Sicherer Login mit Passkeys bei Microsoft 365 und Entra ID

Passwortlose Anmeldung Mit Passkeys an Microsoft 365 und Azure anmelden

25.02.2025 Von Thomas Joos 3 min Lesedauer

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Immer mehr Dienste unterstützen die Anmeldung mit Passkeys. Dadurch lassen sich Benutzeranmeldungen sehr viel sicherer abwickeln als mit herkömmlicher Anmeldung über Benutzername und Kennwort. Wie das mit Microsoft 365 und Entra klappt zeigen wir hier.

Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s.(Bild: BillionPhotos.com - stock.adobe.com) — Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s.
(Bild: BillionPhotos.com - stock.adobe.com)

Um Passkeys mit Entra ID/Azure AD zu nutzen, ist es notwendig diese Anmeldemethode zu hinterlegen und zu aktivieren. Danach können sich Benutzer sicher mit Passkeys an ihrem Entra ID-Konto anmelden und die damit verknüpften Dienste nutzen. Dazu gehören auch Microsoft 365 sowie die verschiedenen Admin Center für Entra ID, Intune oder auch Azure.

Die Anmeldung an Entra ID und Microsoft 365 mit Passkeys bietet eine deutlich höhere Sicherheit im Vergleich zu herkömmlichen Anmeldeverfahren, selbst wenn diese mit Multi-Faktor-Authentifizierung (MFA) kombiniert sind. Passkeys basieren auf modernen kryptografischen Verfahren und sind an das jeweilige Gerät gebunden. Dadurch werden Phishing-Angriffe nahezu ausgeschlossen, da Angreifer keinen Zugriff auf die Anmeldeinformationen erhalten können, selbst wenn sie Nutzer auf gefälschte Webseiten locken. Im Gegensatz zu MFA, bei dem beispielsweise Einmalcodes oder Push-Benachrichtigungen abgefangen oder manipuliert werden könnten, erfolgt die Authentifizierung mit Passkeys lokal und ohne Übertragung sensibler Daten. Dies macht Passkeys nicht nur benutzerfreundlicher, sondern auch zu einer besonders effektiven Verteidigungslinie gegen moderne Bedrohungen wie Social Engineering oder Credential Stuffing. Mit der Microsoft Authenticator-App lassen sich die Smartphones und Tablets von Anwender zu Schlüssel für die Anmeldung an der Microsoft-Cloud machen.

Bildergalerie

Für die Verwendung von Passkeys in Entra ID und Microsoft 365 muss die entsprechende Anmeldemethode zuerst im Entra Admin Center aktiviert werden.(Bild: Joos)

Konfigurieren der Passkey-Anmeldung in Entra ID und Microsoft 365. Vor der Verwendung der Authentifizierungsoption ist hier noch eine Anpassung notwendig.(Bild: Joos)

Konfigurieren der Einstellungen für die Verwendung von Passkeys in Entra ID und Microsoft 365.(Bild: Joos)

Benutzer können die Passkey-Anmeldung selbst einrichten. Bei der Verwendung von Microsoft-Clouds ist die Microsoft Authenticator-App eine wichtige Basis.(Bild: Joos)

Bildergalerie mit 7 Bildern

Maximale Sicherheit mit Entra ID in Microsoft 365 ermöglicht die Minimierung von Sicherheitsrisiken durch effektive Rollenverwaltung im Entra Admin Center. (Bild: Song_about_summer - stock.adobe.com)

Entra Admin Center ist der Einstieg in die Anmeldung per Passkey

Im Entra Admin Center, das mit entra.microsoft.com zur Verfügung steht, erfolgt die Konfiguration der Passkey-Anmeldung. Bei Schutz => Authentifizierungsmethoden muss Hauptschlüssel (FIDO2) aktiviert sein. Nach der Aktivierung der Anmeldemethode, muss diese noch angepasst werden. Um die Anmeldung auf freiwilliger Ebene durchführen zu können, muss man über „Konfigurieren“ noch die Option „Nachweis erzwingen“ auf „Nein“ und idealerweise die Einstellung „Self-Service-Setup zulassen“ auf „Ja“ gesetzt werden. Sinnvoll ist außerdem noch die Aktivierung der Einstellung „Ja“ bei „Schlüsseleinschränkungen aktivieren“.

