Aktivieren von Passkeys (FIDO2) für Ihre Organisation

  • Artikel

Passkeys (FIDO2) bieten Unternehmen, die aktuell Kennwörter verwenden, eine nahtlose Möglichkeit für Mitarbeitende, sich ohne Eingabe eines Benutzernamens oder Kennworts zu authentifizieren. Passkeys ermöglichen den Mitarbeitenden eine bessere Produktivität und bieten eine höhere Sicherheit.

In diesem Artikel sind die Anforderungen und Schritte zum Aktivieren von Passkeys in Ihrer Organisation aufgeführt. Nach Ausführung dieser Schritte können Benutzer in Ihrer Organisation ihr Microsoft Entra-Konto mithilfe eines Passkey registrieren, der in einem FIDO2-Sicherheitsschlüssel oder in Microsoft Authenticator gespeichert ist, und sich anmelden.

Weitere Informationen zum Aktivieren von Passkeys in Microsoft Authenticator finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.

Weitere Informationen zur Passkey-Authentifizierung finden Sie unter Unterstützung für die FIDO2-Authentifizierung mit Microsoft Entra ID.

Hinweis

Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.

Anforderungen

  • Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra
  • Kompatible FIDO2-Sicherheitsschlüssel oder Microsoft Authenticator
  • Geräte, die die Passkey-Authentifizierung (FIDO2) unterstützen. Für Windows-Geräte, die in Microsoft Entra ID eingebunden sind, eignet sich besonders Windows 10 Version 1903 oder höher. Auf hybrid eingebundenen Geräten muss Windows 10 Version 2004 oder höher ausgeführt werden.

Passkeys werden in wichtigen Szenarien unter Windows, macOS, Android und iOS unterstützt. Weitere Informationen zu unterstützten Szenarien finden Sie unter Unterstützung für die FIDO2-Authentifizierung in Microsoft Entra ID.

Aktivieren der Methode zur Passkey-Authentifizierung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinie für Authentifizierungsmethoden.

  3. Wählen Sie unter der Methode FIDO2-Sicherheitsschlüssel die Option Alle Benutzer oder Gruppen hinzufügen aus, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.

  4. Speichern Sie die Konfiguration.

    Hinweis

    Wenn Sie beim Speichern eine Fehlermeldung erhalten, kann die Ursache in der Anzahl der hinzugefügten Benutzer oder Gruppen liegen. Als Abhilfe können Sie die Benutzer und Gruppen, die Sie hinzufügen möchten, im selben Vorgang durch eine einzige Gruppe ersetzen und dann erneut auf Speichern klicken.

Optionale Passkey-Einstellungen

Auf der Registerkarte Konfigurieren gibt es einige optionale Einstellungen, mit denen sich die Verwendung von Passkeys für die Anmeldung verwalten lässt.

Screenshot: FIDO2-Sicherheitsschlüsseloptionen

  • Self-Service-Einrichtung zulassen sollte auf Ja festgelegt bleiben. Wenn diese Einstellung auf „Nein“ festgelegt ist, können Ihre Benutzer keinen Passkey über MySecurityInfo registrieren, auch wenn dies durch die Richtlinie für Authentifizierungsmethoden aktiviert ist.

  • Nachweis erzwingen sollte auf Ja festgelegt werden, wenn Ihre Organisation sicherstellen möchte, dass ein FIDO2-Sicherheitsschlüsselmodell oder Passkey-Anbieter echt ist und von einem legitimen Anbieter stammt.

    • Bei FIDO2-Sicherheitsschlüssel erfordern wir, dass Sicherheitsschlüsselmetadaten mit FIDO Alliance Metadata Service veröffentlicht und überprüft werden, und sie müssen auch den zusätzlichen Validierungstest von Microsoft bestehen. Weitere Informationen finden Sie unter Was ist ein Microsoft-kompatibler Sicherheitsschlüssel?.
    • Für Passkeys in Microsoft Authenticator unterstützen wir zurzeit keinen Nachweis.

