Freigeben über

Aktivieren von Passkeys (FIDO2) für Ihre Organisation

  • Artikel

Passkeys (FIDO2) bieten Unternehmen, die aktuell Passwörter verwenden, eine nahtlose Möglichkeit für Mitarbeitende, sich ohne Eingabe eines Benutzernamens oder Passworts zu authentifizieren. Passkeys (FIDO2) ermöglichen den Mitarbeitenden eine bessere Produktivität und bieten eine höhere Sicherheit.

In diesem Artikel sind die Anforderungen und Schritte zum Aktivieren von Passkeys in Ihrer Organisation aufgeführt. Nach Ausführung dieser Schritte können Benutzer in Ihrer Organisation ihr Microsoft Entra-Konto mithilfe eines Passkey registrieren, der in einem FIDO2-Sicherheitsschlüssel oder in Microsoft Authenticator gespeichert ist, und sich anmelden.

Weitere Informationen zum Aktivieren von Passkeys in Microsoft Authenticator finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.

Weitere Informationen zur Passkey-Authentifizierung finden Sie unter Unterstützung für die FIDO2-Authentifizierung mit Microsoft Entra ID.

Hinweis

Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.

Anforderungen

Passkeys (FIDO2) werden in wichtigen Szenarien unter Windows, macOS, Android und iOS unterstützt. Weitere Informationen zu unterstützten Szenarien finden Sie unter Unterstützung für die FIDO2-Authentifizierung in Microsoft Entra ID.

Hinweis

Unterstützung für die Registrierung auf demselben Gerät in Edge unter Android wird in Kürze verfügbar sein.

Passkey (FIDO2)-AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID)

Gemäß FIDO2-Spezifikation muss jeder Sicherheitsschlüsselanbieter während der Registrierung eine AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) bereitstellen. Die AAGUID ist eine 128-Bit-ID, die den Schlüsseltyp angibt (z. B. Aussteller und Modell). Passkey (FIDO2)-Anbieter auf Desktop- und Mobilgeräten müssen ebenfalls während der Registrierung eine AAGUID angeben.

Hinweis

Der Anbieter muss sicherstellen, dass die AAGUID für alle ähnlichen Sicherheitsschlüssel oder Passkey (FIDO2)-Anbieter dieses Anbieters identisch ist und sich gleichzeitig (mit hoher Wahrscheinlichkeit) von den AAGUIDs aller anderen Schlüsseltypen und Passkey (FIDO2)-Anbieter unterscheidet. Um dies sicherzustellen, sollte die AAGUID für einen bestimmten Sicherheitsschlüsseltyp oder Passkey (FIDO2)-Anbieter nach dem Zufallsprinzip generiert werden. Weitere Informationen finden Sie unter Web Authentication: An API for accessing Public Key Credentials – Level 2 (Webauthentifizierung: Eine API für den Zugriff auf Anmeldedaten für öffentliche Schlüssel – Ebene 2 (w3.org)).

Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID des Passkeys (FIDO2) zu ermitteln oder FIDO2-Sicherheitsschlüssel anzuzeigen, die für den Nachweis mit der Microsoft Entra-ID berechtigt sind. Wenn der Passkey (FIDO2) bereits registriert ist, können Sie die AAGUID ermitteln, indem Sie die Details zur Authentifizierungsmethode des Passkey (FIDO2) für die Benutzer anzeigen.

Screenshot: Anzeigen der AAGUID für den Passkey.

Aktivieren von Methoden zur Passkey-Authentifizierung (FIDO2)

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinie für Authentifizierungsmethoden.

  3. Legen Sie unter der Methode Passkey (FIDO2) den Umschalter auf Aktivieren fest. Wählen Sie Alle Benutzer oder Gruppen hinzufügen aus, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.

  4. Auf der Registerkarte Konfigurieren:

    • Legen Sie Self-Service-Setup zulassen auf Ja fest. Wenn Nein festgelegt ist, können Benutzer einen Passkey nicht mithilfe von Sicherheitsinformationen registrieren, auch wenn Passkeys (FIDO2) von der Richtlinie für Authentifizierungsmethoden aktiviert sind.

    • Nachweis durchsetzen sollte auf Ja festgelegt werden, wenn Ihre Organisation sicherstellen möchte, dass ein FIDO2-Sicherheitsschlüsselmodell oder Passkey-Anbieter echt ist und von einem legitimen Anbieter stammt.

      • Bei FIDO2-Sicherheitsschlüssel verlangen wir, dass Sicherheitsschlüsselmetadaten mit FIDO Alliance Metadata Service veröffentlicht und überprüft werden, und sie müssen auch den zusätzlichen Validierungstest von Microsoft bestehen. Weitere Informationen finden Sie unter Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden.
      • Für Passkeys in Microsoft Authenticator ist die Unterstützung für Nachweise für die allgemeine Verfügbarkeit geplant.

