Aktivieren von Passkeys (FIDO2) für Ihre Organisation
Passkeys (FIDO2) bieten Unternehmen, die aktuell Passwörter verwenden, eine nahtlose Möglichkeit für Mitarbeitende, sich ohne Eingabe eines Benutzernamens oder Passworts zu authentifizieren. Passkeys (FIDO2) ermöglichen den Mitarbeitenden eine bessere Produktivität und bieten eine höhere Sicherheit.
In diesem Artikel sind die Anforderungen und Schritte zum Aktivieren von Passkeys in Ihrer Organisation aufgeführt. Nach Ausführung dieser Schritte können Benutzer in Ihrer Organisation ihr Microsoft Entra-Konto mithilfe eines Passkey registrieren, der in einem FIDO2-Sicherheitsschlüssel oder in Microsoft Authenticator gespeichert ist, und sich anmelden.
Weitere Informationen zum Aktivieren von Passkeys in Microsoft Authenticator finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.
Weitere Informationen zur Passkey-Authentifizierung finden Sie unter Unterstützung für die FIDO2-Authentifizierung mit Microsoft Entra ID.
Hinweis
Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.
Anforderungen
- Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra.
- FIDO2-Sicherheitsschlüssel, die für einen Nachweis mit Microsoft Entra ID oder Microsoft Authenticator berechtigt sind.
- Geräte, die die Passkey-Authentifizierung (FIDO2) unterstützen. Für Windows-Geräte, die in Microsoft Entra ID eingebunden sind, eignet sich besonders Windows 10 Version 1903 oder höher. Auf hybrid eingebundenen Geräten muss Windows 10 Version 2004 oder höher ausgeführt werden.
Passkeys (FIDO2) werden in wichtigen Szenarien unter Windows, macOS, Android und iOS unterstützt. Weitere Informationen zu unterstützten Szenarien finden Sie unter Unterstützung für die FIDO2-Authentifizierung in Microsoft Entra ID.
Hinweis
Unterstützung für die Registrierung auf demselben Gerät in Edge unter Android wird in Kürze verfügbar sein.
Passkey (FIDO2)-AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID)
Gemäß FIDO2-Spezifikation muss jeder Sicherheitsschlüsselanbieter während der Registrierung eine AAGUID (Authenticator Attestation GUID, Authenticator-Nachweis-GUID) bereitstellen. Die AAGUID ist eine 128-Bit-ID, die den Schlüsseltyp angibt (z. B. Aussteller und Modell). Passkey (FIDO2)-Anbieter auf Desktop- und Mobilgeräten müssen ebenfalls während der Registrierung eine AAGUID angeben.
Hinweis
Der Anbieter muss sicherstellen, dass die AAGUID für alle ähnlichen Sicherheitsschlüssel oder Passkey (FIDO2)-Anbieter dieses Anbieters identisch ist und sich gleichzeitig (mit hoher Wahrscheinlichkeit) von den AAGUIDs aller anderen Schlüsseltypen und Passkey (FIDO2)-Anbieter unterscheidet. Um dies sicherzustellen, sollte die AAGUID für einen bestimmten Sicherheitsschlüsseltyp oder Passkey (FIDO2)-Anbieter nach dem Zufallsprinzip generiert werden. Weitere Informationen finden Sie unter Web Authentication: An API for accessing Public Key Credentials – Level 2 (Webauthentifizierung: Eine API für den Zugriff auf Anmeldedaten für öffentliche Schlüssel – Ebene 2 (w3.org)).
Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID des Passkeys (FIDO2) zu ermitteln oder FIDO2-Sicherheitsschlüssel anzuzeigen, die für den Nachweis mit der Microsoft Entra-ID berechtigt sind. Wenn der Passkey (FIDO2) bereits registriert ist, können Sie die AAGUID ermitteln, indem Sie die Details zur Authentifizierungsmethode des Passkey (FIDO2) für die Benutzer anzeigen.
Aktivieren von Methoden zur Passkey-Authentifizierung (FIDO2)
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinie für Authentifizierungsmethoden.
Legen Sie unter der Methode Passkey (FIDO2) den Umschalter auf Aktivieren fest. Wählen Sie Alle Benutzer oder Gruppen hinzufügen aus, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.
Auf der Registerkarte Konfigurieren:
Legen Sie Self-Service-Setup zulassen auf Ja fest. Wenn Nein festgelegt ist, können Benutzer einen Passkey nicht mithilfe von Sicherheitsinformationen registrieren, auch wenn Passkeys (FIDO2) von der Richtlinie für Authentifizierungsmethoden aktiviert sind.
Nachweis durchsetzen sollte auf Ja festgelegt werden, wenn Ihre Organisation sicherstellen möchte, dass ein FIDO2-Sicherheitsschlüsselmodell oder Passkey-Anbieter echt ist und von einem legitimen Anbieter stammt.
- Bei FIDO2-Sicherheitsschlüssel verlangen wir, dass Sicherheitsschlüsselmetadaten mit FIDO Alliance Metadata Service veröffentlicht und überprüft werden, und sie müssen auch den zusätzlichen Validierungstest von Microsoft bestehen. Weitere Informationen finden Sie unter Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden.