    Warnung

    Die Erzwingung des Nachweises bestimmt, ob nur während der Registrierung ein Passkey zulässig ist. Benutzer, die einen Passkey ohne Nachweis registrieren können, werden während der Anmeldung nicht blockiert, wenn Nachweis erzwingen zu einem späteren Zeitpunkt auf Ja festgelegt wird.

Schlüsseleinschränkungsrichtlinie

  • Schlüsseleinschränkungen erzwingen sollte nur auf Ja festgelegt werden, wenn Ihre Organisation nur bestimmte Sicherheitsschlüsselmodelle oder Passkey-Anbieter zulassen oder nicht zulassen möchte, die durch ihre AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) identifiziert werden. Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID des Passkey zu bestimmen. Wenn der Passkey bereits registriert ist, können Sie die AAGUID ermitteln, indem Sie die Details zur Authentifizierungsmethode des Passkey für die Benutzer anzeigen.

  • Wenn Schlüsseleinschränkungen erzwingen auf Ja festgelegt ist, können Sie Microsoft Authenticator (Vorschau) auswählen, wenn das Kontrollkästchen im Admin Center angezeigt wird. Dadurch werden die AAGUIDs der Authenticator-App automatisch in der Schlüsseleinschränkungsliste aufgefüllt.

    Warnung

    Schlüsseleinschränkungen legen die Nutzbarkeit bestimmter Modelle oder Anbieter sowohl für die Registrierung als auch für die Authentifizierung fest. Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden.

Passkey-AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID)

Gemäß FIDO2-Spezifikation muss jeder Sicherheitsschlüsselanbieter während der Registrierung eine AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) bereitstellen. Die AAGUID ist eine 128-Bit-ID, die den Schlüsseltyp angibt (z. B. Aussteller und Modell). Passkey-Anbieter auf Desktop- und Mobilgeräten müssen ebenfalls während der Registrierung eine AAGUID angeben.

Hinweis

Der Anbieter muss sicherstellen, dass die AAGUID für alle ähnlichen Sicherheitsschlüssel oder Passkey-Anbieter dieses Anbieters identisch ist und sich gleichzeitig (mit hoher Wahrscheinlichkeit) von den AAGUIDs aller anderen Schlüsseltypen und Passkey-Anbieter unterscheidet. Um dies sicherzustellen, sollte die AAGUID für einen bestimmten Sicherheitsschlüsseltyp oder Passkey-Anbieter nach dem Zufallsprinzip generiert werden. Weitere Informationen finden Sie unter Web Authentication: An API for accessing Public Key Credentials – Level 3 (Webauthentifizierung: Eine API für den Zugriff auf Anmeldeinformationen für öffentliche Schlüssel – Ebene 3 (w3.org)).

Es gibt zwei Möglichkeiten für das Abrufen Ihrer AAGUID. Sie können entweder Ihren Sicherheitsschlüssel- oder Passkey-Anbieter fragen oder die Details zu den Authentifizierungsmethoden des Schlüssels pro Benutzer anzeigen.

Screenshot: Anzeigen der AAGUID für den Passkey

Aktivieren von Passkeys mithilfe der Microsoft Graph-API

Sie können die Passkeys nicht nur über das Microsoft Entra Admin Center, sondern auch mithilfe der Microsoft Graph-API aktivieren. Zum Aktivieren von Passkeys müssen Sie die Richtlinie für Authentifizierungsmethoden als Globaler Administrator oder Authentifizierungsrichtlinienadministrator aktualisieren.

