Passkeys basieren auf asymmetrischer Kryptographie und eliminieren viele klassische Angriffsvektoren. Statt Passwörter zu speichern und zu übertragen, kommt ein kryptographisches Schlüsselpaar zum Einsatz, das auf dem Gerät des Benutzers verbleibt. In Kombination mit biometrischen Verfahren oder PINs entsteht eine Authentifizierungsmethode, die Phishing nahezu unmöglich macht. Dieser Artikel zeigt, wie Sie Passkeys in Microsoft-Umgebungen implementieren, welche Vorteile sie gegenüber herkömmlichen Passwörtern bieten und welche Herausforderungen bei der Implementierung zu bewältigen sind. Dabei geht es sowohl um die Integration in Entra ID und Microsoft 365 als auch um die Verwendung in Windows 11, einschließlich der Neuerungen in Windows 11 24H2.

Die Unterstützung von Passkeys nimmt derzeit stark zu, da immer mehr Plattformen die Vorteile dieser Technologie erkennen und implementieren. Es ist zu erwarten, dass zukünftige Entwicklungen die Benutzererfahrung weiter verbessern und die Integration in bestehende Systeme vereinfachen. Initiativen wie die FIDO-Allianz und die Unterstützung durch große Technologieunternehmen treiben die Akzeptanz und Entwicklung von Passkeys voran. Auch Microsoft hat große Fortschritte bei der Einführung von Passkeys gemacht. Entra ID ermöglicht die Registrierung und Anmeldung mit gerätegebundenen Passkeys, die in der Microsoft-Authenticator-App verwaltet werden.

Ein Passkey nutzt die FIDO2-Standardspezifikation zur sicheren Authentisierung. Anstatt wie herkömmliche Passwörter zentral gespeichert oder übertragen zu werden, verbleibt der private Schlüssel immer auf dem Gerät des Nutzers, zum Beispiel einem Smartphone, PC oder Hardware-Token. Der Server speichert lediglich den öffentlichen Schlüssel. Diese Architektur ermöglicht eine passwortlose Anmeldung, die Sicherheit und Benutzerfreundlichkeit vereint.

Da der private Schlüssel das Gerät nie verlässt, ist er für Angreifer unzugänglich. Selbst wenn Hacker eine Website kompromittieren und dort gespeicherte Anmeldedaten stehlen, ist der öffentliche Schlüssel für sie nutzlos. Auch typische Risiken herkömmlicher Passwörter entfallen: Anwender müssen sich keine komplexen Passwörter mehr ausdenken und merken, Phishing-Angriffe laufen ins Leere, da es kein Passwort gibt, das gestohlen werden könnte. Auch Brute-Force-Attacken haben keine Chance, da Angreifer nicht einfach Kombinationen ausprobieren können. Passkeys sind damit auch eine Schlüsseltechnologie für Zero-Trust-Strategien.

Bei jedem Login verifiziert der Nutzer seine Identität direkt am Gerät, per Fingerabdruck, Gesichtserkennung oder PIN. Selbst wenn ein Angreifer also in den Besitz des Geräts gelangt, bleibt der Zugriff ohne diese zusätzliche Bestätigung gesperrt. Da keine Eingabe von Passwörtern über die Tastatur erfolgt, bleiben auch Keylogger außen vor. Passkeys erhöhen so nicht nur die Sicherheit erheblich, sondern reduzieren auch den Aufwand für IT-Administratoren, da vergessene oder kompromittierte Passwörter kein Problem mehr darstellen.

Neben den Vorteilen gibt es auch einige Nachteile, beziehungsweise Komplikationen bei der Verwendung von Passkeys, die Sie beachten sollten. Nicht alle Dienste unterstützen bereits Passkeys, sodass Passwörter und Passkeys weiterhin parallel im Einsatz sind. Die Umstellung von bekannten Passwörtern auf eine neue Methode erfordert zudem Aufklärungsarbeit und Anpassungen seitens der Nutzer. Die Gewährleistung einer zuverlässigen Methode zur Wiederherstellung des Zugangs bei Verlust des Geräts stellt ebenfalls eine Herausforderung dar.

Obwohl Passkeys deutliche Verbesserungen in Bezug auf digitale Sicherheit und Benutzerfreundlichkeit bieten, sind sie kein Allheilmittel und weisen spezifische Schwachstellen auf. Ein zentraler Aspekt ist die Abhängigkeit von der Gerätesicherheit. Da der private Schlüssel auf dem Gerät des Nutzers gespeichert ist, kann ein verlorenes, gestohlenes oder kompromittiertes Gerät ein Sicherheitsrisiko darstellen. Ohne geeignete Sicherheitsmaßnahmen auf dem Gerät, wie eine starke Geräteverschlüsselung oder biometrische Sicherheitsfunktionen, könnte ein Angreifer potenziell Zugriff auf den privaten Schlüssel erlangen.

