Microsoft Entra ID: Umstieg auf profilbasierte Passkeys

Microsoft verändert die Art und Weise, wie Unternehmen Authentifizierung verwalten, indem Microsoft Entra ID auf ein profilbasiertes Passkey-System umgestellt wird, das synchronisierte Passkeys und eine neue Einstellung passkeyType einführt. Das Update verspricht feinere Kontrolle, bessere Verwaltungsoptionen und einen reibungsloseren Übergang weg von traditionellen Passwörtern hin zur passwortlosen Authentifizierung.

What’s changing: a new profile model and passkeyType

Ab März 2026 wird Microsoft Entra ID auf ein neues Schema umgestellt, das Passkey-Profile nativ unterstützt. Diese Weiterentwicklung ergänzt eine dedizierte Eigenschaft passkeyType, mit der Administratoren explizit Gerät-gebundene Passkeys (device-bound), synchronisierte Passkeys (synced passkeys) oder beide Optionen zulassen können. Bestehende FIDO2-Konfigurationen verschwinden nicht — sie werden in ein neues Standardprofil migriert, um Kontinuität und Kompatibilität sicherzustellen.

Das neue Profilmodell ist so konzipiert, dass es sowohl die technischen Anforderungen moderner Authentifizierung abdeckt als auch die betrieblichen Bedürfnisse großer Organisationen berücksichtigt. Administratoren erhalten dadurch die Möglichkeit, Passkey-Richtlinien granularer zu definieren, Gruppen gezielt anzusprechen und unterschiedliche Sicherheitsanforderungen innerhalb eines Mandanten (Tenant) zu bedienen. Diese Flexibilität unterstützt Szenarien, in denen strengere Gerätebindungsanforderungen für sensible Bereiche bestehen, während in anderen Bereichen eine benutzerfreundlichere, synchronisierte Option gewünscht ist.

Technisch gesehen erweitert das Schema die Entra ID API-Modelle um Profile, die Metadaten, Richtlinien und Zielgruppen (Targets) enthalten. Durch diese Trennung von globalen Standardeinstellungen und profilorientierten Richtlinien lassen sich Migrationen, Tests und abgestufte Rollouts sauberer durchführen. In der Praxis bedeutet das: Unternehmen können Pilotgruppen mit synchronisierten Passkeys testen, während kritische Geschäftsbereiche weiterhin Gerät-gebundene Passkeys nutzen.

Why this matters for admins

Der profilbasierte Ansatz ersetzt die bisherigen mandantenweiten (tenant-wide) FIDO2-Einstellungen durch flexiblere, auf Gruppen anwendbare Kontrollen. Das ist wichtig, weil Organisationen inzwischen heterogene Endgeräte, unterschiedliche Compliance-Anforderungen und variable Benutzerakzeptanz berücksichtigen müssen. Diese Umstellung erlaubt es, Sicherheits- und Nutzungsanforderungen gezielt abzubilden und gleichzeitig vorhandene Account-Mappings und Benutzerzuordnungen beizubehalten.

Organisationen, die aktuell Attestierungsanforderungen (attestation enforcement) durchsetzen, werden standardmäßig auf Gerät-gebundene Passkeys eingestellt. Tenant-Umgebungen ohne verpflichtende Attestation werden hingegen beide Optionen — device-bound und synchronisierte Passkeys — zulassen. Damit wird verhindert, dass Sicherheitsanforderungen ungewollt gelockert werden, während gleichzeitig moderne, nutzerfreundlichere Authentifizierungswege eingeführt werden können.

Wichtig für Administratoren: Bestehende Key-Einschränkungen (Key restrictions), Nutzerzielgruppen (user-targeted policies) und andere spezifische Einstellungen bleiben während der Migration erhalten. Das reduziert das Risiko von Betriebsunterbrechungen und erleichtert Compliance-Audits, da historische Einstellungen in ein klar definiertes Standardprofil überführt werden. In der Regel sollten Administratoren dennoch Testläufe und Validierungen in isolierten Umgebungen durchführen, bevor sie die Änderungen global ausrollen.

Ähnlicher Beitrag

Weiterlesen

Microsoft hebt Identitäts- und Zugriffsmanagement mit Entra Agent ID ins KI-Zeitalter

Microsoft führt Entra Agent ID ein: Identitäts- und Zugriffsmanagement für KI-Agenten Microsoft revolutioniert die Unternehmenssicherheit mit...

Zusätzlich bietet das neue Modell verbesserte Protokollierung und Überwachungsmöglichkeiten. Durch Profile können Logs auf Ebene der Profilzuweisung wie auch auf Ebene des passkeyType differenziert analysiert werden — das hilft beim Incident Response, bei der Ursachenanalyse und bei forensischen Untersuchungen nach sicherheitsrelevanten Vorfällen.

