Geschätzte Lesezeit: 7 Minuten
Passwörter gehören seit Jahren zu den größten Schwachstellen in der IT-Sicherheit. Sie werden wiederverwendet, gestohlen, erraten oder über Phishing-Seiten abgegriffen. Microsoft treibt deshalb die passwortlose Anmeldung in Microsoft Entra ID weiter voran. Ein besonders spannender Schritt ist der Microsoft Entra-Passkey unter Windows.
Damit können Benutzer Passkeys direkt im lokalen Windows Hello-Container ihres Windows-Geräts speichern und sich anschließend bei Microsoft Entra ID anmelden. Die Anmeldung erfolgt dann nicht mehr klassisch mit Passwort, sondern über Windows Hello, also beispielsweise per PIN, Fingerabdruck oder Gesichtserkennung. Microsoft beschreibt diese Funktion aktuell als öffentliche Vorschau, die explizit aktiviert und konfiguriert werden muss. (Microsoft Learn)
Was ist ein Entra-Passkey unter Windows?
Ein Passkey ist ein kryptografischer Anmeldenachweis auf Basis von FIDO2/WebAuthn. Statt eines Passworts wird ein Schlüsselpaar verwendet: Der private Schlüssel bleibt geschützt auf dem Gerät, während der öffentliche Schlüssel beim Dienst hinterlegt wird. Beim Login wird eine Challenge signiert, ohne dass ein Passwort übertragen oder eingegeben werden muss. (Microsoft Learn)
Bei Microsoft Entra-Passkeys unter Windows wird dieser FIDO2-Passkey direkt in Windows Hello gespeichert. Das bedeutet: Der Benutzer entsperrt den Passkey lokal über Windows Hello, etwa mit PIN, Fingerabdruck oder Gesichtserkennung, und nutzt ihn anschließend zur Anmeldung an Microsoft Entra ID. (Microsoft Learn)
Der große Vorteil: Das Gerät muss laut Microsoft dafür nicht zwingend in Microsoft Entra eingebunden oder registriert sein. Damit wird die Nutzung auch auf persönlichen, gemeinsam genutzten oder nicht vollständig verwalteten Windows-Geräten interessanter. (Microsoft Learn)
Warum sind Passkeys sicherer als Passwörter?
Passkeys gelten als phishingresistent, weil der private Schlüssel das Gerät nicht verlässt und an die jeweilige Website oder Anwendung gebunden ist. Ein Angreifer kann Benutzer also nicht einfach auf eine täuschend echte Login-Seite locken und dort ein Passwort abgreifen. Microsoft beschreibt Passkeys als Anmeldeinformationen, die gegenüber klassischen Passwörtern und phishbaren MFA-Methoden einen deutlichen Sicherheitsgewinn darstellen. (Microsoft Learn)
Zusätzlich entfällt ein typisches Problem vieler MFA-Verfahren: Benutzer müssen keine Codes abtippen oder Push-Benachrichtigungen bestätigen, die sie möglicherweise versehentlich freigeben. Die Anmeldung wird dadurch nicht nur sicherer, sondern oft auch komfortabler.
Unterschied zu Windows Hello for Business
Wichtig ist die Abgrenzung zu Windows Hello for Business. Beide Technologien verwenden Windows Hello, verfolgen aber unterschiedliche Zwecke.
Windows Hello for Business ist vor allem für verwaltete Unternehmensgeräte gedacht und wird häufig im Rahmen der Gerätebereitstellung eingerichtet. Es ermöglicht die Anmeldung am Gerät und Single Sign-On für Unternehmensressourcen.
