Ein gerätegebundener Passkey (device-bound) ist eine fortschrittliche Sicherheitsfunktion, die im Microsoft Authenticator implementiert ist. Es handelt sich dabei um einen einzigartigen Sicherheitsschlüssel, welcher an ein bestimmtes Gerät gebunden ist. Sobald der Benutzer sich bei seinem Konto anmeldet, verwendet er diesen Schlüssel, um seine Identität zu überprüfen. Da der Schlüssel an das Gerät gebunden ist, kann folglich niemand anderes auf das Konto des Benutzers zugreifen, selbst wenn er das Passwort kennt, es sei denn, er hat auch Zugriff auf das Gerät.

Diese Technologie bietet eine starke Authentifizierungsmethode, die sowohl kosteneffektiv als auch benutzerfreundlich ist.
Einige Vorteile davon:

  • Phishing-Resistent: Gerätegebundene Passkeys sind phishing-resistent
  • Gerätegebunden: Der Passkey verlässt niemals das Gerät, auf dem er erstellt wurde
  • Kosteneffektiv: Der Microsoft Authenticator device-bound Passkey ist ohne zusätzliche Kosten verwendbar
  • Keine Passwörter mehr: Mit Passkeys müssen sich Benutzer keine komplexen Passwörter mehr merken
  • Benutzerfreundlichkeit: Der Passkey ist einfach zu verwenden. Nach der Einrichtung müssen die Benutzer nur ihr Gerät entsperren und die Benachrichtigung bestätigen

Mit dieser Technologie können Benutzer ihre digitalen Identitäten effektiv schützen und sicher in der digitalen Welt navigieren. Es ist ein wichtiger Schritt in Richtung einer sichereren digitalen Zukunft.

Dieser Artikel zeigt die notwendigen Konfigurationsschritte, um den Microsoft Authenticator device-bound Passkey einzuführen, und erstellt einen Passkey für einen Benutzer.

Zum Zeitpunkt der Veröffentlichung dieses Beitrags befindet sich Microsoft Authenticator device-bound Passkey noch in der Preview-Phase. Der Artikel wird fortlaufend aktualisiert.

Voraussetzungen und Lizenzierung

Lizenzen

Für die Verwendung des Microsoft Authenticator device-nound Passkey ist keine kostenpflichtige Lizenz erforderlich. Eine Lizenz ab Microsoft Entra ID Free reicht aus. Diese Lizenz ist Bestandteil jedes Microsoft Tenants.

Benutzerkonto

Das Benutzerkonto, das den Passkey einrichtet, ist für die Multi-Faktor-Authentifizierung konfiguriert.

Geräte

  • iOS 17 und neuere Versionen
    mit neuester Version von Microsoft Authenticator
    Falls Microsoft Authenticator nicht der primär genutzte Passwort-Manager auf dem Gerät ist, empfiehlt sich iOS 18. Dieses Betriebssystem ermöglicht die gleichzeitige Verwendung mehrerer Passwort-Manager.
  • Androis 14 und neuere Versionen
    mit neuester Version von Microsoft Authenticator

Authentifizierungsmethode Passkey (FIDO2) aktivieren

Die Authentifizierungsmethode Passkey (FIDO2) wird im Microsoft Entra Admin Center konfiguriert.

Anmelden am Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Authentifizierungsmethoden > Richtlinien und Passkey (FIDO2) auswählen.

Im Register Aktivieren und Ziel den Toggle Aktivieren einschalten und alle Benutzer auswählen. Bei Bedarf können auch einzelne Sicherheitsgruppen hinzugefügt werden.

Im Register Konfigurieren können folgende Optionen eingestellt werden:

Self-Service-Setup zulassen
Die Option muss aktiviert sein, damit Benutzer den Microsoft Authenticator device-bound Passkey einrichten können.

Nachweis erzwingen
Diese Option dient dazu, dass Sicherheitsschlüssel die FIDO Alliance Metadata einhalten.
Die Preview für Microsoft Authenticator device-bound Passkey unterstützt diese Funktion nicht und muss daher deaktivieren.

Schlüsseleinschränkung erzwingen
Diese Option muss aktiviert sein, damit in der Preview Phase Microsoft Authenticator device-bound Passkey genutzt werden kann.

Bestimmte Schlüssel einschränken
Die Option ermöglicht es, die Verwendung bestimmter FIDO2-Sicherheitsschlüssel zu beschränken. Übersicht über die gängigen AAGUIDs ist im nachfolgenden Link zu finden: Passkeys Authenticator AAGUID Explorer (passkeydeveloper.github.io)

Microsoft Authenticator (Vorschau)
Diese Option muss aktiviert sein und trägt die AAGUIDs des Microsoft Authenticator für iOS und Android direkt ein.
Es handelt sich um folgende AAGUID Einträge:
Authenticator für iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Authenticator für Android: de1e552d-db1d-4423-a619-566b625cdc84

Speichern anklicken, danach können die Benutzer device-bound Passkeys im Microsoft Authenticator einrichten.