- Für Passkeys in Microsoft Authenticator ist die Unterstützung für Nachweise für die allgemeine Verfügbarkeit geplant.
Warnung
Die Erzwingung des Nachweises bestimmt, ob ein Passkey (FIDO2) nur während der Registrierung zulässig ist. Benutzer, die einen Passkey (FIDO2) ohne Nachweis registrieren, werden bei der Anmeldung nicht blockiert, wenn Nachweis erzwingen späterenr auf Ja festgelegt wird.
Schlüsseleinschränkungsrichtlinie
- Schlüsseleinschränkungen erzwingen sollte nur auf Ja festgelegt werden, wenn Ihre Organisation nur bestimmte Sicherheitsschlüsselmodelle oder Passkey-Anbieter zulassen oder nicht zulassen möchte, die durch ihre AAGUID identifiziert werden. Sie können mit Ihrem Sicherheitsschlüsselanbieter zusammenarbeiten, um die AAGUID des Passkey zu bestimmen. Wenn der Passkey bereits registriert ist, können Sie die AAGUID ermitteln, indem Sie die Details zur Authentifizierungsmethode des Passkey für die Benutzer anzeigen.
Wenn „Schlüsseleinschränkungen erzwingen“ auf „Ja“ festgelegt ist, können Sie Microsoft Authenticator auswählen, um die AAGUIDs der Authenticator-App automatisch der Liste der Schlüsseleinschränkungen hinzuzufügen. Weitere Informationen finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.
Warnung
Schlüsseleinschränkungen legen die Nutzbarkeit bestimmter Modelle oder Anbieter sowohl für die Registrierung als auch für die Authentifizierung fest. Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden.
Wenn Ihre Organisation derzeit keine wichtigen Einschränkungen durchsetzt und bereits über eine aktive Passkey-Nutzung verfügt, sollten Sie die AAGUIDs der heute verwendeten Schlüssel erfassen. Fügen Sie sie zusammen mit den AAGUIDs von Authenticator der Zulassungsliste hinzu, um Passkeys (FIDO2) zu aktivieren. Diese Aufgabe kann mit einem automatisierten Skript erfolgen, das Protokolle analysiert, z. B. Registrierungsdetails und Anmeldeprotokolle.
Hinweis
Wenn Sie die Schlüsseleinschränkungen deaktivieren, sollten Sie auch das Kontrollkästchen Microsoft Authenticator deaktivieren, damit Benutzende in Sicherheitsinformationen nicht aufgefordert werden, einen Passkey in der Authenticator-App einzurichten.
Wählen Sie nach Abschluss der Konfiguration Speichern aus.
Hinweis
Wenn beim Speichern ein Fehler angezeigt wird, ersetzen Sie mehrere Gruppen durch eine einzelne Gruppe in einem Vorgang, und klicken Sie dann erneut auf Speichern.
Bereitstellen von FIDO2-Sicherheitsschlüsseln mithilfe der Microsoft Graph-API (Vorschau)
Momentan können Administratoren Microsoft Graph und benutzerdefinierte Clients verwenden, um FIDO2-Sicherheitsschlüssel im Namen von Benutzern bereitzustellen. Die Bereitstellung erfordert die Rolle Authentifizierungsadministrator oder eine Clientanwendung mit der Berechtigung UserAuthenticationMethod.ReadWrite.All. Zu den Verbesserungen bei der Bereitstellung gehören:
- Die Möglichkeit, WebAuthn Erstellungsoptionen von Microsoft Entra ID abzufragen
- Die Möglichkeit, den bereitgestellten Sicherheitsschlüssel direkt bei Microsoft Entra ID zu registrieren
Mit diesen neuen APIs können Organisationen ihre eigenen Clients erstellen, um Passkey (FIDO2)-Anmeldeinformationen auf Sicherheitsschlüsseln im Namen eines Benutzenden bereitzustellen. Um diesen Prozess zu vereinfachen, sind drei Hauptschritte erforderlich.
- Anfrage creationOptions für einen Benutzer: Microsoft Entra ID gibt die notwendigen Daten für Ihren Client zurück, um ein Passkey (FIDO2) Credential bereitzustellen. Dazu gehören Informationen wie Benutzerinformationen, die ID der vertrauenden Instanz, Anforderungen an die Berechtigungsrichtlinien, Algorithmen, Registrierungsanforderungen und vieles mehr.
- Bereitstellen des Passkey (FIDO2) Credentials mit den Erstellungsoptionen: Verwenden Sie die
creationOptions
und einen Client, der das Client to Authenticator Protocol (CTAP) unterstützt, um die Berechtigung bereitzustellen. In diesem Schritt müssen Sie den Sicherheitsschlüssel eingeben und eine PIN festlegen. - Registrieren Sie die bereitgestellten Anmeldeinformationen mit der Microsoft Entra-ID: Verwenden Sie die formatierte Ausgabe aus dem Bereitstellungsprozess, um Microsoft Entra-ID die erforderlichen Daten bereitzustellen, und die Anmeldeinformationen (FIDO2) für den Zielbenutzer zu registrieren.