Registration campaigns and simplified prompts

Microsoft-geführte Registrierungs-Kampagnen werden ihren Schwerpunkt von der Priorisierung des Microsoft Authenticator auf die Förderung von Passkeys verlagern, zumindest in Mandanten, in denen synchronisierte Passkeys aktiviert sind. Der Zielkreis (Audience) dieser Kampagnen wird standardmäßig erweitert und umfasst nun alle Benutzer, die Multi-Faktor-Authentifizierung (MFA) aktiv nutzen oder nutzen könnten. Dies erhöht die Reichweite und fördert die Akzeptanz passwortloser Methoden in der gesamten Organisation.

Der Fokus auf Passkeys bedeutet auch, dass Benutzerkommunikation, Onboarding-Flows und Hilfematerialien angepasst werden. Microsoft wird Grundlagenmaterialien zur Verfügung stellen, erläuternde Hinweise in der Benutzeroberfläche einblenden und automatisierte Erinnerungen nutzen, um die Registrierung zu erhöhen. Für IT-Teams ist es empfehlenswert, begleitende interne Kommunikationspläne zu erstellen, FAQ-Seiten zu pflegen und Helpdesk-Mitarbeiter gezielt zu schulen, damit der Support bei Umfragen und Erstregistrierungen rasch und kompetent reagieren kann.

Gleichzeitig werden die Administrationsoptionen für Registrierungsaufforderungen vereinfacht. Microsoft entfernt die Optionen „limited number of snoozes“ und „days allowed to snooze“ und führt stattdessen ein einheitliches Modell ein, das unbegrenzte Snoozes mit einer täglichen Erinnerung kombiniert. Ziel dieser Änderung ist es, die Entscheidungsfindung für Administratoren zu vereinfachen und gleichzeitig wiederkehrende, dezente Erinnerungen (Nudges) sicherzustellen, die zur Erhöhung der Registrierungsraten beitragen.

Aus Sicht der Nutzerfreundlichkeit zielt das neue Prompt-Verhalten darauf ab, Friktion zu reduzieren: Benutzer können die Aufforderung mehrfach aufschieben, erhalten aber regelmäßig eine Erinnerung. Für Organisationen mit strikteren Compliance-Anforderungen können zusätzliche Maßnahmen wie verpflichtende Registrierungsfristen oder gestaffelte Zugriffsreduzierungen nach Ablauf einer Übergangsfrist sinnvoll sein.

Timing and rollout details

• General Availability (globaler Rollout) beginnt Anfang März 2026.
• Automatische Aktivierung für Mandanten, die nicht ausdrücklich zustimmen, ist für April 2026 geplant.
• Regierungs-Cloud-Umgebungen (GCC, GCC High, DoD) folgen einem verzögerten Zeitplan; die automatische Migration ist für Juni 2026 vorgesehen.

Administratoren finden weitere Informationen im Microsoft Admin Center unter Message ID MC1221452. Diese Nachricht enthält technische Details zur Migration, Checklisten und Hinweise zu Ausnahmen. Es ist ratsam, die Notizen zur Message-ID regelmäßig zu prüfen, da dort Updates, häufig gestellte Fragen und bekannte Einschränkungen dokumentiert werden.

Für den Rollout empfiehlt sich ein stufenweises Vorgehen mit Pilotphasen. Eine typische Vorgehensweise umfasst:

• Analyse und Inventarisierung: Bestimmen Sie, welche Benutzergruppen, Anwendungen und Endgeräte betroffen sind.
• Pilotgruppe: Wählen Sie eine kleine, repräsentative Gruppe aus (z. B. IT, DevOps, Key-User) und testen Sie synchronisierte und device-bound Passkeys.
• Monitoring und Feedback: Sammeln Sie Telemetrie, Benutzerfeedback und Support-Tickets, um Probleme frühzeitig zu identifizieren.
• Stufenweiser Rollout: Erweitern Sie die Aktivierung schrittweise auf Abteilungen und schließlich auf den gesamten Tenant.
• Nachbereitung: Passen Sie Richtlinien, Trainingsmaterialien und Supportprozesse basierend auf den Erkenntnissen an.

Besondere Vorsicht ist bei Unternehmensanwendungen und Legacy-Systemen geboten, die noch nicht vollständig FIDO2-kompatibel sind. Für solche Fälle sollte eine Ausnahmeregelung oder ein Übergangsplan vorhanden sein, um den Geschäftsbetrieb nicht zu gefährden.