      Warnung

      Die Erzwingung des Nachweises bestimmt, ob ein Passkey (FIDO2) nur während der Registrierung zulässig ist. Benutzer, die einen Passkey (FIDO2) ohne Nachweis registrieren, werden bei der Anmeldung nicht blockiert, wenn Nachweis erzwingen späterenr auf Ja festgelegt wird.

    Schlüsseleinschränkungsrichtlinie

    • Schlüsseleinschränkungen erzwingen sollte nur auf Ja festgelegt werden, wenn Ihre Organisation nur bestimmte Sicherheitsschlüsselmodelle oder Passkey-Anbieter zulassen oder nicht zulassen möchte, die durch ihre AAGUID identifiziert werden. Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID des Passkey zu bestimmen. Wenn der Passkey bereits registriert ist, können Sie die AAGUID ermitteln, indem Sie die Details zur Authentifizierungsmethode des Passkey für die Benutzer anzeigen.

    Wenn die Durchsetzung von Schlüsseleinschränkungen auf „Ja“ festgelegt ist, können Sie Microsoft Authenticator (Vorschau) auswählen, so dass die AAGUIDs der Authenticator-App automatisch in der Liste der Schlüsseleinschränkungen hinzugefügt werden. Weitere Informationen finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator (Vorschau).

    Warnung

    Schlüsseleinschränkungen legen die Nutzbarkeit bestimmter Modelle oder Anbieter sowohl für die Registrierung als auch für die Authentifizierung fest. Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden.

    Wenn Ihre Organisation derzeit keine wichtigen Einschränkungen durchsetzt und bereits über eine aktive Passkey-Nutzung verfügt, sollten Sie die AAGUIDs der heute verwendeten Schlüssel erfassen. Fügen Sie sie der Zulassungsliste zusammen mit den Authenticator AAGUIDs hinzu, um diese Vorschau zu aktivieren. Diese Aufgabe kann mit einem automatisierten Skript erfolgen, das Protokolle analysiert, z. B. Registrierungsdetails und Anmeldeprotokolle.

    Hinweis

    Wenn Sie die Tastenkombinationen deaktivieren, deaktivieren Sie das Kontrollkästchen Microsoft Authenticator (Vorschau), damit Benutzer nicht aufgefordert werden, einen Passkey in der Authenticator-App in Sicherheitsinformationen einzurichten.

    Es können zwei weitere AAGUIDs aufgeführt werden. Diese sind b6879edc-2a86-4bde-9c62-c1cac4a8f8e5 und 257fa02a-18f3-4e34-8174-95d454c2e9ad. Diese AAGUIDs erscheinen im Vorfeld eines kommenden Features. Sie können sie aus der Liste der zulässigen AAGUIDs entfernen.

    Screenshot: Microsoft Authenticator für Passkey aktiviert.

  5. Wählen Sie nach Abschluss der Konfiguration Speichern aus.

    Hinweis

    Wenn beim Speichern ein Fehler angezeigt wird, ersetzen Sie mehrere Gruppen durch eine einzelne Gruppe in einem Vorgang, und klicken Sie dann erneut auf Speichern.

Bereitstellen von FIDO2-Sicherheitsschlüsseln mithilfe der Microsoft Graph-API (Vorschau)

Momentan können Administratoren Microsoft Graph und benutzerdefinierte Clients verwenden, um FIDO2-Sicherheitsschlüssel im Namen von Benutzern bereitzustellen. Die Bereitstellung erfordert die Rolle Authentifizierungsadministrator oder eine Clientanwendung mit der Berechtigung UserAuthenticationMethod.ReadWrite.All. Zu den Verbesserungen bei der Bereitstellung gehören:

  • Die Möglichkeit, WebAuthn-Erstellungsoptionen von Microsoft Entra ID abzufragen
  • Die Möglichkeit, den bereitgestellten Sicherheitsschlüssel direkt bei Microsoft Entra ID zu registrieren

Mit diesen neuen APIs können Organisationen ihre eigenen Clients erstellen, um Passkey (FIDO2)-Anmeldedaten auf Sicherheitsschlüsseln im Namen eines Benutzenden bereitzustellen. Um diesen Prozess zu vereinfachen, sind drei Hauptschritte erforderlich.

  1. Anfrage von creationOptions für einen Benutzer: Microsoft Entra ID gibt die notwendigen Daten für Ihren Client zurück, um Passkey (FIDO2)-Anmeldedaten bereitzustellen. Dazu gehören Informationen wie Benutzerinformationen, die ID der vertrauenden Seite, Anforderungen an die Berechtigungsrichtlinien, Algorithmen, Registrierungsanforderungen und vieles mehr.
  2. Bereitstellen der Passkey (FIDO2)-Anmeldedaten mit den Erstellungsoptionen: Verwenden Sie die creationOptions und einen Client, der das Client to Authenticator Protocol (CTAP) unterstützt, um die Berechtigung bereitzustellen. In diesem Schritt müssen Sie den Sicherheitsschlüssel eingeben und eine PIN festlegen.
  3. Registrieren Sie die bereitgestellten Anmeldedaten mit der Microsoft Entra-ID: Verwenden Sie die formatierte Ausgabe aus dem Bereitstellungsprozess, um Microsoft Entra-ID die erforderlichen Daten bereitzustellen, um die Passkey-Anmeldedaten (FIDO2) für die Zielbenutzenden zu registrieren.