In vielen Unternehmen kommt beim Einsatz von Microsoft-Cloud-Lösungen, Active Directory und lokalen Microsoft-Diensten oft die Microsoft Authenticator-App zum Einsatz. Vor allem zur kennwortlosen Anmeldung, der Erstellung von MFA-Schlüsseln oder zum Speichern von Kennwörtern ist die Microsoft Authenticator-App ein wertvolles Hilfsmittel, natürlich auch für Dienste von Drittherstellern. Für die Verwendung von Passkeys ist die Authenticator-App ebenfalls sehr wertvoll. Daher ist es sinnvoll die Option „Microsoft Authenticator“ ebenfalls zu aktivieren. Nach der Aktivierung sind zwei AAGUIDs verfügbar, eine für iOS und iPadOS sowie eine für Android. Die AAGUIDs stellen sicher, dass die Authenticator-App auf vertrauenswürdigen Geräten die Anmeldung verifizieren kann.

Die Verwendung der Microsoft Authenticator-App bei der Anmeldung an Entra ID und Microsoft 365 erhöht die Sicherheit und den Komfort erheblich. Durch die App wird die Authentifizierung auf ein mobiles Gerät verlagert, das mit einer starken Bindung an den Benutzer gekoppelt ist. Anstatt Passwörter einzugeben, die anfällig für Phishing oder Brute-Force-Angriffe sind, können Nutzer die Anmeldung mit einer sicheren Push-Benachrichtigung bestätigen. Die App unterstützt zudem moderne Authentifizierungsstandards wie Passwortloses Anmelden, wodurch Angreifer keine Zugangsdaten mehr abfangen oder wiederverwenden können. Gleichzeitig erleichtert die App den Prozess durch biometrische Verfahren oder Gerätesicherheit, sodass Benutzer keinen zusätzlichen Aufwand spüren, während ein hohes Maß an Schutz gewährleistet wird. Speichern Sie die Einstellungen, damit diese in Entra ID und damit auch in den verbundenen Cloud-Diensten wie Microsoft 365 oder Azure funktionieren.

Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)

Anwender registrieren sich selbst für die Anwendung von Passkeys

Sobald Passkeys aktiviert sind, können sich Anwender selbst registrieren, wenn die Einstellung „Self-Service-Setup“ aktiviert ist. Am schnellsten geht das, wenn Anwender in iOS/iPadOS die URL https://aka.ms/mysecurityinfo. Nach der Anmeldung erfolgt das Hinzufügen von „Passkey in Microsoft Authenticator“ bei „Anmeldemethode hinzufügen“ erfolgt die Einrichtung des Passkeys auf einem Smartphone oder Tablet mit iOS/iPadOS oder Android. Sobald die Einrichtung abgeschlossen ist, steht die Passkey-Anmeldung zur Verfügung. Die Anmeldung kann in Zukunft, neben den anderen aktivierten Anmeldemethoden, auch mit Passkeys erfolgen, zusammen mit dem Microsoft Authenticator.

Funktioniert die Verbindung nicht, kann es helfen das Entra ID-Konto aus dem Authenticator zu entfernen und neu hinzuzufügen. Hier muss aber darauf geachtet werden, dass mindestens eine weitere Authentifizierungsmethode aktiv ist. Das gilt vor allem dann, wenn noch parallel MFA zum Einsatz kommt. Generell ist es auch möglich mit „Befristeter Zugriffspass“, dass Admins die Eirichtung von Passkeys manuell steuern. Dazu erhalten die Anwender temporäre Passkeys, um Ihre Endgeräte einzurichten. Generell ist die Selbst-Registrierung aber meistens der beste Weg dazu.

Bildergalerie

Bildergalerie mit 7 Bildern

Mit der Pass-through-Authentication (PtA) ermöglicht Microsoft einfachere Zugriffe in hybriden Netzwerken, da sich Anwender nicht verschiedene Anmeldeinformationen merken müssen. (Bild: geniusstudio - stock.adobe.com)

Windows Hello for Business erweitert die biometrische Authentifizierungslösung Windows Hello um Features, die speziell für den Einsatz in Unternehmensumgebungen entwickelt wurden. (Bild: everythingpossible - stock.adobe.com)

Durch die Schwachstelle CVE-2024-43477 können Angreifer remote ohne vorherige Privilegien eine Eskalation von Rechten in Entra ID/Azure AD erreichen. (Bild: Dall-E / KI-generiert)

(ID:50304742)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.