Toms Wochentipp: Automatische Tenant-Aktivierung und Steuerung über passkeyType Microsoft führt Passkey-Profile in Entra ID ein

Microsoft erweitert Entra ID um Passkey-Profile und synchronisierte Passkeys. Jeder Tenant erhält eine neue Profilstruktur für FIDO2-Authentifizierung. Die zusätzliche Eigenschaft „passkeyType“ steuert den zulässigen Passkey-Typ. Ohne aktives Opt-in startet eine zeitlich definierte Migration mit Übernahme bestehender Richtlinien.

Microsoft hat die allgemeine Verfügbarkeit weltweit Anfang März 2026 gestartet und will den Rollout bis Ende März abgeschlossen haben. Tenants in GCC, GCC High und DoD erhalten die Aktualisierung ab Anfang April mit Abschluss bis Ende April. Alle Entra ID Tenants fallen unter diese Änderung, unabhängig von Größe oder Lizenzmodell.

Tenants ohne Opt-in durchlaufen eine automatische Aktivierung in einem zweiten Zeitfenster. Weltweit beginnt dieser Prozess Anfang April und endet Ende Mai. Für GCC, GCC High und DoD startet die automatische Umstellung Anfang Juni mit Abschluss bis Ende Juni. Microsoft führt das neue Schema tenantweit ein und integriert bestehende FIDO2-Einstellungen in die neue Profilarchitektur.

Neue Eigenschaft passkeyType und Profilmodell

Das neue Passkey-Profil ersetzt die bisherige Einzelkonfiguration von FIDO2 durch ein strukturiertes Steuerungsmodell. Kernbestandteil bildet die Eigenschaft „passkeyType“. Administratoren definieren darüber, ob ein Tenant ausschließlich gerätegebundene Passkeys akzeptiert, ausschließlich synchronisierte Passkeys zulässt oder beide Varianten parallel einsetzt.

Gerätegebundene Passkeys bleiben an ein konkretes Endgerät gekoppelt und nutzen hardwarebasierte Sicherheitsmodule. Synchronisierte Passkeys replizieren sich über einen Cloud-Dienst auf mehrere Geräte eines Benutzers. Die Auswahl beeinflusst Sicherheitsanforderungen, Wiederherstellungsprozesse und Gerätestrategien in Microsoft 365- und Azure-Umgebungen.

Migration bestehender FIDO2-Konfigurationen

Im Rahmen der automatischen Aktivierung überführt Entra ID bestehende Passkey FIDO2 Konfigurationen in ein neu angelegtes Default-Passkey-Profil. Bestehende Schlüsselrestriktionen bleiben erhalten. Vorhandene Benutzerziele ordnet das System diesem Default-Profil zu.

Den Wert von „passkeyType“ setzt die Plattform auf Basis der aktuellen Attestierungsrichtlinie. Aktivierte Erzwingung der Attestierung führt zur Freigabe ausschließlich gerätegebundener Passkeys. Deaktivierte Erzwingung erlaubt gerätegebundene und synchronisierte Passkeys. Diese Ableitung spiegelt die bisherige Sicherheitsausrichtung des Tenants in der neuen Profilstruktur.

Auswirkungen auf Microsoft-verwaltete Registrierungskampagnen

Tenants mit aktivierten synchronisierten Passkeys und Microsoft-verwalteter Registrierungskampagne erhalten eine Anpassung der Zielmethode. Die Kampagne richtet sich künftig auf Passkeys aus. Die Standardzielgruppe erweitert sich auf alle MFA-fähigen Benutzerkonten.

Die Konfigurationsparameter für eine begrenzte Anzahl von Verschiebungen entfallen. Das System erlaubt unbegrenztes Verschieben mit täglicher Erinnerung. Individuell konfigurierte Kampagnen behalten ihre Einstellungen, sofern keine Anpassung erfolgt.

Vorbereitung und operative Maßnahmen

Organisationen prüfen vor Beginn ihres Aktivierungsfensters, ob die automatische Migration der eigenen Sicherheitsstrategie entspricht. Wer eine abweichende Konfiguration benötigt, führt ein frühzeitiges Opt-in durch und definiert den gewünschten Wert für „passkeyType“ im Default-Passkey-Profil.

Zusätzlich empfiehlt sich eine Überprüfung bestehender Registrierungskampagnen. Administratoren passen Runbooks und interne Dokumentation an, damit Supportteams neue Profilstrukturen, geänderte Zielgruppen und die Differenzierung zwischen gerätegebundenen und synchronisierten Passkeys korrekt berücksichtigen. Die Umstellung berührt Authentifizierungsrichtlinien, Conditional-Access-Regeln und das strategische Design passwortloser Anmeldung in Entra ID.

(ID:50780064)