Eine weitere Herausforderung ist die Nutzerakzeptanz und das Verständnis für die neue Technologie. Der Wechsel von traditionellen Passwörtern zu Passkeys erfordert eine Anpassung der Benutzergewohnheiten und eine umfassende Schulung, um sicherzustellen, dass die Benutzer die Technologie effektiv verwenden. Mangelnde Akzeptanz und mangelndes Verständnis führen dagegen oft zu einer unsachgemäßen Verwendung oder Ablehnung der Technologie, wodurch die potenziellen Sicherheitsvorteile untergraben werden.

Darüber hinaus ist eine breite Implementierung und Unterstützung durch Dienste und Plattformen eine Voraussetzung für die Effektivität von Passkeys. Solange nicht alle oder zumindest die meisten Dienste Passkeys unterstützen, sind Benutzer gezwungen, parallele Authentifizierungsmethoden zu verwenden, was die Komplexität erhöht und potenzielle Sicherheitslücken offenlässt.

Entra ID und damit Microsoft 365 eignen sich für die Verwendung von Passkeys, da die Benutzer in den meisten Fällen mobil mit dem System arbeiten und von verschiedenen Orten aus mit unterschiedlichen Geräten auf die Dienste zugreifen. Eine erfolgreiche Implementierung erfordert aktuelle Softwareversionen und eine klare Richtlinie für die Nutzung. Außerdem sollten regelmäßige Audits stattfinden, um sicherzustellen, dass die Passkeys korrekt zum Einsatz kommen. Der Einsatz von Windows 11 24H2 kann sich dabei lohnen, denn in diesem Release hat Microsoft Verbesserungen bei der Verwendung von Passkeys eingebaut, auf die wir in diesem Artikel noch eingehen.

Die Microsoft-Authenticator-App kann gerätegebundene Passkeys auch für iOS/iPad-OS und Android erstellen. Damit Nutzer diese Funktion verwenden können, müssen Sie diese Anmeldefunktion zunächst für das jeweilige Abonnement aktivieren. Dies geschieht im Microsoft Entra Admin Center. Rufen Sie das Entra Admin Center über die Adresse "entra.microsoft.com" auf. Danach erfolgt ein Klick auf "Authentifizierungsmethoden" bei "Schutz". Hier sollte bei "Hauptschlüssel (FIDO2)" bei "Aktiviert" der Wert "Ja" stehen. Ist das nicht der Fall, aktivieren Sie die Anmeldemethode.

Nachdem Sie auf "Konfigurieren" geklickt haben, stehen Ihnen mehrere Optionen zur Verfügung, um die "Hauptschlüssel (FIDO2)"-Authentifizierungsmethode für Ihr Unternehmen anzupassen. Die Einstellung "Self-Service-Setup aktivieren" ermöglicht es Ihren Benutzern, ihre eigenen FIDO2-Sicherheitsschlüssel eigenständig zu registrieren, zum Beispiel die Microsoft Authenticator-App. Mit der Option "Nachweis erzwingen" legen Sie fest, ob bei der Registrierung der Sicherheitsschlüssel eine Attestierung erforderlich ist, um die Authentizität der Geräte sicherzustellen. Die "Schlüsseleinschränkungsrichtlinie" bietet Ihnen die Möglichkeit, bestimmte Sicherheitsschlüssel zuzulassen oder zu blockieren, indem Sie die "Schlüsseleinschränkungen erzwingen" und die entsprechenden AAGUIDs (Authenticator Attestation GUIDs) definieren. Durch die Auswahl von "Microsoft Authenticator" erlauben Sie die Nutzung von gerätegebundenen Passkeys über die Microsoft-Authenticator-App auf iOS- und Android-Geräten. Stellen Sie sicher, dass Sie nach jeder Anpassung auf "Speichern" klicken, um die vorgenommenen Änderungen zu übernehmen.

Die Security Key Restriction ermöglicht es, bestimmte FIDO2-Schlüssel zu sperren. Das erfolgt auf Basis der Authenticator Attestation GUID. Die AAGUID ist eine eindeutige Kennung, die FIDO2-Schlüssel zur Authentifizierung einsetzen. Diese GUID besteht aus 128 Bit und identifiziert den Typ des Authentifikators, der für die sichere Anmeldung bei Systemen und Anwendungen dient. Die AAGUID spielt eine zentrale Rolle in der FIDO2-Architektur, da sie eine eindeutige Unterscheidung der verschiedenen Authentifikatoren ermöglicht und spezifische Informationen über deren Sicherheitsmerkmale und Herstellungsdetails liefert.

