Passkeys in Microsoft Entra ID einrichten: Der Leitfaden für IT-Administratoren (2026)
Passkeys in Microsoft Entra ID sind phishing-resistente FIDO2-Anmeldedaten. So aktivieren Sie die Methode zentral, registrieren sie per Authenticator und erzwingen sie per Conditional Access. Mit PowerShell-Beispielen, Rollout-Plan und Fehlerbehebung.
Passkeys in Microsoft Entra ID sind phishing-resistente, kryptografische Anmeldeinformationen nach FIDO2/WebAuthn, die Sie zentral über die Richtlinie „Authentifizierungsmethoden" aktivieren, per Microsoft Authenticator oder Sicherheitsschlüssel registrieren und über Conditional Access mit der Authentifizierungsstärke „Phishing-resistente MFA" erzwingen. Wenn Sie diesen Artikel lesen, weil Ihr CISO nach der letzten Phishing-Welle „passwortlos bis Q4" ausgerufen hat: willkommen im Club. Ich führe Sie durch die Aktivierung, das Rollout, die Fallstricke und die Tickets, die garantiert am Montagmorgen aufschlagen.
Passkeys in Entra ID nutzen den FIDO2/WebAuthn-Standard und sind seit Juni 2024 offiziell in der Microsoft Authenticator App verfügbar (Version 6.9 iOS, 6.2410 Android und neuer).
Aktivierung erfolgt zentral unter Schutz → Authentifizierungsmethoden → Passkey (FIDO2) im Microsoft Entra Admin Center – NICHT über die veraltete „Legacy MFA"-Seite.
Sie erzwingen Passkeys per Conditional Access mit der Authentifizierungsstärke „Phishing-resistente MFA" – Passwort + SMS oder Authenticator-Push reichen dann NICHT mehr aus.
Registrierungs-Kampagnen („Registration Campaigns") drängen Benutzer beim Anmelden aktiv zur Umstellung – ohne diese landet der Rollout typischerweise unter 15 %.
Die häufigsten Support-Tickets: iOS 17-Nutzer ohne Bluetooth-Berechtigung, Attestation-Fehler bei alten YubiKeys und Benutzer, die die App gewechselt haben und ihren Cloud-Passkey nicht mehr finden.
Rechnen Sie mit 8–12 Wochen für ein sauberes Rollout von der Pilotgruppe bis zum unternehmensweiten Enforcement, inklusive Kommunikation.
Was sind Passkeys – und wie unterscheiden sie sich von einem Passwort?
Ein Passkey ist ein kryptografisches Schlüsselpaar nach dem FIDO2/WebAuthn-Standard, das an ein Gerät oder einen Cloud-Sync-Provider (Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator) gebunden ist. Beim Anmelden signiert das Gerät eine Challenge des Diensts mit dem privaten Schlüssel; der öffentliche Schlüssel liegt bei Microsoft. Das ist der entscheidende Punkt für uns im Service Desk: Es gibt kein wiederverwendbares Geheimnis, das ein Angreifer per Phishing-Seite abgreifen könnte. Ich habe in fünfzehn Jahren mehr Reset-Tickets für „ich habe auf den Link geklickt und mein Passwort eingegeben" gesehen als für alles andere zusammen – Passkeys machen dieses gesamte Ticketmuster überflüssig.
Der praktische Unterschied zu klassischer MFA: Ein Passwort plus SMS-Code kann gephisht werden, wenn der Benutzer beides in ein gefälschtes Portal tippt. Ein Passkey bindet die Signatur an den Origin (die tatsächliche Domain login.microsoftonline.com) – die Signatur ist auf einer Phishing-Domain schlichtweg wertlos. Das ist es, was Microsoft mit „phishing-resistent" meint und was Ihr CISO in der Compliance-Dokumentation sehen will.
Passkeys gibt es in zwei Ausprägungen, die Sie unterscheiden müssen: gerätegebundene Passkeys auf einem FIDO2-Sicherheitsschlüssel oder in einem TPM (verlassen das Gerät nicht) und synchronisierte Passkeys in der Microsoft Authenticator App oder Plattform-Keychains (können über iCloud oder Google-Konto zwischen Geräten synchronisiert werden). Für die meisten Unternehmen ist die Authenticator-Variante der Startpunkt, weil sie keinen physischen Schlüssel-Kauf voraussetzt.
Voraussetzungen für Passkeys in Microsoft Entra ID
Bevor Sie die erste Kampagne planen, prüfen Sie diese Voraussetzungen ab. Ich habe schon Rollouts erlebt, die auf Woche vier aufgehalten wurden, weil niemand die iOS-Versionsverteilung im MDM gecheckt hat.