Microsoft Authenticator device-bound Passkey einrichten

Jeder Benutzer richtet den Microsoft Authenticator device-bound Passkey selbständig ein. Diese Anleitung erklärt, wie man einen Microsoft Authenticator device-bound Passkey für ein Apple iPhone einrichtet.

Apple iPhone vorbereiten

Microsoft Authenticator in der neusten Version auf Apple iOS 17 oder neuer installieren. Falls mehrere Passwort-Manager gleichzeitig verwendet werden sollen, ist iOS 18 erforderlich.

Auf einem Apple iPhone mit iOS 18 müssen unter Einstellungen > Allgemein > Autom. ausfüllen & Passwörter die folgenden Optionen konfiguriert werden:

  1. Passwörter und Passkeys automatisch ausfüllen aktivieren
  2. Quelle: Authenticator
Apple iOS Password Options

Nachdem das Apple iPhone vorbereitet ist, kann der Passkey eingerichtet werden.

Passkey für Apple iPhone einrichten

Der Benutzer meldet sich bei https://aka.ms/mysecurityinfo an und klickt auf Sicherheitsinformationen > Anmeldemethode hinzufügen.

Hauptschlüssel in Microsoft Authenticator auswählen und Hinzufügen anklicken.

Weiter anklicken

iPhone oder iPad auswählen

Hauptschlüsselunterstützung für Microsoft Authenticator wurde bereits aktiviert und kann mit Weiter bestätigt werden.

Ich bin bereit anklicken um den Passkey einzurichten.

Wähle iPhone, iPad oder Android-Gerät aus.

QR-Code scannen
Wichtig: Diesen QR-Code mit der Apple iPhone Kamera App scannen und nicht mit «Scan QR Code» aus der Microsoft Authenticator App heraus.

Mit dem einrichten des Passkey auf dem Apple iPhone weiterfahren.

Weiter auf dem Apple iPhone klicken und den Passkey damit einrichten.

Security Info Save Passkey

Der Passkey ist nun erfolgreich auf dem Apple iPhone eingerichtet.

Zur besseren Identifizierung des Passkeys einen Anzeigenamen eingeben.

Der Passkey ist nun erfolgreich eingerichtet und kann verwendet werden.

Anmeldung mit Passkey ausführen

Im Anmeldefenster für Dienste von Microsoft Azure, Microsoft 365 oder Enterprise Applikationen mit Microsoft Entra ID Authentifizierung die Option Anmeldeoptionen auswählen.
Zum Beispiel https://aka.ms/mysecurityinfo

Sign-in options

Anmeldeoption Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel auswählen.

Face fingerprint PIN or security key

iPhone, iPad oder Android-Gerät auswählen

iPhone iPad or Android device

QR-Code mit iPhone Kamera scannen.

QR-Code Sign-In

Anmeldung auf dem Mobile mit Weiter bestätigen.
Wenn mehrere Passkeys im Microsoft Authenticator gespeichert sind, kann der Benutzeraccount ausgewählt werden.

Choose Account

Anmeldung mit dem Microsoft Authenticator device-bound Passkey bei https://aka.ms/mysecurityinfo ist erfolgreich durchgeführt.

Fehlersuche und Fehlerbehebung

Einrichten Passkey hängt

Beim Einrichten des Micosoft Authenticator device-bound Passkeys erscheint die folgende Meldung, nachdem auf Alles klar geklick wurde, im Loop:

Wenn Sie auf Ihrem mobilen Gerät zum Erstellen eines Hauptschlüssels aufgefordert werden, wählen Sie Microsoft Authenticator aus.

Lösung

Die AAGUIDs für den Microsoft Authenticator wurden in den Authentifizierungsmethoden von Microsoft Entra nicht eingetragen.
Klicke hier für die Anweisungen.

Passkey löschen

Passkey löschen mit Zugriff auf Gerät

Microsoft Authenticator App öffnen und Benutzer wählen, dessen Hauptschlüssel gelöscht werden soll.

Authenticator App Passkey

Hauptschlüssel (Vorschau) auswählen

Passkey (preview) in Authenticator App

Löschen anklicken

Authenticator App Delete Passkey

Link aufrufen auswählen und Benutzeranmeldung durchführen.

Authenticator App Visit link

Die Sicherheitsinformationen werden angezeigt.
Auf dieser Seite den Passkey auswählen und mit Löschen aus dem Benutzerkonto entfernen.

 Security Info Remove Passkey
Passkey löschen ohne Zugriff auf Gerät

Wenn kein Zugriff mehr auf das Gerät mit dem Microsoft Authenticator device-bound Passkey besteht, kann der Passkey in den persönlichen Sicherheitsinformationen entfernt werden.
Anmelden an https://aka.ms/mysecurityinfo > Sicherheitsinformationen > Passkey > Löschen


Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee