Aktivieren von Passkeys für Ihre Organisation (Vorschau) - Microsoft Entra ID (2024)

Table of Contents
In diesem Artikel Anforderungen Aktivieren der Methode zur Passkey-Authentifizierung Optionale Passkey-Einstellungen Passkey-AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) Aktivieren von Passkeys mithilfe der Microsoft Graph-API Löschen eines Passkey Erzwingen der Passkey-Anmeldung Bekannte Probleme Benutzende in der B2B-Zusammenarbeit Bereitstellung von Sicherheitsschlüsseln Änderungen des Benutzerprinzipalnamens Nächste Schritte FAQs
  • Artikel

Passkeys (FIDO2) bieten Unternehmen, die aktuell Kennwörter verwenden, eine nahtlose Möglichkeit für Mitarbeitende, sich ohne Eingabe eines Benutzernamens oder Kennworts zu authentifizieren. Passkeys ermöglichen den Mitarbeitenden eine bessere Produktivität und bieten eine höhere Sicherheit.

In diesem Artikel sind die Anforderungen und Schritte zum Aktivieren von Passkeys in Ihrer Organisation aufgeführt. Nach Ausführung dieser Schritte können Benutzer in Ihrer Organisation ihr Microsoft Entra-Konto mithilfe eines Passkey registrieren, der in einem FIDO2-Sicherheitsschlüssel oder in Microsoft Authenticator gespeichert ist, und sich anmelden.

Weitere Informationen zum Aktivieren von Passkeys in Microsoft Authenticator finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.

Weitere Informationen zur Passkey-Authentifizierung finden Sie unter Unterstützung für die FIDO2-Authentifizierung mit Microsoft Entra ID.

Hinweis

Microsoft EntraID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.

Anforderungen

  • Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra
  • Kompatible FIDO2-Sicherheitsschlüssel oder Microsoft Authenticator
  • Geräte, die die Passkey-Authentifizierung (FIDO2) unterstützen. Für Windows-Geräte, die in Microsoft EntraID eingebunden sind, eignet sich besonders Windows10 Version1903 oder höher. Auf hybrid eingebundenen Geräten muss Windows10 Version2004 oder höher ausgeführt werden.

Passkeys werden in wichtigen Szenarien unter Windows, macOS, Android und iOS unterstützt. Weitere Informationen zu unterstützten Szenarien finden Sie unter Unterstützung für die FIDO2-Authentifizierung in Microsoft Entra ID.

Aktivieren der Methode zur Passkey-Authentifizierung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinie für Authentifizierungsmethoden.

  3. Legen Sie unter der Methode FIDO2-Sicherheitsschlüssel den Umschalter auf Aktivieren fest. Wählen Sie Alle Benutzer oder Gruppen hinzufügen aus, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.

  4. Speichern Sie die Konfiguration.

    Hinweis

    Wenn Sie beim Speichern eine Fehlermeldung erhalten, kann die Ursache in der Anzahl der hinzugefügten Benutzer oder Gruppen liegen. Als Abhilfe können Sie die Benutzer und Gruppen, die Sie hinzufügen möchten, im selben Vorgang durch eine einzige Gruppe ersetzen und dann erneut auf Speichern klicken.

    See Also
    Passwort-Nachfolger Fido2: Was ist das und wie funktioniert es?Como Emitir YubiKey con una Clave FIDO2 Pre-registrada en Entra IDMicrosoft strengthens phishing-resistant security for Entra ID with FIDO2 provisioning APIsFIDO2 — Yubico Authenticator User Guide documentation

Optionale Passkey-Einstellungen

Auf der Registerkarte Konfigurieren gibt es einige optionale Einstellungen, mit denen sich die Verwendung von Passkeys für die Anmeldung verwalten lässt.

Aktivieren von Passkeys für Ihre Organisation (Vorschau) - Microsoft Entra ID (1)

  • Self-Service-Einrichtung zulassen sollte auf Ja festgelegt bleiben. Wenn diese Einstellung auf „Nein“ festgelegt ist, können Ihre Benutzer keinen Passkey über MySecurityInfo registrieren, auch wenn dies durch die Richtlinie für Authentifizierungsmethoden aktiviert ist.

  • Nachweis erzwingen sollte auf Ja festgelegt werden, wenn Ihre Organisation sicherstellen möchte, dass ein FIDO2-Sicherheitsschlüsselmodell oder Passkey-Anbieter echt ist und von einem legitimen Anbieter stammt.

