Passkey-Authentifizierungsmatrix (FIDO2) mit Microsoft Entra ID

Microsoft Entra ID ermöglicht die Verwendung von Passkeys (FIDO2) für die kennwortlose Multi-Faktor-Authentifizierung. In diesem Artikel wird erläutert, welche nativen Anwendungen, Webbrowser und Betriebssysteme die Anmeldung mithilfe von Passkeys bei Microsoft Entra ID unterstützen.

Informationen zum Aktivieren von FIDO2-Sicherheitsschlüsseln zum Entsperren eines Windows-Geräts finden Sie unter Aktivieren der Anmeldung mit FIDO2-Sicherheitsschlüsseln bei Windows 10- und 11-Geräten mit Microsoft Entra ID.

Hinweis

Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.

Webbrowser

Im folgenden Abschnitt wird die Unterstützung für die FIDO2-Authentifizierung in Webbrowsern mit Microsoft Entra ID behandelt.

OS	Chrome	Edge	Firefox	Safari
Windows	✅	✅	✅	–
macOS	✅	✅	✅	✅
ChromeOS	✅	–	–	–
Linux	✅	✅	✅	–
iOS	✅	✅	✅	✅
Android	✅	✅	❌	–

Überlegungen für jede Plattform

Windows

• Für die Anmeldung mit Sicherheitsschlüsseln ist eines der folgenden Elemente erforderlich:
  • Windows 10, Version 1903 oder höher
  • Chromium-basierter Microsoft Edge-Browser
  • Chrome 76 oder höher
  • Firefox 66 oder höher

macOS

• Für die Anmeldung mit Passkey ist macOS Catalina 11.1 oder höher mit Safari 14 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
• Near Field Communication- (NFC) und Bluetooth Low Energy-Sicherheitsschlüssel (BLE) werden von Apple auf macOS nicht unterstützt.
• Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in diesen macOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
• Weitere Informationen zu Safari unter macOS finden Sie unter Anmelden, wenn mehr als drei Passkeys registriert sind.

ChromeOS

• NFC- und BLE-Sicherheitsschlüssel werden von Google auf ChromeOS nicht unterstützt.
• Die Registrierung von Sicherheitsschlüsseln wird unter ChromeOS oder in Chrome-Browsern nicht unterstützt.

Linux

• Die Anmeldung mit einem Passkey in Microsoft Authenticator wird in Firefox unter Linux nicht unterstützt.

iOS

• Für die Anmeldung mit Passkey ist iOS 14.3 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
• BLE-Sicherheitsschlüssel werden unter iOS von Apple nicht unterstützt.
• NFC mit FIPS 140-3 zertifizierten Sicherheitsschlüsseln wird von Apple unter iOS nicht unterstützt.
• Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in iOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
• Weitere Informationen finden Sie unter Anmelden, wenn mehr als drei Passkeys registriert sind.

Android

• Für die Anmeldung mit Passkey ist Google Play Services 21 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
• BLE-Sicherheitsschlüssel werden von Google unter Android nicht unterstützt.
• Die Sicherheitsschlüsselregistrierung bei Microsoft Entra  D wird unter Android noch nicht unterstützt.
• Die Anmeldung mit Passkey wird in Firefox unter Android nicht unterstützt.

Bekannte Probleme

Anmelden, wenn mehr als drei Passkeys registriert sind

Wenn Sie mehr als drei Passkeys registriert haben, funktioniert die Anmeldung mit einem Passkey für iOS oder Safari unter macOS möglicherweise nicht. Wenn Sie über mehr als drei Passkeys verfügen, klicken Sie als Problemumgehung auf Anmeldeoptionen, und melden Sie sich an, ohne einen Benutzernamen einzugeben.

Native Apps

Im folgenden Abschnitt wird die Unterstützung für Passkey-Authentifizierung (FIDO2-Authentifizierung) in Microsoft- und Drittanbieteranwendungen mit Microsoft Entra ID behandelt.

Hinweis

Die Passkey-Authentifizierung mit einem Drittanbieter-Identitätsanbieter (IDP) wird derzeit in Anwendungen von Drittanbietern mit Authentifizierungsbroker oder Microsoft-Anwendungen unter macOS, iOS oder Android nicht unterstützt.

Nativer Anwendungssupport mit Authentifizierungsbroker

Microsoft-Anwendungen bieten nativen Support für die Passkeyauthentifizierung für alle Benutzenden, die einen Authentifizierungsbroker für ihr Betriebssystem installiert haben. Die Passkey-Authentifizierung wird mithilfe des Authentifizierungsbrokers auch für Drittanbieteranwendungen unterstützt.

