Microsoft ermöglicht mit Entra ID/Azure AD die kennwortlose Anmeldung, zum Beispiel über Windows Hello for Business, FIDO2-Schlüssel oder die Microsoft Authenticator-App. Dadurch lassen sich Benutzerkonten besser vor Phishing-Angriffen schützen.
Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren.
(Bild: Fractal Pictures - stock.adobe.com)
Die Verwendung von kennwortlosen Anmeldemethoden ist ein durchaus passabler Schutz vor Phishing-Angriffen. Zwar kann es immer noch passieren, dass Anwender unberechtigten Personen Zugang zu ihren Systemen gewähren, ohne Kennwort-Anmeldungen ist das aber sehr viel schwerer. Kennwortlose Authentifizierungsmethoden eliminieren die Abhängigkeit von traditionellen Passwörtern. Diese stellen ein hohes Risiko dar, da sie durch Phishing-Angriffe relativ einfach abgefangen werden können.
Angreifer nutzen häufig gefälschte Anmeldeseiten, um Benutzer dazu zu verleiten, ihre Anmeldedaten preiszugeben. Bei kennwortlosen Methoden, wie biometrischer Authentifizierung, Sicherheitsschlüsseln oder der Authentifizierungs-App, basiert der Zugriff nicht auf einem Wissen, das preisgegeben werden kann, sondern auf einem Besitz oder einer Inhärenz, die deutlich schwerer zu kompromittieren sind. Dies erschwert es Angreifern erheblich, unbefugten Zugriff zu erlangen, da die Phishing-Versuche, die auf die Erlangung von Passwörtern abzielen, ineffektiv werden. Somit wird das Sicherheitsniveau deutlich erhöht und das Risiko von erfolgreichen Phishing-Angriffen minimiert.
Im Entra Admin Center, das Sie über entra.microsoft.com erreichen, können Admins über „Schutz -> Authentifizierungsmethoden“ steuern, wie sich Benutzer an Entra ID anmelden können. Das gilt auch für Unternehmen, die auf Microsoft 365 setzen. Hier ist die kostenlose Version von Azure AD/Entra ID enthalten, die den gleichen Schutz bietet. Bei „Richtlinien“ können Admins festlegen mit welchen Anmeldemethoden sich Benutzer anmelden dürfen. Hier lassen sich zum Beispiel die Microsoft Authenticator-App und FIDO2-Hardware-Schlüssel für die Anmeldung hinterlegen. Das Hinterlegen wird durch einen Assistenten unterstützt. Anwender können wiederum in ihrem Profil über die Seite https://myprofile.microsoft.com bei „Sicherheitsinformationen“ mit „Anmeldemethode hinzufügen“ den Sicherheitsschlüssel registrieren und sich fortan mit einem FIDO2-Schlüssel oder über die Authenticator-App anmelden.
Implementierung von Windows Hello for Business für kennwortlose Anmeldung in Entra ID
Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren, indem es die traditionellen Kennwörter durch eine sichere, zweifaktorielle Authentifizierungsmethode ersetzt. Diese Authentifizierung basiert auf einer Kombination aus einem Besitz (dem Gerät des Benutzers) und einer Inhärenz (biometrische Merkmale oder PIN). Um diese kennwortlose Authentifizierungsmethode zu implementieren, sind mehrere Schritte erforderlich.
Zuerst ist es notwendig, das Benutzergerät mit Azure AD/Entra ID zu verbinden. Diese Registrierung oder das Joinen des Geräts ermöglicht es der Organisation, das Gerät zu verwalten und sicherzustellen, dass die Sicherheitsrichtlinien eingehalten werden. Nachdem das Gerät erfolgreich registriert wurde, beginnt die Einrichtung von Windows Hello for Business.