    • Bei FIDO2-Sicherheitsschlüssel erfordern wir, dass Sicherheitsschlüsselmetadaten mit FIDO Alliance Metadata Service veröffentlicht und überprüft werden, und sie müssen auch den zusätzlichen Validierungstest von Microsoft bestehen. Weitere Informationen finden Sie unter Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden.
    • Für Passkeys in Microsoft Authenticator unterstützen wir zurzeit keinen Nachweis.

    Warnung

    Die Erzwingung des Nachweises bestimmt, ob nur während der Registrierung ein Passkey zulässig ist. Benutzer, die einen Passkey ohne Nachweis registrieren können, werden während der Anmeldung nicht blockiert, wenn Nachweis erzwingen zu einem späteren Zeitpunkt auf Ja festgelegt wird.

Schlüsseleinschränkungsrichtlinie

  • Schlüsseleinschränkungen erzwingen sollte nur auf Ja festgelegt werden, wenn Ihre Organisation nur bestimmte Sicherheitsschlüsselmodelle oder Passkey-Anbieter zulassen oder nicht zulassen möchte, die durch ihre AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) identifiziert werden. Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID des Passkey zu bestimmen. Wenn der Passkey bereits registriert ist, können Sie die AAGUID ermitteln, indem Sie die Details zur Authentifizierungsmethode des Passkey für die Benutzer anzeigen.

  • Wenn Schlüsseleinschränkungen erzwingen auf Ja festgelegt ist, können Sie Microsoft Authenticator (Vorschau) auswählen, wenn das Kontrollkästchen im Admin Center angezeigt wird. Dadurch werden die AAGUIDs der Authenticator-App automatisch in der Schlüsseleinschränkungsliste aufgefüllt. Andernfalls können Sie die folgenden AAGUIDs manuell hinzufügen, um die Vorschau der Authenticator-Passkeys zu aktivieren:

    • Authenticator für Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator für iOS: 90a3ccdf-635c-4729-a248-9b709135078f

    Warnung

    Schlüsseleinschränkungen legen die Nutzbarkeit bestimmter Modelle oder Anbieter sowohl für die Registrierung als auch für die Authentifizierung fest. Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden.

    See Also
    FIDO2: Der neue Standard für den sicheren Web-Log-in

Passkey-AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID)

Gemäß FIDO2-Spezifikation muss jeder Sicherheitsschlüsselanbieter während der Registrierung eine AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) bereitstellen. Die AAGUID ist eine 128-Bit-ID, die den Schlüsseltyp angibt (z.B. Aussteller und Modell). Passkey-Anbieter auf Desktop- und Mobilgeräten müssen ebenfalls während der Registrierung eine AAGUID angeben.

Hinweis

Der Anbieter muss sicherstellen, dass die AAGUID für alle ähnlichen Sicherheitsschlüssel oder Passkey-Anbieter dieses Anbieters identisch ist und sich gleichzeitig (mit hoher Wahrscheinlichkeit) von den AAGUIDs aller anderen Schlüsseltypen und Passkey-Anbieter unterscheidet. Um dies sicherzustellen, sollte die AAGUID für einen bestimmten Sicherheitsschlüsseltyp oder Passkey-Anbieter nach dem Zufallsprinzip generiert werden. Weitere Informationen finden Sie unter Web Authentication: An API for accessing Public Key Credentials– Level 3 (Webauthentifizierung: Eine API für den Zugriff auf Anmeldeinformationen für öffentliche Schlüssel – Ebene3 (w3.org)).

Es gibt zwei Möglichkeiten für das Abrufen Ihrer AAGUID. Sie können entweder Ihren Sicherheitsschlüssel- oder Passkey-Anbieter fragen oder die Details zu den Authentifizierungsmethoden des Schlüssels pro Benutzer anzeigen.

Aktivieren von Passkeys für Ihre Organisation (Vorschau) - Microsoft Entra ID (2)

Aktivieren von Passkeys mithilfe der Microsoft Graph-API

Sie können die Passkeys nicht nur über das Microsoft Entra Admin Center, sondern auch mithilfe der Microsoft Graph-API aktivieren. Zum Aktivieren von Schlüsseln müssen Sie die Richtlinie für Authentifizierungsmethoden mindestens als Authentifizierungsrichtlinienadministrator aktualisieren.

