Microsoft will Passkeys in Entra ID ab September 2026 als Standard für die Anmeldung einführen. Betroffen sind zunächst Nutzer, die heute SMS oder Sprachanrufe als zweiten Faktor verwenden. Laut Microsoft werden diese Anwender automatisch für Passkeys aktiviert und bei der nächsten Multifaktor-Authentifizierung dazu aufgefordert, einen Passkey zu registrieren.
An der Unterstützung bereits etablierter, phishing-resistenter Verfahren ändert sich nichts. Nutzer, die sich schon mit Passkeys, Windows Hello for Business, FIDO2-Sicherheitsschlüsseln, Smartcards oder anderen entsprechenden Methoden anmelden, können diese weiter einsetzen.
Die Umstellung ist an ein festes Auslaufdatum gekoppelt. Microsoft erklärte, dass die vom Unternehmen bereitgestellte Telekommunikationszustellung für SMS- und Sprach-Authentifizierung am 1. Februar 2027 eingestellt wird. Ab diesem Zeitpunkt werden SMS und Sprache nicht mehr als native Funktion von Microsoft Entra angeboten.
Unternehmen sollen deshalb vorab sicherstellen, dass alle Nutzer auf eine phishing-resistente Methode umgestellt sind. Andernfalls könnten Anmeldeprobleme entstehen, weil sich Multifaktor-Authentifizierung und Kontozugriffe dann nicht mehr per SMS oder Sprach-Anruf abschließen lassen.
Administratoren mit den Rollen Global Reader, Authentication Policy Administrator oder Security Reader können betroffene Konten mit dem PowerShell-Skript Entra SMS/Voice Policy Scanner ermitteln. Für Organisationen, die weiterhin telefoniebasierte Authentifizierung benötigen, verweist Microsoft auf die Einbindung externer Telekommunikationsanbieter über den Microsoft Security Store. Zusätzlich stellt das Unternehmen auf einer eigenen Dokumentationsseite eine Schritt-für-Schritt-Anleitung für die Einführung und Verwaltung phishing-resistenter, passwortloser Entra-ID-Authentifizierung bereit.
Microsoft begründet den Schritt mit aktuellen Angriffsmustern auf Identitäten. Nach Angaben des Unternehmens wurden Microsoft-Entra-SSO-Konten in einer jüngsten Welle von SaaS-Datendiebstahl-Angriffen mit gestohlenen Zugangsdaten stark ins Visier genommen; Microsoft nennt dabei ausdrücklich auch die Erpressergruppe ShinyHunters. Ziel der Abkehr von telefoniebasierten Verfahren sei es, Identitätsangriffe zu erschweren und die Kontosicherheit zu erhöhen.
Zur Bedrohungslage verweist Microsoft außerdem auf eigene Beobachtungen aus der Threat Intelligence. Demnach erreichten KI-gestützte Phishing-Kampagnen Klickraten von bis zu 54 Prozent, verglichen mit rund 12 Prozent bei traditionelleren Kampagnen. Microsoft folgert daraus, dass gestohlene Passwörter und phishing-anfällige zweite Faktoren ein akutes Risiko darstellen. Mit Passkeys als Standard, so das Unternehmen, sinke die Abhängigkeit von phishing-anfälligen Authentifizierungsmethoden und der Schutz vor Diebstahl von Zugangsdaten und Phishing werde gestärkt.