In der Praxis übermitteln die Geräte die AAGUID während der Registrierung des FIDO2-Schlüssels an den Server, wodurch der Server die Authentizität und Integrität des Authentifikators verifizieren kann, in diesem Fall die Authenticator-App. Diese Überprüfung ist wichtig, um sicherzustellen, dass nur vertrauenswürdige Geräte für die Authentifizierung im Einsatz sind. Im Entra Admin Center sehen Sie die AAGUIDs unten im Fenster mit den FIDO2-Sicherheitsschlüssel-Einstellungen. Sind bereits FIDO2-Sicherheitsschlüssel im Einsatz, ist es sinnvoll, die entsprechenden AAGUIDs zu dokumentieren, damit sie im Entra Admin Center hinzugefügt werden können.

Um gerätegebundene Passkeys in Microsoft 365 zu nutzen, sollten Anwender mindestens Android 14 oder iOS 17 nutzen und die neueste Version der Microsoft-Authenticator-App einsetzen. Um sich für die Verwendung von Passkeys zu registrieren, rufen die Nutzer zunächst die Seite "https://aka.ms/mysecurityinfo" auf. Das geht natürlich auch vom Browser eines PCs aus. Nach der Anmeldung wählen die User dann hier über "Anmeldemethode hinzufügen" die Option "Passkey in Microsoft Authenticator" aus.

Nun ist die Änderung noch mit einer aktuellen Benutzerauthentifizierung zu bestätigen. Dazu benötigt der Benutzer sein iPhone/Android-Smartphone mit der aktuellen Version der Authenticator-App. Anschließend fragt der Assistent, ob der Benutzer ein Android-Gerät oder ein iPhone/iPad verwendet. Jetzt zeigt der Assistent die notwendigen Schritte auf dem Endgerät an. Am Beispiel von iOS müssen in den Einstellungen des Smartphones bei "Automatisch ausfüllen & Passwörter" die Optionen "Passwörter und Passkeys automatisch ausfüllen" und "Authenticator" gesetzt sein. Bei "Codes konfigurieren in" sollte ebenfalls "Authenticator" aktiviert sein.

Danach erscheint der Hinweis, die Kamera-App auf dem Endgerät zu öffnen und den auf dem nächsten Fenster angezeigten QR-Code zu scannen. Hiernach wird die Authenticator-App mit Microsoft 365 verknüpft. Dabei lässt sich auch ein benutzerdefinierter Name verwenden. Bei "Sicherheitsinformationen" ist danach "Hauptschlüssel Microsoft Authenticator" als hinterlegte Authentifizierungsmethode integriert. Sobald der Passkey hinterlegt ist, können Anwender auf Ihren Endgeräten die Passkey-Anmeldung und den Microsoft-Authenticator auswählen.

Ist die gerätegebundene Authentifizierung einmal aktiviert, lässt sie sich generell auch geräteübergreifend nutzen. Dabei speichert jedes Device seinen eigenen Schlüssel. Möchte sich ein Anwender zum Beispiel im Webbrowser an einem Dienst in Microsoft 365 anmelden, wählt er im Anmeldefenster "Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel" aus. Beachten Sie, dass Microsoft leider von Zeit zu Zeit die Bezeichnung ändert, die Option dann aber einen ähnlichen Namen trägt.

Nach der Auswahl erscheint auf dem Bildschirm ein QR-Code, den die Nutzer erneut mit ihrem Smartphone einscannen. Anschließend erfolgt die Anmeldung mit dem Microsoft Authenticator. Wenn das nicht funktioniert, kann es hilfreich sein, das Entra-ID-Konto aus dem Authenticator zu entfernen und erneut hinzuzufügen. In diesem Fall ist darauf zu achten, dass mindestens eine weitere Authentifizierungsmethode aktiv ist. Dies gilt insbesondere, wenn parallel noch MFA im Einsatz ist und der zugehörige Code über den Authenticator generiert wird.

