Ein gerätegebundener Passkey (device-bound) ist eine fortschrittliche Sicherheitsfunktion, die im Microsoft Authenticator implementiert ist. Es handelt sich dabei um einen einzigartigen Sicherheitsschlüssel, welcher an ein bestimmtes Gerät gebunden ist. Sobald der Benutzer sich bei seinem Konto anmeldet, verwendet er diesen Schlüssel, um seine Identität zu überprüfen. Da der Schlüssel an das Gerät gebunden ist, kann folglich niemand anderes auf das Konto des Benutzers zugreifen, selbst wenn er das Passwort kennt, es sei denn, er hat auch Zugriff auf das Gerät.
Diese Technologie bietet eine starke Authentifizierungsmethode, die sowohl kosteneffektiv als auch benutzerfreundlich ist.
Einige Vorteile davon:
- Phishing-Resistent: Gerätegebundene Passkeys sind phishing-resistent
- Gerätegebunden: Der Passkey verlässt niemals das Gerät, auf dem er erstellt wurde
- Kosteneffektiv: Der Microsoft Authenticator device-bound Passkey ist ohne zusätzliche Kosten verwendbar
- Keine Passwörter mehr: Mit Passkeys müssen sich Benutzer keine komplexen Passwörter mehr merken
- Benutzerfreundlichkeit: Der Passkey ist einfach zu verwenden. Nach der Einrichtung müssen die Benutzer nur ihr Gerät entsperren und die Benachrichtigung bestätigen
Mit dieser Technologie können Benutzer ihre digitalen Identitäten effektiv schützen und sicher in der digitalen Welt navigieren. Es ist ein wichtiger Schritt in Richtung einer sichereren digitalen Zukunft.
Dieser Artikel zeigt die notwendigen Konfigurationsschritte, um den Microsoft Authenticator device-bound Passkey einzuführen, und erstellt einen Passkey für einen Benutzer.
Zum Zeitpunkt der Veröffentlichung dieses Beitrags befindet sich Microsoft Authenticator device-bound Passkey noch in der Preview-Phase. Der Artikel wird fortlaufend aktualisiert.
Voraussetzungen und Lizenzierung
Lizenzen
Für die Verwendung des Microsoft Authenticator device-nound Passkey ist keine kostenpflichtige Lizenz erforderlich. Eine Lizenz ab Microsoft Entra ID Free reicht aus. Diese Lizenz ist Bestandteil jedes Microsoft Tenants.
Benutzerkonto
Das Benutzerkonto, das den Passkey einrichtet, ist für die Multi-Faktor-Authentifizierung konfiguriert.
Geräte
- iOS 17 und neuere Versionen
mit neuester Version von Microsoft Authenticator
Falls Microsoft Authenticator nicht der primär genutzte Passwort-Manager auf dem Gerät ist, empfiehlt sich iOS 18. Dieses Betriebssystem ermöglicht die gleichzeitige Verwendung mehrerer Passwort-Manager. - Androis 14 und neuere Versionen
mit neuester Version von Microsoft Authenticator
Authentifizierungsmethode Passkey (FIDO2) aktivieren
Die Authentifizierungsmethode Passkey (FIDO2) wird im Microsoft Entra Admin Center konfiguriert.
Anmelden am Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Authentifizierungsmethoden > Richtlinien und Passkey (FIDO2) auswählen.
Im Register Aktivieren und Ziel den Toggle Aktivieren einschalten und alle Benutzer auswählen. Bei Bedarf können auch einzelne Sicherheitsgruppen hinzugefügt werden.
Im Register Konfigurieren können folgende Optionen eingestellt werden:
Self-Service-Setup zulassen
Die Option muss aktiviert sein, damit Benutzer den Microsoft Authenticator device-bound Passkey einrichten können.
Nachweis erzwingen
Diese Option dient dazu, dass Sicherheitsschlüssel die FIDO Alliance Metadata einhalten.
Die Preview für Microsoft Authenticator device-bound Passkey unterstützt diese Funktion nicht und muss daher deaktivieren.
Schlüsseleinschränkung erzwingen
Diese Option muss aktiviert sein, damit in der Preview Phase Microsoft Authenticator device-bound Passkey genutzt werden kann.
Bestimmte Schlüssel einschränken
Die Option ermöglicht es, die Verwendung bestimmter FIDO2-Sicherheitsschlüssel zu beschränken. Übersicht über die gängigen AAGUIDs ist im nachfolgenden Link zu finden: Passkeys Authenticator AAGUID Explorer (passkeydeveloper.github.io)
Microsoft Authenticator (Vorschau)
Diese Option muss aktiviert sein und trägt die AAGUIDs des Microsoft Authenticator für iOS und Android direkt ein.