So konfigurieren Sie die Richtlinie mithilfe von Graph-Tester:

  1. Melden Sie sich bei Graph-Tester an, und stimmen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zu.

  2. Rufen Sie die Authentifizierungsmethodenrichtlinie ab:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Um die Erzwingung von Nachweisen zu deaktivieren und Schlüsseleinschränkungen zu erzwingen, um beispielsweise nur die AAGUID für RSA DS100 zuzulassen, führen Sie einen PATCH-Vorgang mit dem folgenden Anforderungstext aus:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2Request Body:{ "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] }}

  4. Stellen Sie sicher, dass die Passkey-Richtlinie (FIDO2) ordnungsgemäß aktualisiert wird.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Löschen eines Passkey

Um einen Passkey zu entfernen, der einem Benutzerkonto zugeordnet ist, löschen Sie den Schlüssel aus den Authentifizierungsmethoden des Benutzers bzw. der Benutzerin.

  1. Melden Sie sich beim Microsoft Entra Admin Center an, und suchen Sie nach dem Benutzer, dessen Passkey entfernt werden muss.

  2. Wählen Sie Authentifizierungsmethoden aus, klicken Sie mit der rechten Maustaste auf Passkey (gerätegebunden), und wählen Sie Löschen aus.

    Aktivieren von Passkeys für Ihre Organisation (Vorschau) - Microsoft Entra ID (3)

Erzwingen der Passkey-Anmeldung

Wie folgt können Sie erzwingen, dass sich Benutzer mit einem Passkey anmelden, wenn sie auf eine sensible Ressource zugreifen:

  • Verwenden einer integrierten gegen Phishing resistenten Authentifizierungsstärke

    Oder

  • Erstellen einer benutzerdefinierten Authentifizierungsstärke

Die folgenden Schritte zeigen, wie Sie eine Richtlinie für bedingten Zugriff mit einer benutzerdefinierten Authentifizierungsstärke erstellen, die die Anmeldung mit Passkey nur für ein bestimmtes Sicherheitsschlüsselmodell oder einen bestimmten Passkey-Anbieter zulässt. Eine Liste der FIDO2-Anbieter finden Sie unter Aktuelle FIDO2-Hardwareherstellerpartner.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Authentifizierungsmethoden>Authentifizierungsstärken.
  3. Wählen Sie Neue Authentifizierungsstärke aus.
  4. Geben Sie einen Namen für Ihre neue Authentifizierungsstärke an.
  5. Erstellen Sie optional eine Beschreibung.
  6. Wählen Sie Passkeys (FIDO2) aus.
  7. Wenn Sie nach bestimmten AAGUIDs einschränken möchten, wählen Sie optional Erweiterte Optionen und dann AAGUID hinzufügen aus. Geben Sie die zulässigen AAGUIDs ein. Wählen Sie Speichern.
  8. Wählen Sie Weiter aus, und überprüfen Sie die Richtlinienkonfiguration.

Bekannte Probleme

Benutzende in der B2B-Zusammenarbeit

Die Registrierung von FIDO2-Anmeldeinformationen wird für B2B Collaboration-Benutzer im Ressourcenmandanten nicht unterstützt.

Bereitstellung von Sicherheitsschlüsseln

Die Bereitstellung und Bereitstellungsaufhebung von Sicherheitsschlüsseln durch Administratoren ist nicht verfügbar.

Änderungen des Benutzerprinzipalnamens

Wenn der Benutzerprinzipalname eines Benutzers geändert wird, können Sie die Passkeys nicht mehr ändern, um dies zu berücksichtigen. Wenn der Benutzer oder die Benutzerin über einen Passkey verfügt, muss er bzw. sie sich bei Meine Sicherheitsinformationen anmelden, den alten Passkey löschen und den neuen hinzufügen.

Nächste Schritte

Native App- und Browserunterstützung der kennwortlosen Authentifizierung per Passkey (FIDO2)

Anmelden mit FIDO2-Sicherheitsschlüsseln bei Windows 10-Geräten

Aktivieren der FIDO2-Authentifizierung für lokale Ressourcen

Erfahren Sie mehr über die Geräteregistrierung

Weitere Informationen zur Multi-Faktor-Authentifizierung in Microsoft Entra

Aktivieren von Passkeys für Ihre Organisation (Vorschau) - Microsoft Entra ID (2024)

FAQs

How to enable passkeys for the Microsoft Authenticator app? ›

Enable passkeys in Authenticator in the admin center
  1. Sign in to the Microsoft Entra admin center as at least an Authentication Policy Administrator.
  2. Browse to Protection > Authentication methods > Authentication method policy.
  3. Under the method FIDO2 security key, select All users or Add groups to select specific groups.
May 7, 2024