Der Microsoft Entra-Passkey unter Windows ist dagegen ein FIDO2-Passkey für die Anmeldung an Microsoft Entra ID. Er kann auch ohne Gerätebeitritt oder Registrierung verwendet werden und wird über die Passkey- beziehungsweise FIDO2-Richtlinien in Microsoft Entra gesteuert. Microsoft weist ausdrücklich darauf hin, dass Entra-Passkeys unter Windows Windows Hello for Business nicht ersetzen. Für verwaltete Unternehmensgeräte bleibt Windows Hello for Business weiterhin die empfohlene Lösung. (Microsoft Learn)
Kurz gesagt:
| Funktion | Entra-Passkey unter Windows | Windows Hello for Business |
|---|---|---|
| Zweck | Anmeldung an Microsoft Entra ID | Geräteanmeldung und SSO |
| Gerät muss Entra-joined sein | Nein | Häufig ja beziehungsweise verwaltet |
| Standard | FIDO2-Passkey | Windows Hello for Business-Anmeldeinformation |
| Speicherung | Lokaler Windows Hello-Container | Windows Hello for Business-Konfiguration |
| Geräteanmeldung möglich | Nein | Ja |
| Verwaltung | Entra Authentication Methods / Passkey-Profile | Intune, Gruppenrichtlinien, Entra-Konfiguration |
Voraussetzungen
Für die Nutzung von Entra-Passkeys unter Windows nennt Microsoft unter anderem folgende Voraussetzungen:
- Windows 10 oder Windows 11
- Ein Gerät mit Windows Hello-Unterstützung
- Aktivierte Passkeys beziehungsweise FIDO2 in Microsoft Entra ID
- Passkey-Profile in Microsoft Entra
- Während der öffentlichen Vorschau: explizite Zulassung der Windows Hello AAGUIDs im Passkey-Profil
- Attestation Enforcement darf während der Vorschau für diese Windows Hello-Passkeys nicht aktiviert sein
- Key Restrictions müssen aktiviert sein (Microsoft Learn)
Gerade der Vorschau-Status ist wichtig: Administratoren sollten diese Funktion zunächst gezielt testen, bevor sie sie breit ausrollen.
Einrichtung in Microsoft Entra ID
Die Konfiguration erfolgt im Microsoft Entra Admin Center. Grundsätzlich müssen Administratoren Passkeys beziehungsweise FIDO2 als Authentifizierungsmethode aktivieren und die Self-Service-Registrierung erlauben. Microsoft beschreibt, dass Benutzer keine Passkeys über die Sicherheitsinformationen registrieren können, wenn die Self-Service-Einrichtung deaktiviert ist, selbst wenn Passkeys grundsätzlich in der Authentifizierungsmethoden-Richtlinie aktiviert wurden. (Microsoft Learn)
Ein typischer Ablauf sieht so aus:
- Anmeldung im Microsoft Entra Admin Center mit einer geeigneten Administratorrolle, zum Beispiel Authentication Policy Administrator.
- Navigation zu Entra ID > Security > Authentication methods > Policies.
- Auswahl von Passkey (FIDO2).
- Aktivierung beziehungsweise Konfiguration der Passkey-Profile.
- Aktivierung der Self-Service-Einrichtung.
- Erstellung oder Anpassung eines Passkey-Profils.
- Während der Vorschau: Zulassung der Windows Hello AAGUIDs.
- Sicherstellen, dass Attestation Enforcement für diese Konfiguration nicht erzwungen wird.
- Zielgruppe definieren, beispielsweise Pilotgruppe, IT-Team oder bestimmte Benutzergruppen.
Für produktive Umgebungen empfiehlt sich ein gestaffelter Rollout. Zuerst sollte eine kleine Pilotgruppe testen, ob Registrierung, Anmeldung, Wiederherstellung und Supportprozesse sauber funktionieren.
Typische Einsatzszenarien
Entra-Passkeys unter Windows sind besonders interessant für Unternehmen, die passwortlose Anmeldung breiter verfügbar machen möchten, ohne sofort alle Geräte vollständig verwalten zu müssen.
Sinnvolle Szenarien sind zum Beispiel:
- Benutzer arbeiten an persönlichen Windows-Geräten.
- Externe Mitarbeiter oder Partner benötigen sicheren Zugriff auf Entra-geschützte Ressourcen.
