Mit der Neuerung sollen Anwender gerätegebundene Passkeys anlegen können, die im Windows-Hello-Container abgelegt werden. Die Authentifizierung gegenüber Entra-geschützten Ressourcen erfolgt anschließend über die bekannten Windows-Hello-Methoden: Gesichtserkennung, Fingerabdruck oder PIN. „Wir führen Microsoft-Entra-Passkeys unter Windows ein, um eine phishing-resistente Anmeldung an Entra-geschützten Ressourcen zu ermöglichen", erklärt Microsoft im Microsoft-365-Message-Center.
Nach Angaben des Unternehmens erweitert die Funktion die passwortlose Authentifizierung zudem auf Windows-Geräte, die nicht mit Entra verbunden oder dort registriert sind. Diese Lücke hatte zuvor dazu geführt, dass persönliche und gemeinsam genutzte Geräte weiterhin auf Passwörter angewiesen waren.
Entscheidend für den Schutz ist die Gerätebindung: Die Passkeys sind kryptografisch an das Gerät gebunden und werden nie über das Netzwerk übertragen. Angreifer können sie daher nicht über Phishing oder Malware abgreifen, um die Mehr-Faktor-Authentifizierung auszuhebeln.
Microsoft weist darauf hin, dass jedes Entra-Konto pro Gerät einen eigenen Passkey registriert und mehrere Konten auf einem einzigen Rechner nebeneinander bestehen können. Da die Passkeys jedoch gerätegebunden sind und sich nicht zwischen Geräten synchronisieren lassen, ist für jedes Entra-Konto eine separate Registrierung erforderlich.
Für die Teilnahme an der Public Preview müssen IT-Administratoren in den Authentifizierungsmethoden-Richtlinien von Entra die Methode „Passkeys (FIDO2)" aktivieren, ein Passkey-Profil mit den erforderlichen Windows-Hello-AAGUIDs erstellen und dieses den entsprechenden Gruppen zuweisen.
Die Einführung reiht sich in Microsofts Abkehr vom Passwort ein. Im Mai 2025 kündigte das Unternehmen an, dass alle neuen Microsoft-Konten standardmäßig „passwortlos" sein sollen, um sie gegen Phishing, Brute-Force- und Credential-Stuffing-Angriffe abzusichern. Ein Jahr zuvor hatte Microsoft die Passkey-Authentifizierung für persönliche Microsoft-Konten eingeführt, nachdem mit dem Funktionsupdate Windows 11 22H2 bereits ein integrierter Passkey-Manager für Windows Hello hinzugekommen war.