Get More Info Here
How to enable passkey entra id? ›

Enforce passkey sign-in
  1. Sign in to the Microsoft Entra admin center as at least a Conditional Access Administrator.
  2. Browse to Protection > Authentication methods > Authentication strengths.
  3. Select New authentication strength.
  4. Provide a Name for your new authentication strength.
  5. Optionally provide a Description.
Aug 6, 2024

Show Me More
How to get passkey for Microsoft account? ›

Creating a passkey

Sign in to your MyAccount Security info. Choose Add sign-in method. Select Passkey (Preview) or Passkey in Microsoft Authenticator (Preview). Follow the instructions on your device.

Read The Full Story
How to enable a security key for Microsoft account? ›

To add a security key as a sign in method for your Microsoft account:
  1. Go to the Microsoft account page and sign in as you normally would.
  2. Select Security > More security options.
  3. Select Add a new way to sign in or verify.
  4. Select Use a security key.
  5. Identify what type of key you have (USB or NFC) and select Next.

Read More
How do I activate passkeys? ›

How do I set up passkeys on my phone or computer?
  1. Tap Create a passkey Use another device.
  2. Follow on-screen instructions. You'll be required to insert your hardware security key and enter its PIN or touch the fingerprint sensor on the key.

Find Out More
Where to find activation QR code for Microsoft Authenticator? ›

Step-by-step guide to generating a QR code for Microsoft Authenticator
  1. Install the app from either the App Store or Google Play Store. Once installed, open it.
  2. Tap “Add Account” and choose either “Work or school account” or “Personal account”.
  3. Position your device's camera over the QR code displayed.

Discover More
How do I save a passkey to Microsoft authenticator? ›

You can also save a passkey in Authenticator from your computer or another mobile device. This registration option requires Bluetooth and an internet connection for both devices. Open a web browser and sign in to My Security info. Tap + Add sign-in method > choose Passkey in Microsoft Authenticator (preview) > Add.

Discover More
How do I enter a passkey into my iPhone? ›

How to use passkeys on an iPhone
  1. Head to your profile's security settings.
  2. Look for Hardware Security Device and tap it.
  3. Choose + Add New Security Device.
  4. Tap Continue with Passcode.
  5. Type in your phone's passcode.
  6. Name your new passkey.
  7. Tap Submit and you are good to go.
Apr 19, 2023

Find Out More
Can I use passkey for Apple ID? ›

Your passkeys work on all your devices that are signed in to the same Apple ID. Like passwords, passkeys are encrypted and stored in your iCloud Keychain, where they aren't visible to anyone (including Apple).

See More
Where do I find my Microsoft passkey? ›

The passkey is saved to your Windows device. To confirm you can find and manage your passkeys select the Windows button > Settings > Accounts > Passkeys.

Continue Reading

How do I obtain a passkey? ›

To create a passkey for a website or application, a user first must register with that website or application.
  1. Go to the application and sign in using the existing sign-in method.
  2. Click Create a passkey button.
  3. Check the information stored with the new passkey.
  4. Use the device screen unlock to create the passkey.
May 3, 2024

Explore More
How do I enter my Microsoft security code? ›

To sign in using a verification code with the Microsoft Authenticator app
  1. Sign in to an application or service such as Microsoft 365 using your username and password.
  2. Microsoft prompts you for a verification code.
  3. Open the Microsoft Authenticator app on your phone and enter the code in the box where you are signing in.

Know More
How to enable passkeys in Entra? ›

After you log in to the Microsoft 365 Entra portal, in the Identity section, expand Protection, click on Authentication methods, and select FIDO2 security key. On the next page, enable passkeys. You can enable it for all the users or a set of users in a group.

View More
How do I activate my security key? ›

  1. Open a compatible browser like Chrome.
  2. Sign in to your Google Account. Your device will detect that your account has a security key.
  3. Connect your key to the USB port in your device. You may need a USB adapter.
  4. If you see a message from "Google Play services," tap OK. If not, move on to step 5.
  5. Turn on your key:

Show Me More
How do I activate Microsoft security? ›

Open the Windows Security app by searching the start menu for Security, and then selecting Windows Security. Select the Virus & threat protection tile (or the shield icon on the left menu bar). Select Virus & threat protection settings. Toggle the Real-time protection switch to On.