Wenn Benutzende einen Authentifizierungsbroker installiert haben, können sie sich mit einem Passkey anmelden, wenn sie auf eine Anwendung wie Outlook zugreifen. Sie werden zur Anmeldung mit einem Passkey umgeleitet, und nach erfolgreicher Authentifizierung werden sie als angemeldete Benutzer*innen zurück zu Outlook geleitet.

In den folgenden Tabellen ist aufgeführt, welche Authentifizierungsbroker für verschiedene Betriebssysteme unterstützt werden.

OS	Authentifizierungsbroker
iOS	Microsoft Authenticator
macOS	Microsoft Intune-Portal/Unternehmensportal
Android	Authentifikator, Unternehmensportal oder Link zu Windows-App

Microsoft-Anwendungsunterstützung ohne Authentifizierungsbroker

In der folgenden Tabelle ist die Microsoft-Anwendungsunterstützung für Passkey (FIDO2) ohne Authentifizierungsbroker aufgeführt. Aktualisieren Sie Ihre Apps auf die neueste Version, um sicherzustellen, dass sie mit Passkeys funktionieren.

Application	macOS	iOS	Android
Remotedesktop	✅	✅	❌
Windows App	✅	✅	❌
Microsoft 365 Copilot (Office)	–	✅	❌
Wort	✅	✅	❌
PowerPoint	✅	✅	❌
Excel	✅	✅	❌
OneNote	✅	✅	❌
Schleife	–	✅	❌
OneDrive	✅	✅	❌
Outlook	✅	✅	❌
Teams	✅	✅	❌
Edge	✅	✅	❌

Unterstützung von Drittanbieteranwendungen ohne Authentifizierungsbroker

Wenn Benutzer oder Benutzerinnen noch keinen Authentifizierungsbroker installiert haben, können sie sich weiterhin mit einem Sicherheitscode anmelden, wenn sie auf MSAL-fähige Anwendungen zugreifen. Weitere Informationen zu den Anforderungen für MSAL-fähige Anwendungen finden Sie unter Unterstützen der kennwortlosen Authentifizierung mit FIDO2-Schlüsseln in von Ihnen entwickelten Apps.

Überlegungen für jede Plattform

Windows

• Für die Anmeldung mit DEM FIDO2-Sicherheitsschlüssel für systemeigene Apps ist Windows 10, Version 1903 oder höher, erforderlich.
• Für die Anmeldung mit Passkey in Microsoft Authenticator für systemeigene Apps ist Windows 11, Version 22H2 oder höher, erforderlich.
• Microsoft Graph PowerShell- unterstützt Passkeys (FIDO2). Einige PowerShell-Module, die Internet Explorer statt Edge verwenden, können keine FIDO2-Authentifizierung ausführen. Zum Beispiel zeigen PowerShell-Module für SharePoint Online oder Teams oder jegliche PowerShell-Skripte, die Administratoranmeldeinformationen erfordern, keine Eingabeaufforderung für FIDO2 an.
  • Als Workaround können die meisten Anbieter Zertifikate zu den FIDO2-Sicherheitsschlüsseln hinzufügen. Die zertifikatsbasierte Authentifizierung (CBA) funktioniert bei allen Browsern. Wenn Sie CBA für diese Administratorkonten aktivieren können, können Sie in der Zwischenzeit CBA anstelle von FIDO2 vorgeben.

iOS

• Für die Anmeldung mit Passkey in nativen Apps ohne Plug-In für Microsoft Enterprise Single Sign-On (SSO) ist iOS 16.0 oder höher erforderlich.
• Für die Anmeldung mit Passkey in nativen Apps mit dem SSO-Plug-In ist iOS 17.1 oder höher erforderlich.

macOS

• Unter macOS ist das Microsoft Enterprise Single Sign On-Plug-In (SSO) erforderlich, um das Unternehmensportal als Authentifizierungsbroker zu aktivieren. Geräte, auf denen macOS ausgeführt wird, müssen die SSO-Plug-In-Anforderungen erfüllen, einschließlich der MDM-Registrierung.
• Für die Anmeldung mit Passkey in nativen Apps mit dem SSO-Plug-In ist macOS 14.0 oder höher erforderlich.

Android

• Für die Anmeldung mit FIDO2-Sicherheitsschlüsseln für native Apps ist Android 13 oder höher erforderlich.
• Für die Anmeldung mit Passkey in Microsoft Authenticator in nativen Apps ist Android 14 oder höher erforderlich.
• Die Anmeldung mit von Yubico hergestellten FIDO2-Sicherheitsschlüsseln mit aktivierter YubiOTP-Funktion funktioniert möglicherweise nicht auf Samsung Galaxy-Geräten. Als Problemumgehung können Benutzer YubiOTP deaktivieren und erneut versuchen, sich anzumelden.

Nächste Schritte

Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln