Microsoft Entra: Passkeys für Windows Hello starten in den Praxistest

Microsoft macht Passwörter in Unternehmen überflüssig. Ab Mitte März 2026 können Firmen ihre Mitarbeiter mit biometrischen Passkeys über Windows Hello in geschützte Ressourcen einloggen lassen. Die Technologie soll Phishing-Angriffe ausschalten und gilt als Meilenstein für die passwortlose Zukunft.

Während Microsoft die passwortlose Zukunft einläutet, stehen viele Unternehmen bereits heute vor der Herausforderung, ihre IT-Infrastruktur gegen immer raffiniertere Angriffe abzusichern. Dieser kostenlose Experten-Report enthüllt effektive Strategien, wie Sie Ihr Unternehmen auch ohne riesige Budgets zuverlässig vor Cyberkriminellen schützen. IT-Sicherheits-Strategien für Unternehmen jetzt kostenlos herunterladen

Sicherer Zugriff auch von privaten PCs

Der Kern der Neuerung: Die Passkey-Unterstützung wird direkt in Windows Hello integriert. Mitarbeiter authentifizieren sich dann mit Gesichtserkennung, Fingerabdruck oder einer lokalen PIN – selbst auf privaten oder gemeinsam genutzten Rechnern. Bislang waren für solche unmanaged Devices oft anfällige Passwörter nötig.

„Das schließt eine kritische Sicherheitslücke“, erklärt ein Branchenanalyst. Denn in hybriden Arbeitsmodellen greifen Mitarbeiter oft von persönlichen Geräten auf Unternehmensanwendungen zu. Die IT-Abteilung muss diese Geräte nun nicht vollständig verwalten, kann aber trotzdem hohe Sicherheitsstandards durchsetzen. Mehrere Nutzer können so sicher auf einem einzigen Gerät arbeiten.

Technologie macht Phishing unmöglich

Im Hintergrund nutzt Microsoft die etablierten Standards FIDO2 und WebAuthn. Bei der Registrierung erzeugt das Windows-Gerät ein einzigartiges kryptografisches Schlüsselpaar. Der private Schlüssel verlässt niemals die sichere Hardware, etwa den Trusted Platform Module (TPM)-Chip.

Ein Login läuft dann so ab: Der Nutzer bestätigt seine Identität lokal mit Windows Hello. Das Gerät signiert eine Challenge vom Server. Da der geheime Schlüssel nicht abgefangen werden kann, sind Phishing-, Password-Spraying- oder Credential-Harvesting-Angriffe technisch ausgeschlossen.

Für IT-Administratoren ist die Funktion optional. Sie muss in den Entra Authentication Methods aktiviert und über spezifische Profile für bestimmte Nutzergruppen bereitgestellt werden.

Strenge Compliance schützt vor Manipulation

Trotz des komfortablen Logins setzt Microsoft auf harte Sicherheitsregeln. Der Microsoft Authenticator scannt Geräte auf Manipulationen. Wird ein Jailbreak oder Rooting erkannt, blockiert die App den Zugang und löscht die Zugangsdaten des kompromittierten Geräts automatisch.

Neue Technologien wie Passkeys schließen zwar technische Lücken, doch Hacker nutzen verstärkt psychologische Tricks, um Mitarbeiter trotz Sicherheitsvorkehrungen zu täuschen. Dieser Anti-Phishing-Guide bietet eine konkrete 4-Schritte-Anleitung, mit der Sie Ihre Organisation und Belegschaft wirksam vor modernen Hacker-Methoden schützen. Kostenloses Anti-Phishing-Paket für Unternehmen sichern

So bleibt die sichere Umgebung für den privaten Schlüssel vor lokaler Malware geschützt. Passkeys sind strikt an ein Gerät gebunden und synchronisieren sich nicht. Jedes neue Gerät erfordert eine separate Registrierung. Microsoft betont, dass die neuen Passkeys bestehende Protokolle ergänzen, nicht ersetzen. Für vollständig verwaltete Firmengeräte bleibt Windows Hello for Business der Standard.

Strategischer Schritt in die passwortlose Ära

Die Integration ist Teil von Microsofts langfristiger Strategie, Passwörter abzuschaffen. KI-gestützte Angriffe machen auch mehrstufige Authentifizierung per SMS oder E-Mail zunehmend verwundbar. Bereits 2025 stellte Microsoft alle neuen Consumer-Konten standardmäßig passwortlos ein.

Durch die Bindung der Anmeldedaten an die physische Hardware werden Impersonation- und Downgrade-Angriffe unwirksam. Die nahtlose Integration ins Betriebssystem senkt die Hürde für Zero-Trust-Sicherheitsmodelle erheblich – ein Vorteil besonders für externe Mitarbeiter und Freelancer.

Rollout-Plan: Preview startet im März

Die Einführung erfolgt etappenweise. Die Public Preview für kommerzielle Kunden weltweit beginnt Mitte März 2026 und läuft bis Ende April. Die allgemeine Verfügbarkeit soll kurz darauf folgen.

Stärker regulierte Sektoren erhalten die Neuerung etwas später. Umgebungen wie die Government Community Cloud (GCC) und das US-Verteidigungsministerium sollen zwischen Mitte April und Mitte Mai 2026 folgen. Branchenbeobachter erwarten, dass diese Entwicklung den Niedergang traditioneller Passwörter beschleunigt. Biometrie-gestützte Passkeys könnten sich als neuer Standard für den Unternehmenszugang etablieren.