Ähnlicher Beitrag

Weiterlesen

Microsoft führt mit Entra Agent ID eine neue Ära des Identitäts- und Zugriffsmanagements für KI ein

Microsoft modernisiert Identitäts- und Zugriffsmanagement mit Entra Agent ID Microsoft hebt Enterprise Security auf ein neues...

Where this fits in the wider security trend

Diese Umstellung ist Teil eines breiteren Branchentrends hin zu passwortlosen Technologien. Passkeys sind Anmeldeinformationen, die gegen Phishing resistent sind, nicht zwischen Websites wiederverwendet werden können und typischerweise auf asymmetrischer Kryptografie basieren. Im Gegensatz zu klassischen Passwörtern bieten Passkeys eine höhere Sicherheit gegen gestohlene Anmeldeinformationen und Credential Stuffing.

Wichtig ist, dass Passkeys nicht zwangsläufig eine vollständige Ablösung aller bestehenden Authentifizierungsverfahren bedeuten. Vielmehr sind sie eine stärkere Alternative, die parallel zu anderen Methoden eingesetzt werden kann. In Unternehmens- und Konsumentenökosystemen entstehen hybride Modelle, in denen Passkeys zunehmend die primäre Option sind, während Fallback-Mechanismen (z. B. FIDO2-Tokens, Smartcards oder traditionelle MFA) weiterhin als Backup dienen.

Microsofts profilbasierte Architektur zielt darauf ab, die Einführung von Passkeys skalierbarer und anpassungsfähiger an komplexe organisatorische Anforderungen zu machen. Durch Profile lassen sich unterschiedliche Sicherheitsniveaus, Compliance-Anforderungen und Nutzererfahrungen sauber trennen. Das erleichtert auch die Einhaltung gesetzlicher Vorgaben, weil spezielle Profile für Bereiche mit erhöhten regulatorischen Anforderungen (z. B. Finanzwesen, Gesundheitswesen) definiert werden können.

Aus technischer Sicht bestehen klare Beziehungen zwischen den Konzepten:

• Microsoft Entra ID: Identitäts- und Zugriffsplattform, die Profil- und Richtlinienverwaltung übernimmt.
• Passkey (device-bound vs. synced): Authentifizierungsmechanismen, die entweder lokal an ein Gerät gebunden sind oder über Geräte hinweg synchronisiert werden.
• passkeyType: Richtlinienattribut zur gezielten Steuerung der erlaubten Passkey-Arten innerhalb eines Profils.
• FIDO2: Das zugrundeliegende Protokoll-Framework, das für passwortlose Authentifizierung standardisiert ist.

Die Migration auf profilbasierte Passkeys bietet Unternehmen die Möglichkeit, modernere, phishing-resistente Authentifizierung großflächig einzuführen, ohne bestehende Richtlinien und Nutzerzuordnungen aufbrechen zu müssen. Für IT-Verantwortliche bedeutet das: eine Balance zwischen Sicherheit, Compliance und Benutzerfreundlichkeit, unterstützt durch zentralisierte Verwaltungs- und Überwachungsfunktionen.

Konkrete Empfehlungen für Administratoren und Sicherheitsverantwortliche:

1. Erstellen Sie ein Migrationskonzept mit Prioritätenliste (kritische Systeme zuerst).
2. Nutzen Sie Pilotprojekte, um Benutzerakzeptanz und technische Kompatibilität zu prüfen.
3. Passen Sie Ihre Incident-Response-Pläne an, um Passkey-bezogene Vorfälle präzise zu behandeln.
4. Schulen Sie Helpdesk und Endanwender umfassend zur neuen Benutzererfahrung.
5. Stellen Sie sicher, dass Audit- und Reporting-Mechanismen Passkey-Ereignisse klar ausweisen.

Zusammenfassend lässt sich sagen: Die Migration auf profilbasierte Passkeys in Microsoft Entra ID ist ein strategischer Schritt hin zu sichereren, benutzerfreundlicheren Authentifizierungsmodellen. Mit durchdachter Planung, Tests und begleitender Kommunikation können Organisationen die Vorteile von passwortloser Authentifizierung nutzen und gleichzeitig betriebliche Risiken kontrolliert managen.

Ähnlicher Beitrag

Weiterlesen

Warum Passkeys für die moderne Cybersicherheit unverzichtbar sind

Warum Passkeys für die moderne Cybersicherheit unverzichtbar sind Mit dem rasanten Fortschritt der künstlichen Intelligenz verändern...

Stellen Sie sich vor, Sie führen moderne, phishing-resistente Authentifizierung ein, ohne bestehende Richtlinien und Benutzerziele aufzugeben — genau das ist das Versprechen hinter Entra IDs Migration zu Passkey-Profilen.