Der Einrichtungsprozess umfasst die Verifizierung der Benutzeridentität mithilfe einer bestehenden Authentifizierungsmethode. Anschließend generiert das System sowohl ein asymmetrisches Schlüsselpaar als auch eine Benutzer-PIN oder nimmt die biometrischen Daten des Benutzers auf. Der private Schlüssel wird sicher auf dem Gerät gespeichert, während der öffentliche Schlüssel in Azure AD hinterlegt wird. Sobald Windows Hello for Business konfiguriert ist, können sich Benutzer durch eine einfache Aktion – wie einen Fingerabdruck, eine Gesichtserkennung oder die Eingabe einer PIN – anmelden, ohne ein Passwort eingeben zu müssen. Diese Methode bietet nicht nur eine höhere Sicherheit durch die zweifaktorielle Authentifizierung, sondern verbessert auch die Benutzerfreundlichkeit erheblich, da die komplexen und oft unsicheren Kennwörter entfallen.
Die Implementierung von Windows Hello for Business stellt somit einen wesentlichen Schritt dar, um die Sicherheit innerhalb einer Organisation zu stärken und gleichzeitig die Anmeldeerfahrung für Benutzer zu vereinfachen. Durch die Eliminierung von Kennwörtern und die Nutzung einer zweifaktoriellen Authentifizierung wird das Risiko von Phishing-Angriffen und anderen Sicherheitsbedrohungen signifikant reduziert.
In Microsoft-Konten lassen sich bereits Kennwörter entfernen, in Entra ID noch nicht
In Entra ID lässt sich die Kennwortanmeldung für Benutzerkonten durch die Implementierung kennwortloser Authentifizierungsmethoden zwar effektiv ersetzen, jedoch ist das vollständige Entfernen oder Deaktivieren der Kennwortoption auf Benutzerebene nicht direkt vorgesehen, da Kennwörter immer noch eine grundlegende Rolle im Authentifizierungsprozess spielen, insbesondere in Szenarien, die eine Rückfalloption erfordern. Dennoch kann durch die Konfiguration von Richtlinien die Nutzung von Kennwörtern minimiert und die Sicherheit erhöht werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In den Einstellungen von Microsoft-Konten ist es bereits möglich die Kennwortanmeldung komplett auszuschalten. Dadurch ist sichergestellt, dass die Anmeldung nur noch über die Authenticator-App in Verbindung mit PINs erfolgt. Das geht in Azure AD/Entra ID wiederum über Windows Hello for Business.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/51/66/51660e057f62d85982b75b6404a6bbac/0129159958v1.jpeg "Mit Detail über die sechs Sicherheitslücken in seiner Web-Help-Desk-Plattform hält sich Solarwinds zurück. Das Update 2026.1 löst die Probleme. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/f5/d6f50ff70b72feb9bc90bc8b8c70cbef/0117786470.jpeg "Im Entra Admin Center lassen sich FIDO2-Schlüssel und die Microsoft Authenticator-App für die Anmeldung hinterlegen. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/48/f8/48f8d643c30c1ea0c055ecad708c57d7/0117786468.jpeg "Benutzer können ihr Konto in Azure AD/Entra ID teilweise selbst verwalten und freigegebene Anmeldemethoden hinterlegen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/0d/e0/0de0bc5de597d1cd75936cb59ed81511/0117786469.jpeg "Anwender können eigene Sicherheitsinformationen hinterlegen, zum Beispiel die Anmeldung über FIDO2-Sicherheitsschlüssel.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/31/a6/31a64464879d7a1bc2e51e797e3e7ea1/0117786475.jpeg "Hinzufügen neuer Anmeldemethoden für die kennwortlose Anmeldung in Azure AD/Entra ID.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/fb/a4fb1ccd803728b4933845eba3ec9b20/0115710294.jpeg "Die Umsetzung von Zero-Trust in Azure und Microsoft 365 bedeutet, dass alle Zugriffe explizit verifiziert werden müssen und nur mit den geringsten Rechten erfolgen dürfen. (Bild: Val Thoermer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/ff/5fff56db982e32c617379295fa2f98dd/0125925965v1.jpeg "MFA mit Passkeys (FIDO2) ist heute mehr als eine Zusatzmaßnahme, sie ist der Kern einer modernen Sicherheitsstrategie. (Bild: Swissbit)")