Es handelt sich um folgende AAGUID Einträge:
Authenticator für iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Authenticator für Android: de1e552d-db1d-4423-a619-566b625cdc84
Speichern anklicken, danach können die Benutzer device-bound Passkeys im Microsoft Authenticator einrichten.
Microsoft Authenticator device-bound Passkey einrichten
Jeder Benutzer richtet den Microsoft Authenticator device-bound Passkey selbständig ein. Diese Anleitung erklärt, wie man einen Microsoft Authenticator device-bound Passkey für ein Apple iPhone einrichtet.
Apple iPhone vorbereiten
Microsoft Authenticator in der neusten Version auf Apple iOS 17 oder neuer installieren. Falls mehrere Passwort-Manager gleichzeitig verwendet werden sollen, ist iOS 18 erforderlich.
Auf einem Apple iPhone mit iOS 18 müssen unter Einstellungen > Allgemein > Autom. ausfüllen & Passwörter die folgenden Optionen konfiguriert werden:
- Passwörter und Passkeys automatisch ausfüllen aktivieren
- Quelle: Authenticator
Nachdem das Apple iPhone vorbereitet ist, kann der Passkey eingerichtet werden.
Passkey für Apple iPhone einrichten
Der Benutzer meldet sich bei https://aka.ms/mysecurityinfo an und klickt auf Sicherheitsinformationen > Anmeldemethode hinzufügen.
Hauptschlüssel in Microsoft Authenticator auswählen und Hinzufügen anklicken.
Weiter anklicken
iPhone oder iPad auswählen
Hauptschlüsselunterstützung für Microsoft Authenticator wurde bereits aktiviert und kann mit Weiter bestätigt werden.
Ich bin bereit anklicken um den Passkey einzurichten.
Wähle iPhone, iPad oder Android-Gerät aus.
QR-Code scannen
Wichtig: Diesen QR-Code mit der Apple iPhone Kamera App scannen und nicht mit «Scan QR Code» aus der Microsoft Authenticator App heraus.
Mit dem einrichten des Passkey auf dem Apple iPhone weiterfahren.
Weiter auf dem Apple iPhone klicken und den Passkey damit einrichten.
Der Passkey ist nun erfolgreich auf dem Apple iPhone eingerichtet.
Zur besseren Identifizierung des Passkeys einen Anzeigenamen eingeben.
Der Passkey ist nun erfolgreich eingerichtet und kann verwendet werden.
Anmeldung mit Passkey ausführen
Im Anmeldefenster für Dienste von Microsoft Azure, Microsoft 365 oder Enterprise Applikationen mit Microsoft Entra ID Authentifizierung die Option Anmeldeoptionen auswählen.
Zum Beispiel https://aka.ms/mysecurityinfo
Anmeldeoption Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel auswählen.
iPhone, iPad oder Android-Gerät auswählen
QR-Code mit iPhone Kamera scannen.
Anmeldung auf dem Mobile mit Weiter bestätigen.
Wenn mehrere Passkeys im Microsoft Authenticator gespeichert sind, kann der Benutzeraccount ausgewählt werden.
Anmeldung mit dem Microsoft Authenticator device-bound Passkey bei https://aka.ms/mysecurityinfo ist erfolgreich durchgeführt.
Fehlersuche und Fehlerbehebung
Einrichten Passkey hängt
Beim Einrichten des Micosoft Authenticator device-bound Passkeys erscheint die folgende Meldung, nachdem auf Alles klar geklick wurde, im Loop:
Wenn Sie auf Ihrem mobilen Gerät zum Erstellen eines Hauptschlüssels aufgefordert werden, wählen Sie Microsoft Authenticator aus.
Lösung
Die AAGUIDs für den Microsoft Authenticator wurden in den Authentifizierungsmethoden von Microsoft Entra nicht eingetragen.
Klicke hier für die Anweisungen.
Passkey löschen
Passkey löschen mit Zugriff auf Gerät
Microsoft Authenticator App öffnen und Benutzer wählen, dessen Hauptschlüssel gelöscht werden soll.
Hauptschlüssel (Vorschau) auswählen
Löschen anklicken
Link aufrufen auswählen und Benutzeranmeldung durchführen.
Die Sicherheitsinformationen werden angezeigt.
Auf dieser Seite den Passkey auswählen und mit Löschen aus dem Benutzerkonto entfernen.
Passkey löschen ohne Zugriff auf Gerät
Wenn kein Zugriff mehr auf das Gerät mit dem Microsoft Authenticator device-bound Passkey besteht, kann der Passkey in den persönlichen Sicherheitsinformationen entfernt werden.
Anmelden an https://aka.ms/mysecurityinfo > Sicherheitsinformationen > Passkey > Löschen
Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!