Noch ein kleiner Nachtrag für Administratoren von Unternehmens-IT-Umgebungen, sofern das noch unbekannt sein sollte. Microsoft beginnt mit der Realisierung einer Phishing-resistenten Windows-Anmeldung durch Microsoft Entra-Passkeys. Die neue Funktion ermöglicht eine passwortlose Anmeldung über Windows Hello und wird ab Mitte März 2026 schrittweise ausgerollt.
Ich hatte bereits im Januar 2026 im Beitrag MC1221452: Microsoft Entra ID Auto-enabling passkey Profile ab März 2026 darauf hingewiesen, dass Microsoft ab März 2026 Passkey-Profile in Entra ID aktiviert. Zum 9. März 2026 hat Microsoft dann im Microsoft 365 Admin-Center die Meldung MC1247893 – Microsoft Entra passkeys on Windows now support phishing-resistant sign-in ergänzt, in der die neue Funktion zur Phishing-resistenten Anmeldung erläutert wird.
Derzeit (Mitte März 2026) beginnt die öffentliche Vorschau (Public Preview) von Microsoft Entra-Passkeys, was eine eine phishing-sichere, passwortlose Anmeldung über Windows Hello bei durch Entra geschützten Ressourcen, einschließlich nicht verwalteter Geräte, ermöglichen soll.
Administratoren in Unternehmen müssen sich für diese Funktion anmelden und Richtlinien konfigurieren. Denn ohne Aktivierung ergeben sich andernfalls keine Auswirkungen, teilt Microsoft mit.
Sobald Microsoft Entra-Passkeys unter Windows entsprechend konfiguriert wurde, können Benutzer gerätegebundene Passkeys erstellen. Diese werden im Windows Hello-Container gespeichert. Das neue Feature ermöglicht den Nutzern sich mithilfe von Windows Hello-Methoden (Gesichtserkennung, Fingerabdruck oder PIN) am Gerät zu authentifizieren.
Außerdem wird die passwortlose Authentifizierung auf Windows-Geräte ausgeweitet, die nicht mit Entra verbunden oder registriert sind. Microsoft schreibt, dass Unternehmen dadurch die Sicherheit verbessern und die Abhängigkeit von Passwörtern verringern können. Microsoft hat dazu folgende Zeitangaben veröffentlicht:
- Öffentliche Vorschau: Einführung von Mitte März 2026 bis Ende April 2026
- Allgemeine Verfügbarkeit: Mitte März 2026 bis Mitte April 2026
- GCC: Mitte April 2026 bis Mitte Mai 2026
- GCC High: Mitte April 2026 bis Mitte Mai 2026
- DoD: Mitte April 2026 bis Mitte Mai 2026
Betroffen sind Organisationen, die Microsoft Entra ID verwenden und deren Benutzer sich über Windows-Geräte anmelden. Das betrifft auch verwaltete, private und gemeinsam genutzte PCs.
- Benutzer können Passkeys auf Windows-Geräten verwenden, die nicht mit Entra verbunden oder registriert sind. Dies ermöglicht die Nutzung auf privaten, gemeinsam genutzten und nicht verwalteten PCs.
- Benutzer können sich auf demselben Windows-Gerät bei mehreren Entra-Konten anmelden, wobei jedes Konto seinen eigenen Passkey registriert.
- Passkeys unter Windows sind gerätegebunden und werden nicht geräteübergreifend synchronisiert; jedes Gerät erfordert eine separate Registrierung pro Entra-Konto.
- Windows Hello for Business wird weiterhin für verwaltete, mit Entra verbundene oder registrierte Geräte empfohlen; Passkeys ergänzen Szenarien mit nicht verwalteten Geräten und unterstützen keine Geräteanmeldung.
Bestehende Richtlinien für bedingten Zugriff und Authentifizierungsstärke gelten weiterhin ohne erforderliche Konfigurationsänderungen, es sei denn, Sie entscheiden sich für die Aktivierung von Passkeys.
Benutzer können unter Windows keinen Passkey registrieren, wenn für dasselbe Konto und denselben Container bereits Anmeldeinformationen für Windows Hello for Business vorhanden sind. Diese Sperre gilt möglicherweise nicht mehr, sobald der Benutzer insgesamt mehr als 50 Anmeldeinformationen über Passkeys (FIDO2), Windows Hello for Business und Mac-Plattform-Anmeldeinformationen hinweg überschreitet.
Administratoren, die Entra-Passkeys unter Windows während der öffentlichen Preview aktivieren möchten, müssen die Authentifizierungsmethode "Passkeys (FIDO2)" in den Richtlinien für Authentifizierungsmethoden aktivieren. Details zur Konfiguration sind unter MC1247893 – Microsoft Entra passkeys on Windows now support phishing-resistant sign-in nachlesbar.
MVP: 2013 – 2016