Generell ist es auch möglich die Authentifizierungsmethode "Befristeter Zugriffs-pass" im Entra Admin Center hinzuzufügen. Diese eignet sich besonders für die erstmalige Einrichtung von sicheren Anmeldeverfahren, für den Wiederherstellungszugriff oder für Szenarien, in denen Benutzer vorübergehend eine alternative Authentifizierungsmethode benötigen. In den Einstellungen legen Sie fest, wie lange ein temporäres Zugangspasswort gültig ist und ob es Anwender einmalig oder mehrfach verwenden dürfen. Sie können ihn auch auf bestimmte Benutzergruppen beschränken. Nach Ablauf der Gültigkeitsdauer verfällt der Ausweis automatisch.

Passkeys lassen sich neben Entra ID und Microsoft 365 für die Anmeldung in Windows 11 verwenden; seit dem Release 24H2 auch mit Passkeys von Drittanbietern. Microsoft hat den Assistenten für die Einrichtung überarbeitet. Darüber hinaus bietet Windows die Möglichkeit, die Passkeys an Orten wie Apples iCloud Keychain zu speichern. Die Schlüssel sind zudem in Windows nutzbar und die Verbindung zu Passwortmanagern ist direkt über APIs möglich. Gleiches gilt für die Synchronisation der Daten mit einem Microsoft-Konto, um mehrere Geräte anschließen zu können. Dies funktioniert jedoch noch nicht mit Entra-ID-Konten, sondern nur mit Microsoft-Accounts.

In Home-Office-Szenarien, in denen Benutzer mit ihrem eigenen PC arbeiten, lassen sich Microsoft-Konten verwenden und ebenfalls mit Passkeys schützen. Die Anmeldung an Windows ist sicher über Passkeys möglich und parallel dazu melden sich die Benutzer mit ihrer Entra-ID bei Ihrer Organisation an und nutzen hierfür ebenfalls einen Passkey.

Die Einrichtung der Schlüssel für Microsoft-Konten erfolgt jedoch nicht im Entra Admin Center, sondern die Benutzer übernehmen dies selbst für ihr persönliches Microsoft-Konto. Dazu melden sie sich bei "account.microsoft. com" an und gelangen über "Sicherheit" und die Schaltfläche "Anmeldemethoden verwalten" zu den Anmeldemethoden für Microsoft-Konten. Das Fenster zeigt eine Liste aller bisher konfigurierten Authentifizierungsmethoden.

Hier lassen sich durch einen Klick auf den Link "Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen" weitere Verfahren einrichten. Für die Aktivierung von Passkeys nutzen die User hier "Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel". Im Anschluss startet ein Assistent, der durch die Konfiguration führt. Die Auswahl der Optionen im folgenden Fenster unterscheidet sich je nach Ausstattung des PCs. Unterstützt ein Gerät die Anmeldung per Fingerabdruck oder Gesichtserkennung, erscheinen diese biometrischen Verfahren an dieser Stelle. Unterstützen PCs dies nicht, kann der Passkey mit einer PIN geschützt werden.

Durch das Speichern des Passkeys direkt im Microsoft-Konto ist dieser auf allen Geräten verfügbar, auf denen Sie sich mit dem gleichen Account anmelden. Sie müssen nur einmal die Konfiguration auf den entsprechenden PCs durchlaufen lassen und können danach auf alle Passkeys zugreifen, die im Microsoft-Konto gespeichert sind.

Parallel erlaubt Windows Hello auch das Ablegen von Passkeys auf mobilen Speichern oder mit dem PC verknüpften Smartphones. Diese Möglichkeit zeigt der Einrichtungsassistent an, wenn ein solches Gerät mit dem PC verbunden ist.

Wählen Sie die Variante "iPhone, iPad oder Android-Gerät" aus, erscheint ein QR-Code, den Sie mit dem Smartphone scannen müssen. Auf dem Device lässt sich danach auswählen, in welcher App der Schlüssel gespeichert werden soll. Das kann zum Beispiel eine Authenticator-App sein, oder im Fall von iPhones auch die neue App "Passwörter". Nach der Speicherung ist der Vorgang abgeschlossen und die Anmeldeoption wird im Microsoft-Konto gespeichert.

Über "Zusätzliche Sicherheitsoptionen" können Sie auf der Seite "account.microsoft.com" bei Bedarf den Account in ein "Kennwortloses Konto" umwandeln. Danach funktioniert die Authentifizierung nur noch über Windows Hello, einen Passkey oder die Authenticator-App. In BYOD-Szenarien ist das ideal, um die PCs und das Betriebssystem vor Phishing zu schützen, parallel zur Anmeldung an Entra ID/Microsoft 365.

Eine Übersicht über die gespeicherten Passkeys finden Sie in Windows 11 in den Einstellungen unter "Einstellungen / Konten / Passkeys". Diese lassen sich an dieser Stelle löschen, wenn sie nicht mehr benötigt werden.

