jedes Konto seinen eigenen Passkey registriert.
- Passkeys unter Windows sind gerätegebunden und werden nicht geräteübergreifend synchronisiert; jedes Gerät erfordert eine separate Registrierung pro Entra-Konto.
- Windows Hello for Business wird weiterhin für verwaltete, mit Entra verbundene oder registrierte Geräte empfohlen; Passkeys ergänzen Szenarien mit nicht verwalteten Geräten und unterstützen keine Geräteanmeldung.
Bestehende Richtlinien für bedingten Zugriff und Authentifizierungsstärke gelten weiterhin ohne erforderliche Konfigurationsänderungen, es sei denn, Sie entscheiden sich für die Aktivierung von Passkeys.
Benutzer können unter Windows keinen Passkey registrieren, wenn für dasselbe Konto und denselben Container bereits Anmeldeinformationen für Windows Hello for Business vorhanden sind. Diese Sperre gilt möglicherweise nicht mehr, sobald der Benutzer insgesamt mehr als 50 Anmeldeinformationen über Passkeys (FIDO2), Windows Hello for Business und Mac-Plattform-Anmeldeinformationen hinweg überschreitet.
Administratoren, die Entra-Passkeys unter Windows während der öffentlichen Preview aktivieren möchten, müssen die Authentifizierungsmethode "Passkeys (FIDO2)" in den Richtlinien für Authentifizierungsmethoden aktivieren. Details zur Konfiguration sind unter MC1247893 – Microsoft Entra passkeys on Windows now support phishing-resistant sign-in nachlesbar.
MVP: 2013 – 2016
Für mein laienhaftes Verständnis: Es ist passwortlos, aber ich brauche eine PIN? (Wenn ich biometrische Verfahren nicht möchte.) Eine PIN ist kein — noch dazu sehr eingeschränktes — Passwort? Was verstehe ich nicht?
Die PIN schaltet nur den Zugriff auf das "lange Passwort" bzw. Passphrase, welche auf deinem Gerät gespeichert ist frei.
Du kannst dich also nicht irgendwo mit der PIN einfach anmelden.
Vergleiche eine Bankkarte, darauf ist auch ein schlüsselabgelegt der aber nur mit der PIN freigeschaltet werden kann und andersrum kannst du nur mit der PIN aber ohne die Karte auf der der Schlüssel ist, kein Geld abholen.
Hallo,
das schon, aber mit dem Handy und dem PIN 1234 kann er quasi dann "leicht" zugreifen :) Verstehe es auch noch nicht ganz.
Grüße
Via Windows Hellau kann ich mich derzeit an Windows wahlweise biometrisch oder mit PIN anmelden und erhalte Gerätezugriff. Zukünftig gebe ich dann damit nur den Passkey frei, der mich dann ins System läßt, oder wie darf ich mir das vorstellen? Wie erhöht diese 8-stellige PIN dann die Systemsicherheit mittels Passkeys?
Du kannst die WHfB PIN-Komplexität ja durchaus auch vorgeben. Von 4-127 Zeichen mit oder ohne Großbuchstabe, Kleinbuchstabe, Zahl, Sonderzeichen ist möglich. Idealerweise spielt der User hier mit und hat dann nicht auf jedem Gerät die gleiche PIN oder er hat nur ein Gerät. ;)
Sollte die PIN vergessen werden und der Passkey für WHfB nicht funktionieren, gibt es ja die Option die PIN zu resetten oder sich ein Temporary Access Pass (von der IT) ausstellen zu lassen.
Cool. Es warten hier einige Nitrokeys und YubiKeys auf diesen Einsatz.
Gedanke der hier fehlt:
Mitarbeiter wie Sekretare die für die Firma Zugänge haben die bei Mitarbeiterwechsel auch übergeben werden müssen. Oder gibt es hier eine technische Lösung dafür?