Tell Me More
How to get Microsoft passkey on iPhone? ›

Register a security key with iOS
  1. Using your iOS device, open a web browser and sign-in to My Security info.
  2. Tap + Add sign-in method.
  3. Select Passkey (preview).
  4. Tap Add.
  5. Sign in with multifactor authentication (MFA) before adding a passkey.
  6. Select Next.
  7. Your device opens a security window. ...
  8. Select Security key.
May 14, 2024

View More
How do I set up passwordless Microsoft authenticator? ›

I need to set up an Authenticator app
  1. Download and install the Microsoft Authenticator app or Outlook for Android.
  2. Open the authenticator app and set up your account in the app by following the prompts.
  3. Sign in to your Microsoft account Additional security options.
  4. Under Passwordless account, select Turn on.

View Details
How do I get an authenticator app key? ›

The key is the QR code or the 32-digit code on Google Authenticator account details. It is provided in the 2-factor authentication settings, which can either be scanned or manually entered into the Authenticator app.

Read The Full Story
What is the device bound passkey in Microsoft authenticator? ›

A device-bound passkey is an advanced security feature implemented in Microsoft Authenticator. It is a unique security key that is tied to a specific device. When a user logs in to their account, they use this key to verify their identity.

Discover More Details
Top Articles
Hasbro unveils new Marvel Legends Series Spider-Man: Across the Spider-Verse action figures
Eubank Women's Clinic
Gilbert Public Schools Infinite Campus
Bannerlord Campaign Or Sandbox
Craigslist Cassopolis Mi
Al Horford House Brookline
Pizza Hut Order Online Near Me
Academic Calendar Biola
What Was D-Day Weegy
"Rainbow Family" will im Harz bleiben: Hippie-Camp bis Anfang September geplant
Shaw Centre for the Salish Sea — Eight Arms, Eight Interesting Facts: World Octopus Day
Bomei Massage
Grizzly Expiration Date 2023
Msft Msbill Info
Sunday Td Bank
9192464227
Crete Il Forum
Amanda Balionis makes announcement as Erica Stoll strides fairways with Rory McIlroy
Blue Beetle Showtimes Near Regal Independence Plaza & Rpx
The Boogeyman Showtimes Near Marcus Menomonee Falls Cinema
Fox News Live Stream USA HD - USNewsON
The Quiet Girl Showtimes Near Landmark Plaza Frontenac
Proctor Funeral Home Obituaries Beaumont Texas
Arapahoe Youth League Baseball
Webcentral Cuny
Shapovalov Flashscore
Go Smiles Herndon Reviews
Operation Carpe Noctem
Locals Canna House Deals
Game Akin To Bingo Nyt
Tcu Jaggaer
Paper Io 2 Unblocked Games Premium
Skip The Games Albany
Kelly Chapman Husband
Nail salons near me in West Hartford. Find a nail shop on Booksy!
How Old Is Ted Williams Fox News Contributor
Pawn Shops In Sylva Nc
Baroque Violin Shop Cincinnati Oh
Warranty Killer Performance Reviews
Sour Power OG (Karma Genetics) :: Cannabis Strain Info
Alibaba Expands Membership Perks for 88VIP
Mathews Vertix Mod Chart
Embu village mines precious coltan for years 'without knowing its value’
Wrdu Contests
Albertville Memorial Funeral Home Obituaries
Assistant Store Manager Dollar General Salary
The Hardest Quests in Old School RuneScape (Ranked) – FandomSpot
Lakeridge Funeral Home Lubbock Texas Obituaries
Natriumazid 1% in wässriger Lösung
304-733-7788
Basketball Defense: 1-3-1 half court trap
Latest Posts
Chapter - Jujutsu Kaisen Chapter 260 - Spoilers & Discussion
What's Next For Miles Morales? Everything We Know About Spider-Man: Beyond The Spider-Verse
Article information

Author: Gov. Deandrea McKenzie

Last Updated:

Views: 5531

Rating: 4.6 / 5 (66 voted)

Reviews: 89% of readers found this page helpful

Author information

Name: Gov. Deandrea McKenzie

Birthday: 2001-01-17

Address: Suite 769 2454 Marsha Coves, Debbieton, MS 95002

Phone: +813077629322

Job: Real-Estate Executive

Hobby: Archery, Metal detecting, Kitesurfing, Genealogy, Kitesurfing, Calligraphy, Roller skating

Introduction: My name is Gov. Deandrea McKenzie, I am a spotless, clean, glamorous, sparkling, adventurous, nice, brainy person who loves writing and wants to share my knowledge and understanding with you.