Microsoft Entra aktiviert im März Passkey-Profile für alle

Der Identitätsverwaltungsdienst Entra ID von Microsoft soll im März Passkey-Profile erhalten. Microsoft kündigt an, die Funktion im März automatisch scharfzuschalten.

Im Microsoft-365-Message-Center kündigt das Unternehmen diesen Schritt an (MC1221452, Kopie bei merill.net). „Beginnend im März 2026 wird Microsoft Entra ID automatisch Passkey-Profile mit einer neuen Eigenschaft passkeyType für gerätegebundene und synchronisierte Passkeys aktivieren“, erklärt Microsoft. „Tenants, die nicht mittels Opt-in zustimmen, werden automatisch unter Erhalt der bisherigen Einstellungen migriert. Von Microsoft verwaltete Registrierungskampagnen werden auf Passkeys aktualisiert.“ IT-Verantwortlichen empfiehlt Microsoft, Vorbereitungen und Konfigurationen vor dem allgemeinen Rollout vorzunehmen.

Gruppenbasierte Einstellungsvorgaben

Admins sollen gruppenbasierte Passkey-Einstellungen vornehmen und die neue passkeyType-Eigenschaft nutzen können. Letztere erlaubt IT-Verwaltern, Passkeys auf gerätegebundene Passkeys, synchronisierte Passkeys (etwa mittels Passwort-/Passkey-Manager) oder beides einzustellen.

Das neue Schema wird ab März 2026 verteilt. Wenn Tenants die Passkey-Profile nicht nutzen wollen, werden bei der Umstellung bestehende FIDO2-Passkey-Authentifizierungsmethoden in ein „Default Passkey Profile“ verschoben. Der passkeyType-Wert wird basierend auf den bisherigen Einstellungen des Tenants gesetzt. Haben Tenants synchronisierte Passkeys aktiviert, werden von Microsoft verwaltete Registrierungskampagnen auf sogenannte Target-Passkeys umgestellt.

Die Passkey-Profile werden ab Anfang März global allgemein verfügbar, die Umstellung soll Ende März abgeschlossen sein. Die Umstellung von Tenants, die nicht mittels Opt-in teilnehmen, erfolgt von Anfang April bis Ende Mai 2026.

Als Vorbereitung empfiehlt Microsoft, dass diejenigen, die eine andere Konfiguration als die Standardvorgabewerte einsetzen wollen, mittels Opt-in an der Umstellung teilnehmen, bevor die automatische Aktivierung beginnt. Dann sollen sie den standardmäßigen passkeyType des Default Passkey Profile auf die gewünschte Einstellung setzen. Außerdem sollen Admins die Registrierungskampagnen-Konfiguration prüfen, insbesondere dann, wenn sie auf „von Microsoft verwaltet“ gesetzt ist.

Anfang Januar hatte Microsoft die Zertifikate von Entra aktualisiert. Konkret hat das Unternehmen die DigiCert-Zertifikate von der G1-Root-CA zur G2-Root-CA migriert.

(dmk)