Konzeptionelles Diagramm, das die für die Bereitstellung von Passkeys (FIDO2) erforderlichen Schritte zeigt.

Aktivieren von Passkeys (FIDO2) mithilfe der Microsoft Graph-API

Sie können die Passkeys (FIDO2) nicht nur über das Microsoft Entra Admin Center, sondern auch mithilfe der Microsoft Graph-API aktivieren. Zum Aktivieren von Passkeys (FIDO2) müssen Sie die Richtlinie für Authentifizierungsmethoden mindestens als Authentifizierungsrichtlinienadministrator aktualisieren.

So konfigurieren Sie die Richtlinie mithilfe von Graph-Tester:

  1. Melden Sie sich bei Graph-Tester an, und stimmen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zu.

  2. Rufen Sie die Richtlinie Authentifizierungsmethoden ab:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Um die Durchsetzung von Nachweisen zu deaktivieren und Schlüsseleinschränkungen zu erzwingen, um beispielsweise nur die AAGUID für RSA DS100 zuzulassen, führen Sie einen PATCH-Vorgang mit dem folgenden Anforderungstext aus:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Stellen Sie sicher, dass die Passkey-Richtlinie (FIDO2) ordnungsgemäß aktualisiert wird.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Löschen eines Passkeys (FIDO2)

Um einen Passkey (FIDO2) zu entfernen, der einem Benutzerkonto zugeordnet ist, löschen Sie ihn aus den Authentifizierungsmethoden des Benutzers bzw. der Benutzerin.

  1. Melden Sie sich beim Microsoft Entra Admin Center an, und suchen Sie nach dem Benutzer, dessen Passkey (FIDO2) entfernt werden muss.

  2. Wählen Sie Authentifizierungsmethoden> aus, klicken Sie mit der rechten Maustaste auf Passkey (gerätegebunden) und wählen Sie Löschen aus.

    Screenshot: Anzeigen von Details zu Authentifizierungsmethoden.

Durchsetzen der Passkey (FIDO2)-Anmeldung

Wie folgt können Sie durchsetzen, dass sich Benutzer mit einem Passkey (FIDO2) anmelden, wenn sie auf eine sensible Ressource zugreifen:

  • Verwenden einer integrierten gegen Phishing resistenten Authentifizierungsstärke

    Oder

  • Erstellen einer benutzerdefinierten Authentifizierungsstärke

Die folgenden Schritte zeigen, wie Sie eine Richtlinie für bedingten Zugriff mit einer benutzerdefinierten Authentifizierungsstärke erstellen, die die Anmeldung mit Passkey (FIDO2) nur für ein bestimmtes Sicherheitsschlüsselmodell oder einen bestimmten Passkey (FIDO2)-Anbieter zulässt. Eine Liste der FIDO2-Anbieter finden Sie unter FIDO2-Sicherheitsschlüssel, die für den Nachweis mit Microsoft Entra ID berechtigt sind.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Authentifizierungsmethoden>Authentifizierungsstärken.
  3. Wählen Sie Neue Authentifizierungsstärke aus.
  4. Geben Sie einen Namen für Ihre neue Authentifizierungsstärke an.
  5. Erstellen Sie optional eine Beschreibung.
  6. Wählen Sie Passkeys (FIDO2) aus.
  7. Wenn Sie nach bestimmten AAGUIDs einschränken möchten, wählen Sie optional Erweiterte Optionen und dann AAGUID hinzufügen aus. Geben Sie die zulässigen AAGUIDs ein. Wählen Sie Speichern.
  8. Wählen Sie Weiter aus und überprüfen Sie die Richtlinienkonfiguration.

Bekannte Probleme

B2B-Zusammenarbeitsbenutzer

Die Registrierung von Passkey (FIDO2)-Anmeldedaten wird für B2B Collaboration-Benutzer im Ressourcenmandanten nicht unterstützt.

Änderungen des Benutzerprinzipalnamens

Wenn der Benutzerprinzipalname eines Benutzers geändert wird, können Sie die Passkeys (FIDO2) nicht mehr ändern, um dies zu berücksichtigen. Wenn der Benutzer oder die Benutzerin über einen Passkey (FIDO2) verfügt, muss er bzw. sie sich bei Sicherheitsinformationen anmelden, den alten Passkey (FIDO2) löschen und den neuen hinzufügen.

Nächste Schritte

Native App- und Browserunterstützung der kennwortlosen Authentifizierung per Passkey (FIDO2)

Anmelden mit FIDO2-Sicherheitsschlüsseln bei Windows 10-Geräten

Aktivieren der FIDO2-Authentifizierung für lokale Ressourcen

Registrieren von Sicherheitsschlüsseln im Namen von Benutzern

Erfahren Sie mehr über die Geräteregistrierung

Weitere Informationen zur Multi-Faktor-Authentifizierung in Microsoft Entra