Lizenz: Passkey (FIDO2) selbst ist in jedem Entra-ID-Tarif inklusive Free enthalten. Für Conditional-Access-Erzwingung benötigen Sie jedoch Entra ID P1 – die meisten Microsoft 365 Business- und E3-Lizenzen enthalten das.
Rollen: Zum Aktivieren der Methode reicht die Rolle Authentifizierungsrichtlinien-Administrator. Vermeiden Sie dafür den Global Admin – das ist genau der Least-Privilege-Ansatz, den ein Auditor sehen will.
Authenticator-App-Version: iOS 6.9.0 oder höher, Android 6.2410.xxxx oder höher. Prüfen Sie die Verteilung in Intune, bevor Sie kommunizieren – auf älteren Versionen erscheint die Option „Passkey einrichten" schlicht nicht.
Betriebssystem der Endgeräte: iOS 17+, Android 14+, Windows 11 22H2 mit KB5039302 oder neuer, macOS 13.5+. Windows 10 kann sich mit Passkeys anmelden, aber nicht selbst einen Passkey in Authenticator registrieren.
Bluetooth am Login-Rechner: Für die geräteübergreifende Authentifizierung (Anmeldung am PC per Passkey auf dem Handy) braucht der Client-Rechner aktives Bluetooth. Kein Schreibtisch-PC ohne BT-Dongle wird das können.
Multi-Faktor-Aktivierung: Der Benutzer muss bereits eine funktionierende MFA-Methode registriert haben, um einen Passkey selbst hinzufügen zu können. Neuanwender registrieren Passkey während des Onboardings über ein Temporary Access Pass.
Notieren Sie sich für die interne Dokumentation, welche dieser Punkte Sie geprüft haben – ich habe eine Checkliste im Confluence, die vor jedem Rollout mit Screenshots abgehakt wird. Das spart die berühmte Frage in Woche 3: „Warum haben wir eigentlich gedacht, dass das mit den Kassenterminals funktioniert?"
Passkeys in Entra ID aktivieren (Schritt für Schritt)
Die Aktivierung selbst dauert keine zehn Minuten – die Vorbereitung, die ich oben beschrieben habe, mehrere Wochen. So gehen Sie im Admin Center vor:
Öffnen Sie entra.microsoft.com und melden Sie sich als Authentifizierungsrichtlinien-Administrator an.
Navigieren Sie zu Schutz → Authentifizierungsmethoden → Richtlinien.
Klicken Sie auf Passkey (FIDO2). NICHT auf die alte „FIDO2-Sicherheitsschlüssel"-Zeile, falls die noch existiert – Microsoft konsolidiert das seit Anfang 2025 unter einem Namen.
Setzen Sie Aktivieren auf Ja.
Wählen Sie unter Ziel zunächst eine Sicherheitsgruppe wie SG-Passkey-Pilot. Machen Sie das Rollout NIE für „Alle Benutzer" im ersten Schritt.
Öffnen Sie den Reiter Konfigurieren. Hier entscheiden Sie über Attestation, Key Restrictions und AAGUIDs. Für einen Pilot mit Authenticator lassen Sie „Attestation erzwingen" auf Deaktiviert – für Rollouts mit YubiKeys aktivieren Sie es und tragen die AAGUIDs der freigegebenen Modelle ein.
Speichern Sie. Die Änderung ist innerhalb weniger Minuten wirksam, ich rechne standardmäßig mit 15 Minuten für die volle Propagation.
Wenn Sie lieber deklarativ arbeiten, geht das Ganze auch per Microsoft Graph PowerShell – nützlich für Terraform-basierte Umgebungen und für die Dokumentation im Change-Management:
Passkeys in der Microsoft Authenticator App registrieren
Für die meisten Endbenutzer läuft die Registrierung über mysignins.microsoft.com/security-info. So sieht der Ablauf aus – ich empfehle, genau diese Schritte in Ihre interne Anleitung zu übernehmen, notfalls mit Screenshots:
Bestätigt die MFA-Prüfung mit einer bereits vorhandenen Methode (Push, SMS oder TAP).
Öffnet die Authenticator App auf dem Smartphone. Diese muss mit demselben Firmenkonto verbunden sein.
Tippt oben rechts auf + → Passkey hinzufügen.
Bestätigt biometrisch (Face ID / Fingerabdruck) – das ist die lokale Benutzerpräsenzprüfung, keine zweite MFA-Runde.
Vergibt einen sprechenden Namen, z. B. „iPhone 15 Pro – Firmenhandy".