Aktivieren von Passkeys (FIDO2) mithilfe der Microsoft Graph-API
Sie können die Passkeys (FIDO2) nicht nur über das Microsoft Entra Admin Center, sondern auch mithilfe der Microsoft Graph-API aktivieren. Zum Aktivieren von Passkeys (FIDO2) müssen Sie die Richtlinie für Authentifizierungsmethoden mindestens als Authentifizierungsrichtlinienadministrator aktualisieren.
So konfigurieren Sie die Richtlinie mithilfe von Graph-Tester:
Melden Sie sich bei Graph-Tester an, und stimmen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zu.
Rufen Sie die Authentifizierungsmethodenrichtlinie ab:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Um die Erzwingung von Nachweisen zu deaktivieren und Schlüsseleinschränkungen zu erzwingen, um beispielsweise nur die AAGUID für RSA DS100 zuzulassen, führen Sie einen PATCH-Vorgang mit dem folgenden Anforderungstext aus:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }
Stellen Sie sicher, dass die Passkey-Richtlinie (FIDO2) ordnungsgemäß aktualisiert wird.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Löschen eines Passkeys (FIDO2)
Um einen Passkey (FIDO2) zu entfernen, der einem Benutzerkonto zugeordnet ist, löschen Sie ihn aus den Authentifizierungsmethoden des Benutzers bzw. der Benutzerin.
- Melden Sie sich beim Microsoft Entra Admin Center an, und suchen Sie nach dem Benutzer, dessen Passkey (FIDO2) entfernt werden muss.
- Wählen Sie Authentifizierungsmethoden> aus, klicken Sie mit der rechten Maustaste auf Passkey (gerätegebunden) und wählen Sie Löschen aus.
Durchsetzen der Passkey (FIDO2)-Anmeldung
Wie folgt können Sie durchsetzen, dass sich Benutzer mit einem Passkey (FIDO2) anmelden, wenn sie auf eine sensible Ressource zugreifen:
Verwenden einer integrierten gegen Phishing resistenten Authentifizierungsstärke
Oder
Erstellen einer benutzerdefinierten Authentifizierungsstärke
Die folgenden Schritte zeigen, wie Sie eine Richtlinie für bedingten Zugriff mit einer benutzerdefinierten Authentifizierungsstärke erstellen, die die Anmeldung mit Passkey (FIDO2) nur für ein bestimmtes Sicherheitsschlüsselmodell oder einen bestimmten Passkey (FIDO2)-Anbieter zulässt. Eine Liste der FIDO2-Anbieter finden Sie unter FIDO2-Sicherheitsschlüssel, die für den Nachweis mit Microsoft Entra ID berechtigt sind.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Browsen Sie zu Schutz>Authentifizierungsmethoden>Authentifizierungsstärken.
- Wählen Sie Neue Authentifizierungsstärke aus.
- Geben Sie einen Namen für Ihre neue Authentifizierungsstärke an.
- Erstellen Sie optional eine Beschreibung.
- Wählen Sie Passkeys (FIDO2) aus.
- Wenn Sie nach bestimmten AAGUIDs einschränken möchten, wählen Sie optional Erweiterte Optionen und dann AAGUID hinzufügen aus. Geben Sie die zulässigen AAGUIDs ein. Wählen Sie Speichern.
- Wählen Sie Weiter aus, und überprüfen Sie die Richtlinienkonfiguration.
Bekannte Probleme
Bereitstellung von Sicherheitsschlüsseln
Die Administratorbereitstellung von Passkeys befindet sich in der Public Preview. Weitere Informationen finden Sie unter Microsoft Graph und benutzerdefinierte Clients zum Bereitstellen von FIDO2-Sicherheitsschlüsseln im Namen von Benutzenden.
B2B-Zusammenarbeitsbenutzer
Die Registrierung von Passkey (FIDO2)-Anmeldedaten wird für B2B Collaboration-Benutzer im Ressourcenmandanten nicht unterstützt.
Änderungen des Benutzerprinzipalnamens
Wenn der Benutzerprinzipalname eines Benutzers geändert wird, können Sie die Passkeys (FIDO2) nicht mehr ändern, um dies zu berücksichtigen. Wenn der Benutzer oder die Benutzerin über einen Passkey (FIDO2) verfügt, muss er bzw. sie sich bei Sicherheitsinformationen anmelden, den alten Passkey (FIDO2) löschen und den neuen hinzufügen.
Nächste Schritte
Native App- und Browserunterstützung der kennwortlosen Authentifizierung per Passkey (FIDO2)
Anmelden mit FIDO2-Sicherheitsschlüsseln bei Windows 10-Geräten
Aktivieren der FIDO2-Authentifizierung für lokale Ressourcen
Registrieren von Sicherheitsschlüsseln im Namen von Benutzern
Erfahren Sie mehr über die Geräteregistrierung
Weitere Informationen zur Multi-Faktor-Authentifizierung in Microsoft Entra