Nachdem Passkeys bereits die Grundlage für eine sichere, passwortlose Authentifizierung in privaten und hybriden Umgebungen sowie mit Entra ID/Microsoft 365 geschaffen haben, geht Windows Hello for Business einen Schritt weiter. Es erweitert die beschriebenen Passkey-Funktionen von Windows Hello um spezifische Sicherheits- und Verwaltungsoptionen für Unternehmensnetzwerke, Entra ID und hybride Cloudumgebungen. So ermöglicht Windows Hello for Business eine nahtlose und passwortlose Authentifizierung an Windows-Arbeitsstationen, Unternehmensressourcen und Clouddiensten.

Die Konfiguration erfolgt idealerweise über Microsoft Intune. Zuvor müssen Sie die Verwendung von Passkeys im jeweiligen Azure-Abonnement über das Entra Admin Center einschalten, wie wir in diesem Beitrag bereits gezeigt haben. Im Intune Admin Center aktivieren Sie dann Windows Hello for Business über den Punkt "Geräte / Registrierung". Hier verwenden Sie die Einstellung "Windows Hello for Business konfigurieren" und setzen diese auf "Aktiviert".

Über "Endpunktsicherheit / Verwalten / Kontoschutz" lassen sich Sicherheitsrichtlinien erstellen. Die Auswahl "Windows" als Plattform und "Kontoschutz" als Profiltyp ermöglicht die detaillierte Konfiguration von PIN-Längen, Zeichentypen und weiteren Sicherheitsvorgaben für die Anmeldung. Die erstellten Richtlinien weisen Sie entweder an einzelne Geräte oder Benutzergruppen zu.

Nach der Bereitstellung der Richtlinien startet auf den zugewiesenen Geräten der Einrichtungsassistent von Windows Hello,

sobald sich der Benutzer anmeldet. Die Einrichtung erfolgt ebenfalls analog zur Konfiguration von Windows Hello. Der Assistent führt den Benutzer durch den Prozess der biometrischen Anmeldung oder der Festlegung einer PIN. Wichtig ist, dass der Login an jedem Gerät separat zu konfigurieren ist, wobei die voreingestellten Sicherheitsrichtlinien automatisch Anwendung finden.

Nach dem erfolgreichen Setup greifen Benutzer auf Ressourcen in der Cloud oder lokal zu, ohne sich erneut authentifizieren zu müssen. Die Anmeldung erfolgt über Windows Hello oder andere konfigurierte Methoden wie die Authenticator-App. Administratoren können bei Bedarf auch auf Conditional Access zurückgreifen, um für bestimmte Aktionen oder Anwendungen eine zusätzliche Multifaktor-Authentifizierung zu verlangen.

Sobald ein Gerät erfolgreich registriert ist, wird es im Intune Admin Center unter "Geräte" sichtbar. Über die App "Unternehmensportal" erhalten Benutzer Zugriff auf freigegebene Ressourcen und Anwendungen oder können Informationen über ihre Geräte abrufen. Diese zentrale Verwaltung ermöglicht es Admins, die Sicherheit und Compliance aller angebundenen Geräte kontinuierlich zu überwachen und anzupassen.

Passkeys bieten eine sichere und benutzerfreundliche Alternative zu herkömmlichen Passwörtern und eliminieren viele bekannte Angriffsvektoren wie Phishing oder Brute-Force-Attacken. Durch die Verwendung asymmetrischer Kryptografie verbleibt der private Schlüssel auf dem Gerät des Benutzers, was das Risiko eines Datendiebstahls erheblich reduziert. Durch die Integration in Microsoft 365, Entra ID und Windows 11 können Unternehmen diese Technologie einfach einführen, gleichzeitig die Sicherheit erhöhen und den Verwaltungsaufwand verringern.

Trotz der zahlreichen Vorteile erfordert die Umstellung auf Passkeys eine sorgfältige Planung, da nicht alle Systeme diese Technologie bereits unterstützen und die Benutzer sich an neue Authentifizierungsprozesse gewöhnen müssen. Die Verwaltung und Wiederherstellung von Passkeys stellt eine weitere Herausforderung dar, der Unternehmen mit klaren Richtlinien und Schulungen begegnen sollten. Die kontinuierliche Weiterentwicklung der Passkey-Technologie und ihre zunehmende Akzeptanz durch große Anbieter wie Microsoft werden dazu beitragen, den Übergang von klassischen Passwörtern zu passwortfreien Anmeldemethoden weiter zu beschleunigen.