Sobald der Passkey angelegt ist, kann sich der Benutzer an jedem Microsoft-365-Portal anmelden, indem er auf „Andere Anmeldemethoden → Passkey verwenden" klickt, den QR-Code am Bildschirm mit dem Handy scannt und die biometrische Bestätigung liefert. Kein Passwort mehr. Kein Push. Kein SMS-Code, der irgendwo verloren geht.
Was ich in unseren Runbooks explizit dokumentiere: der Passkey ist an diese Installation der Authenticator App gebunden. Wenn der Benutzer sein Handy verliert oder die App löscht, ist der Passkey weg – die Wiederherstellung läuft über eine noch registrierte Methode oder einen TAP vom Service Desk. Ich empfehle jedem Benutzer, mindestens zwei Passkeys zu haben: einen in Authenticator, einen auf einem physischen FIDO2-Schlüssel, wenn die Rolle hoch privilegiert ist. Für Admin-Konten ist das bei uns Pflicht.
FIDO2-Sicherheitsschlüssel als Passkeys nutzen
Für privilegierte Konten und für Umgebungen ohne Firmen-Smartphone (Werkstatt, Empfang, Kassenbereich) sind FIDO2-Sicherheitsschlüssel weiterhin die richtige Wahl. In Entra ID werden sie inzwischen unter demselben Menüpunkt wie Authenticator-Passkeys verwaltet – Microsoft betrachtet beide als „Passkey (FIDO2)".
Wichtige Konfigurationsdetails, die in unserer Umgebung Standard sind:
AAGUID-Whitelisting: Aktivieren Sie Key Restrictions und tragen Sie die AAGUIDs der freigegebenen Modelle ein (z. B. YubiKey 5 Series, Feitian ePass FIDO). Damit verhindern Sie, dass Benutzer mit privat gekauften No-Name-Schlüsseln durch die Compliance rutschen.
Attestation erzwingen: Diese Option auf „Aktiviert" prüft kryptografisch, dass der Schlüssel wirklich das ist, was er behauptet. Kostet einen Klick bei der Beschaffungsprüfung, verhindert aber Fälschungen.
PIN-Länge: Setzen Sie eine Mindest-PIN von 6 Ziffern in der Beschaffungs-Konfiguration Ihres Schlüssel-Anbieters – das ist eine YubiKey-Setup-Sache, nicht Entra ID.
Für die Massenverteilung setzen wir auf einen Kick-off-Termin, bei dem jeder Admin seinen Schlüssel persönlich in Empfang nimmt und live registriert. Kein „per Post nachschicken" – der Schlüssel ist die Zugangskontrolle, das gehört in eine Chain-of-Custody wie ein Firmenausweis. Ich dokumentiere jeden ausgegebenen Schlüssel mit Seriennummer im Asset-Management, damit ich bei einem verlorenen Schlüssel exakt weiß, welchen ich in Entra deaktivieren muss.
Conditional Access und phishing-resistente MFA erzwingen
Passkeys zu aktivieren ist der einfache Teil. Sie tatsächlich erzwingen, ist die eigentliche Sicherheitsverbesserung – sonst nutzen 8 % der Benutzer den neuen Weg und der Rest bleibt bei SMS. Das Werkzeug dafür ist die Authentifizierungsstärke „Phishing-resistente MFA" in Conditional Access.
So richten Sie eine gestaffelte Erzwingung ein, die ich in mehreren Rollouts erprobt habe:
Erstellen Sie in Entra unter Schutz → Bedingter Zugriff → Authentifizierungsstärken eine benutzerdefinierte Stärke „PW-lose Admins" mit nur Passkey (FIDO2) und Windows Hello for Business als erlaubte Methoden.
Erstellen Sie eine Conditional-Access-Richtlinie „CA-Require-Passkey-Admins".
Zielgruppe: alle Benutzer in Ihrer Admin-Rollengruppe (z. B. SG-Entra-Privileged).
Zielressourcen: Microsoft Admin Portale. Das umfasst inzwischen Entra Admin Center, M365 Admin Center, Intune, Defender und alle weiteren Konsolen als eine Cloud-App-Gruppe.
Starten Sie im „Nur-Bericht"-Modus. Nach mindestens 7 Tagen sauberer Anmeldedaten stellen Sie auf „Ein".
Für den unternehmensweiten Rollout an Standardbenutzer duplizieren Sie diese Regel mit einer weniger strengen Stärke (die zusätzlich Microsoft Authenticator Passwordless und Windows Hello akzeptiert) und rollen sie ringweise über Pilotgruppen aus. Wenn Sie Verwaltungs-Werkzeuge wie Microsoft 365 Copilot für IT-Administratoren ohnehin schon per Conditional Access gruppieren, hängen Sie die Passkey-Anforderung genau an dieselben Gruppen – das reduziert die Regel-Anzahl.
Vergessen Sie eine Notfall-Ausnahme nicht: Ein Break-Glass-Konto mit FIDO2-Schlüssel im Safe, das explizit von der neuen Regel ausgenommen ist – dokumentiert, geprüft, monatlich getestet. Wer das nicht hat und sich selbst aussperrt, lernt es teuer.
Rollout-Strategie für das Unternehmen
Ich habe mehr Rollouts scheitern sehen wegen fehlender Kommunikation als wegen technischer Fehler. Deshalb hier die Phasenplanung, die bei uns funktioniert und die ich für Unternehmen mit 500–5000 Benutzern empfehle:
Wochen 1–2: Vorbereitung. Voraussetzungen prüfen, Pilotgruppe definieren (10–20 Personen aus IT und einem Fachbereich), Kommunikationsplan schreiben, FAQ-Dokument in Confluence anlegen.
Wochen 3–4: Pilot. Passkey-Methode für die Pilotgruppe aktivieren, Selbstregistrierung. Wöchentlicher 30-Minuten-Check-in mit den Pilotusern zum Feedback.
Wochen 5–6: Registrierungs-Kampagne für alle. „Registration Campaign" in Entra aktivieren, die Benutzer beim Anmelden freundlich – aber bestimmt – auffordert, einen Passkey einzurichten. Aufschieb-Option auf 3 Tage begrenzen.
Wochen 7–9: Soft Enforcement. Conditional Access für Admin-Portale scharf schalten. Kommunikation an alle Standardbenutzer, dass in 4 Wochen auch für sie erzwungen wird.
Wochen 10–12: Enforcement. Passkey-Pflicht per Conditional Access für alle Benutzer bei Anmeldung an M365, mit Übergangsregel „Legacy MFA akzeptiert für 30 Tage bei Neu-Onboarding".
Der wichtigste Kommunikations-Baustein: eine 90-Sekunden-Video-Anleitung im Intranet. „Klick hier, tippe auf +, bestätige mit Face ID, fertig." Ich habe die Erfahrung gemacht, dass ein Video die Ticket-Zahl in der Rollout-Woche um mehr als die Hälfte senkt. Schriftliche Anleitungen liest niemand.
Kombinieren Sie das mit einer klaren Sicherheits-Message: Passkeys sind keine bürokratische IT-Sicherheitsübung, sie schützen die Benutzer persönlich vor Kontoübernahmen. Ergänzend zum Passkey-Rollout empfehle ich, auch die DNS-over-HTTPS-Konfiguration im Unternehmen zu überprüfen – zusammen mit Geräteverschlüsselung wie in unserem Leitfaden zu BitLocker-Wiederherstellungsschlüsseln ergibt das die drei Säulen einer soliden Endpunkt-Sicherheit für 2026.
Häufige Fehler und Fehlerbehebung
Hier sind die Tickets, die bei uns nach jedem Rollout garantiert eintreffen – und wie ich sie in der Runbook-Sammlung dokumentiere:
„Passkey einrichten" erscheint nicht in Authenticator
Fast immer: veraltete App-Version. Prüfen Sie im App Store / Play Store auf Update, mindestens iOS 6.9.0 oder Android 6.2410.xxxx. Zweiter Kandidat: die Passkey-Methode ist in der Authentifizierungsrichtlinie nicht auf die Sicherheitsgruppe des Benutzers ausgeweitet. Schauen Sie in Entra → Benutzer → Anmeldeprotokolle nach dem Registrierungsversuch.
„Wir konnten den Passkey nicht überprüfen" beim Anmelden
In 80 % der Fälle: Bluetooth am Client-Rechner ist deaktiviert oder blockiert. Für die geräteübergreifende Anmeldung (QR-Code) MUSS Bluetooth aktiv sein – der Standard verlangt einen Bluetooth-„Proximity-Check", damit der Passkey vom Handy nicht remote missbraucht werden kann. In 15 %: Zeit-Drift zwischen Client und Server über 30 Sekunden. Windows-Zeitdienst prüfen.
Attestation-Fehler bei FIDO2-Schlüsseln
Alte YubiKey-Firmware (vor 5.4) unterstützt keine Enterprise Attestation. Entweder Firmware aktualisieren oder in der Richtlinie Attestation vorübergehend deaktivieren. Prüfen Sie die AAGUID mit ykman fido info auf dem Schlüssel – wenn die AAGUID nicht in Ihrer Whitelist steht, schlägt die Registrierung fehl.
Benutzer hat Handy verloren – wie zurücksetzen?
Service Desk deaktiviert im Entra Admin Center den betroffenen Passkey unter Benutzer → Sicherheitsinformationen. Wenn dies die einzige starke Methode war, wird ein Temporary Access Pass ausgestellt. TAP ist zeitlich begrenzt (Standard: 1 Stunde), einmalig verwendbar und darf niemals per E-Mail versendet werden – Übergabe telefonisch nach Identitätsprüfung. Ich behandle TAP-Ausgabe in unserem Tracking mit derselben Sorgfalt wie einen Passwort-Reset für einen CEO.
Anmeldung an Legacy-Anwendungen schlägt fehl
Passkeys sind eine reine Web-Auth-Methode (WebAuthn). Anwendungen, die noch über Basic Auth oder Legacy-ADAL laufen, können damit nichts anfangen. Migrationspfad ist immer: App auf modernes OAuth 2.0 / OIDC umstellen. In der Übergangszeit lassen Sie diese wenigen Apps in einer separaten Conditional-Access-Ausnahme mit klassischem MFA. Dokumentieren Sie diese Ausnahmen als bekannte Risiken.
Häufig gestellte Fragen
Was ist der Unterschied zwischen einem Passkey und einem FIDO2-Sicherheitsschlüssel?
Beide nutzen denselben WebAuthn-Standard, nur die „Verpackung" unterscheidet sich: Ein FIDO2-Sicherheitsschlüssel ist ein physisches Hardware-Token (z. B. YubiKey), das den privaten Schlüssel niemals verlässt. Ein Passkey in Microsoft Authenticator ist ein an das Smartphone gebundener kryptografischer Schlüssel, den die App auch cloud-synchronisieren kann. In Entra ID werden beide unter dem Menüpunkt „Passkey (FIDO2)" verwaltet.
Sind Passkeys wirklich sicherer als Passwort plus MFA?
Ja, weil Passkeys phishing-resistent sind. Ein klassisches Passwort plus SMS oder Push kann gephisht werden, wenn der Benutzer beides in eine gefälschte Anmeldeseite eingibt (Adversary-in-the-Middle-Angriffe wie EvilGinx). Ein Passkey signiert die Anfrage kryptografisch an die tatsächliche Domain – die Signatur ist auf einer Phishing-Domain wertlos. Microsoft hat 2024/2025 einen deutlichen Rückgang erfolgreicher Kontoübernahmen bei passkey-only-Konten beobachtet.
Kann ich Passkeys ohne Microsoft Entra ID P1 nutzen?
Ja, die reine Registrierung und Anmeldung mit Passkey ist auch in Entra ID Free enthalten. Was Sie ohne P1 nicht können, ist die Erzwingung per Conditional Access mit Authentifizierungsstärken – das bedeutet, Sie können Benutzern Passkeys anbieten, aber nicht bedingt vorschreiben. Für ein sicherheitsrelevantes Rollout empfehle ich P1 dringend, und die meisten Microsoft-365-E3-Lizenzen enthalten das ohnehin.
Was passiert, wenn ein Benutzer sein Handy verliert und keinen Backup-Passkey hat?
Der Service Desk stellt nach telefonischer Identitätsprüfung einen Temporary Access Pass (TAP) aus, mit dem sich der Benutzer einmalig anmelden und einen neuen Passkey registrieren kann. Deswegen ist die Standardempfehlung, mindestens zwei Passkeys zu registrieren (z. B. einen im Authenticator und einen auf einem FIDO2-Backup-Schlüssel). Für privilegierte Konten ist bei uns ein Backup-FIDO2-Schlüssel Pflicht.
Muss ich Windows Hello for Business separat konfigurieren?
Windows Hello for Business ist bereits eine phishing-resistente Anmeldemethode auf Windows-Geräten und wird in der Authentifizierungsstärke „Phishing-resistente MFA" akzeptiert. Wenn Sie Autopilot mit Hybrid Join oder Cloud Join einsetzen, ist WHfB meist schon aktiv. Sie können also durchaus WHfB für die tägliche Windows-Anmeldung und Passkeys für Web-Anmeldungen und Cross-Device-Szenarien kombinieren – das ist die von Microsoft empfohlene passwortlose Architektur.
DoH auf Windows 11 per GPO ausrollen und den neuen Windows Server 2025 DoH-Resolver einrichten – mit PowerShell-Skripten, Sicherheitsempfehlungen und Fehlerbehebung.