Microsoft wird ab Ende April die Passkey-Unterstützung für phishing-resistente, passwortlose Authentifizierung für **Microsoft Entra**-geschützte Ressourcen von Windows-Geräten aus einführen. Die Funktion wird voraussichtlich Mitte Juni 2026 allgemein verfügbar sein und die passwortlose Anmeldung auch auf nicht verwaltete Windows-Geräte ausweiten. Microsoft gibt an, dass Entra Passkeys unter Windows Unternehmens-, persönliche und gemeinsam genutzte Geräte unterstützen werden, mit Administratorsteuerungen über Conditional Access und Authentication Methods Policies. "Benutzer können gerätegebundene Passkeys erstellen, die im **Windows Hello**-Container gespeichert sind, und sich mit Windows Hello-Methoden (Gesicht, Fingerabdruck oder PIN) authentifizieren", teilte Microsoft [in einem Update des Nachrichten-Centers](https://admin.microsoft.com/#/MessageCenter/:/messages/MC1282568) mit. "Dies erweitert die Unterstützung für passwortlose Authentifizierung auf Windows-Geräte, die nicht mit Microsoft Entra verbunden oder registriert sind, und hilft Organisationen, die Sicherheit zu stärken und die Abhängigkeit von Passwörtern in Szenarien mit Unternehmens-, persönlichen und gemeinsam genutzten Geräten zu reduzieren." Die neue Sicherheitsfunktion wird in Organisationen verfügbar sein, die 'Microsoft Entra ID mit Passkeys' in der 'Authentication Methods policy' für Benutzer aktiviert haben, die sich bei Windows-Geräten anmelden, die nicht mit Microsoft Entra verbunden oder registriert sind, vorausgesetzt, Conditional Access-Richtlinien erlauben dies (z. B. von Unternehmens-, persönlichen oder gemeinsam genutzten Geräten). Sie ermöglicht auch die Erstellung von **FIDO2**-Passkeys, die in einem sicheren lokalen Anmeldeinformationscontainer gespeichert sind und nur zur Authentifizierung bei Microsoft Entra ID über Windows Hello mittels Gesichtserkennung, Fingerabdruck oder PIN verwendet werden können (im Gegensatz zu Windows Hello for Business, das auch die Geräteanmeldung ermöglicht). | Feature | Microsoft Entra Passkey unter Windows | Windows Hello for Business | |---|---|---| | Standardbasis | FIDO2 | FIDO2 für die Authentifizierung, First-Party (1P) Protokoll für die Geräteanmeldung | | Registrierung | Benutzerinitiiert, erfordert keine Geräteverbindung oder -registrierung | Automatisch auf einigen mit Microsoft Entra verbundenen oder registrierten Geräten während der Geräteregistrierung bereitgestellt | | Geräteanmeldung und Single Sign-On (SSO) | N/A | Ermöglicht Geräteanmeldung und SSO bei Microsoft Entra-integrierten Ressourcen nach der Geräteanmeldung | | Anmeldeinformationsbindung | An das Gerät gebunden und im lokalen Windows Hello-Container gespeichert. Benutzer können mehrere Passkeys für mehrere Arbeits- oder Schulkonten auf demselben Gerät registrieren. | Hauptsächlich eine gerätegebundene Anmeldemethode, die mit dem Gerätevertrauen verknüpft ist. Die Anmeldeinformationen sind nur an das Arbeits- oder Schulkonto gebunden, das zur Registrierung des Geräts verwendet wurde. | | Verwaltung | Microsoft Entra ID Authentication Methods policy | Microsoft Intune<br> Group Policy | Darüber hinaus sind Passkeys kryptografisch an jedes Gerät gebunden und werden niemals über das Netzwerk übertragen, sodass Angreifer sie bei Phishing- oder Malware-Angriffen nicht stehlen können, um die Multifaktor-Authentifizierung zu umgehen. Obwohl Microsoft nicht angab, warum diese Funktion hinzugefügt wurde, schließt die Einführung von Microsoft Entra Passkeys unter Windows eine Sicherheitslücke, die persönliche und gemeinsam genutzte Geräte zuvor auf passwortbasierte Microsoft Entra ID-Authentifizierung angewiesen ließ. In den letzten Monaten haben Angreifer Microsoft Entra Single Sign-On (SSO)-Konten [heftig ins Visier genommen](https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-entra-accounts-in-device-code-vishing-attacks/) [mit gestohlenen Anmeldeinformationen](https://www.bleepingcomputer.com/news/security/shinyhunters-claim-to-be-behind-sso-account-data-theft-attacks/) in einer Welle von jüngsten SaaS-Datenklau-Angriffen. BleepingComputer hat sich für weitere Details an Microsoft gewandt, aber eine Antwort war nicht sofort verfügbar. Im Oktober 2024 kündigte Microsoft an, die Sicherheit über Entra-Tenants hinweg zu verbessern, indem die [Registrierung für Multifaktor-Authentifizierung (MFA) obligatorisch gemacht wird](https://www.bleepingcomputer.com/news/microsoft/microsoft-entra-security-defaults-to-make-mfa-setup-mandatory/), wenn Security Defaults aktiviert sind, als Teil der [Secure Future Initiative](https://www.microsoft.com/en-us/trust-center/security/secure-future-initiative) des Unternehmens, die im November 2023 gestartet wurde, um den Cybersicherheitsschutz über seine Produkte hinweg zu erhöhen. Zusätzlich kündigte Microsoft im Mai 2025 an, dass alle neuen Microsoft-Konten "standardmäßig passwortlos" sein werden, um sie vor Brute-Force-, Credential-Stuffing- und Phishing-Angriffen zu schützen.