So konfigurieren Sie die Richtlinie mithilfe von Graph-Tester:

  1. Melden Sie sich bei Graph-Tester an, und stimmen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zu.

  2. Rufen Sie die Authentifizierungsmethodenrichtlinie ab:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Um die Erzwingung von Nachweisen zu deaktivieren und Schlüsseleinschränkungen zu erzwingen, um beispielsweise nur die AAGUID für RSA DS100 zuzulassen, führen Sie einen PATCH-Vorgang mit dem folgenden Anforderungstext aus:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Stellen Sie sicher, dass die Passkey-Richtlinie (FIDO2) ordnungsgemäß aktualisiert wird.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Löschen eines Passkey

Um einen Passkey zu entfernen, der einem Benutzerkonto zugeordnet ist, löschen Sie den Schlüssel aus den Authentifizierungsmethoden des Benutzers bzw. der Benutzerin.

  1. Melden Sie sich beim Microsoft Entra Admin Center an, und suchen Sie nach dem Benutzer, dessen Passkey entfernt werden muss.

  2. Wählen Sie Authentifizierungsmethoden aus, klicken Sie mit der rechten Maustaste auf Passkey (gerätegebunden), und wählen Sie Löschen aus.

    Screenshot: Anzeigen von Details zu Authentifizierungsmethoden

Erzwingen der Passkey-Anmeldung

Wie folgt können Sie erzwingen, dass sich Benutzer mit einem Passkey anmelden, wenn sie auf eine sensible Ressource zugreifen:

  • Verwenden einer integrierten gegen Phishing resistenten Authentifizierungsstärke

    Oder

  • Erstellen einer benutzerdefinierten Authentifizierungsstärke

Die folgenden Schritte zeigen, wie Sie eine Richtlinie für bedingten Zugriff mit einer benutzerdefinierten Authentifizierungsstärke erstellen, die die Anmeldung mit Passkey nur für ein bestimmtes Sicherheitsschlüsselmodell oder einen bestimmten Passkey-Anbieter zulässt. Eine Liste der FIDO2-Anbieter finden Sie unter Aktuelle FIDO2-Hardwareherstellerpartner.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Authentifizierungsmethoden>Authentifizierungsstärken.
  3. Wählen Sie Neue Authentifizierungsstärke aus.
  4. Geben Sie einen Namen für Ihre neue Authentifizierungsstärke an.
  5. Erstellen Sie optional eine Beschreibung.
  6. Wählen Sie Passkeys (FIDO2) aus.
  7. Wenn Sie nach bestimmten AAGUIDs einschränken möchten, wählen Sie optional Erweiterte Optionen und dann AAGUID hinzufügen aus. Geben Sie die zulässigen AAGUIDs ein. Wählen Sie Speichern.
  8. Wählen Sie Weiter aus, und überprüfen Sie die Richtlinienkonfiguration.

Bekannte Probleme

Benutzende in der B2B-Zusammenarbeit

Die Registrierung von FIDO2-Anmeldeinformationen wird für B2B Collaboration-Benutzer im Ressourcenmandanten nicht unterstützt.

Bereitstellung von Sicherheitsschlüsseln

Die Bereitstellung und Bereitstellungsaufhebung von Sicherheitsschlüsseln durch Administratoren ist nicht verfügbar.

Änderungen des Benutzerprinzipalnamens

Wenn der Benutzerprinzipalname eines Benutzers geändert wird, können Sie die Passkeys nicht mehr ändern, um dies zu berücksichtigen. Wenn der Benutzer oder die Benutzerin über einen Passkey verfügt, muss er bzw. sie sich bei Meine Sicherheitsinformationen anmelden, den alten Passkey löschen und den neuen hinzufügen.

Nächste Schritte

Native App- und Browserunterstützung der kennwortlosen Authentifizierung per Passkey (FIDO2)

Anmelden mit FIDO2-Sicherheitsschlüsseln bei Windows 10-Geräten

Aktivieren der FIDO2-Authentifizierung für lokale Ressourcen

Erfahren Sie mehr über die Geräteregistrierung

Weitere Informationen zur Multi-Faktor-Authentifizierung in Microsoft Entra