- Ein PC wird von mehreren Benutzern verwendet.
- Benutzer haben mehrere Microsoft Entra-Konten.
- Die Organisation möchte phishingresistente MFA für Cloud-Anwendungen einführen.
- Passwörter sollen langfristig reduziert oder abgeschafft werden.
Microsoft nennt als Anwendungsfall unter anderem nicht registrierte, persönliche oder gemeinsam genutzte Geräte, auf denen eine standardbasierte, phishingresistente Anmeldung an Microsoft Entra gewünscht ist. (Microsoft Learn)
Grenzen und bekannte Einschränkungen
So spannend die Funktion ist, sie hat klare Grenzen.
Erstens: Der Entra-Passkey unter Windows kann nicht zur lokalen Windows-Geräteanmeldung verwendet werden. Für die Anmeldung am Gerät bleibt Windows Hello for Business die relevante Unternehmenslösung. (Microsoft Learn)
Zweitens: Der Passkey ist gerätegebunden und wird lokal im Windows Hello-Container gespeichert. Er wird nicht über mehrere Geräte hinweg synchronisiert. Für jedes Gerät und jedes Microsoft Entra-Konto ist daher eine separate Registrierung notwendig. (Microsoft Learn)
Drittens: Während der öffentlichen Vorschau gelten zusätzliche Konfigurationsanforderungen. Dazu gehört insbesondere, dass Windows Hello AAGUIDs explizit zugelassen werden müssen. Außerdem wird Attestation für Entra-Passkeys unter Windows während der öffentlichen Vorschau nicht unterstützt. (Microsoft Learn)
Sicherheit: Was Administratoren beachten sollten
Passkeys sind ein großer Sicherheitsgewinn, ersetzen aber keine saubere Identity-Strategie. Unternehmen sollten deshalb klare Richtlinien definieren:
- Wer darf Passkeys registrieren?
- Welche Benutzergruppen starten im Pilotbetrieb?
- Welche Geräte- und Authenticator-Typen werden erlaubt?
- Wie läuft die Wiederherstellung bei Geräteverlust?
- Welche Conditional-Access-Richtlinien greifen?
- Welche Konten benötigen besonders starke Authentifizierung?
- Wie wird der Helpdesk auf Passkey-Probleme vorbereitet?
Für besonders privilegierte Konten kann es sinnvoll sein, weiterhin auf streng kontrollierte FIDO2-Sicherheitsschlüssel oder andere besonders abgesicherte Verfahren zu setzen. Microsoft empfiehlt FIDO2-Sicherheitsschlüssel vor allem für stark regulierte Umgebungen oder Benutzer mit erhöhten Rechten. (Microsoft Learn)
Fazit
Microsoft Entra-Passkeys unter Windows sind ein wichtiger Schritt in Richtung passwortlose und phishingresistente Anmeldung. Besonders interessant ist, dass Passkeys im lokalen Windows Hello-Container gespeichert werden können und Geräte dafür nicht zwingend Microsoft Entra-joined oder registriert sein müssen.
Damit wird die passwortlose Anmeldung flexibler: persönliche Geräte, gemeinsam genutzte PCs oder mehrere Entra-Konten auf einem Gerät lassen sich besser abbilden. Gleichzeitig sollten Unternehmen den aktuellen Vorschau-Status ernst nehmen und die Funktion zunächst kontrolliert testen.
Für IT-Administratoren ist klar: Passkeys werden in Microsoft-Umgebungen immer wichtiger. Wer heute eine moderne Zero-Trust-Strategie plant, sollte Entra-Passkeys unter Windows frühzeitig evaluieren. Sie ersetzen nicht Windows Hello for Business, ergänzen es aber sinnvoll in Szenarien, in denen klassische Geräteverwaltung nicht ausreicht oder nicht gewünscht ist.
Sei der Erste, der das kommentiert
Kommentare sind geschlossen, allerdings sind Trackbacks und Pingbacks möglich.