Passwordless Authentication im Unternehmen: Entra ID + FIDO2 Implementierungsleitfaden

Passwörter sind die größte Angriffsfläche in der Enterprise Identity. Credential Phishing, Brute-Force-Angriffe, Credential Stuffing und Password-Spray-Kampagnen sind für über 80% der identitätsbezogenen Sicherheitsverletzungen verantwortlich. Passwordless Authentication eliminiert das Passwort als Angriffsvektor vollständig.

Dieser Leitfaden behandelt die drei von Microsoft unterstützten Passwordless-Methoden, liefert eine phasenweise Rollout-Strategie und enthält die Conditional Access Policy-Konfigurationen zur Durchsetzung in Ihrem Unternehmen.

Die drei Passwordless-Methoden

Microsoft Entra ID unterstützt drei Passwordless-Authentifizierungsmethoden. Jede hat unterschiedliche Hardware-Anforderungen, Benutzererlebnisse und Deployment-Charakteristiken.

FIDO2 Security Keys

FIDO2 Security Keys sind physische Hardware-Token, die kryptographische Credentials speichern. Sie verbinden sich über USB, NFC oder Bluetooth.

Ideal für: Shared-Workstation-Umgebungen, hochprivilegierte Konten, Benutzer, die häufig zwischen Geräten wechseln, regulierte Umgebungen, die hardwaregebundene Credentials erfordern.

Unterstützte Keys: YubiKey 5 Serie, Feitian BioPass, AuthenTrend, HID Crescendo und jeder FIDO2-zertifizierte Key auf der FIDO Alliance Certified Products List.

Funktionsweise:

1. Benutzer navigiert zur Anmeldeseite und gibt seinen Benutzernamen ein
2. Entra ID fordert den FIDO2 Key an
3. Benutzer steckt den Key ein (USB) oder tippt ihn an (NFC) und liefert die User-Verification-Geste (PIN oder Biometrie auf dem Key)
4. Der Key signiert eine Challenge mit dem Private Key, gebunden an die Entra ID Origin
5. Entra ID verifiziert die Signatur mit dem registrierten Public Key
6. Authentifizierung abgeschlossen — zu keinem Zeitpunkt ein Passwort involviert

Sicherheitseigenschaften:

• Phishing-resistent: Das Credential ist origin-gebunden und authentifiziert nicht gegenüber einer gefälschten Domain
• Replay-sicher: Jede Authentifizierung verwendet eine einzigartige Challenge
• Hardware-gebunden: Private Keys können nicht aus dem Security Key extrahiert werden
• Keine geteilten Secrets: Der Server speichert nur den Public Key

Windows Hello for Business

Windows Hello for Business verwendet Biometrie (Gesicht, Fingerabdruck) oder eine gerätespezifische PIN zur Authentifizierung. Das Credential ist an den TPM-Chip des spezifischen Geräts gebunden.

Ideal für: Benutzer, die primär von einem einzelnen Gerät arbeiten, firmenverwaltete Laptops und Desktops, Organisationen, die Geräte bereits über Intune verwalten.

Sicherheitseigenschaften:

• Phishing-resistent: gleiche Origin-Bindung wie FIDO2
• Gerätegebunden: Credentials können nicht von einem anderen Gerät verwendet werden
• Biometrische Daten verlassen das Gerät nie — sie werden lokal vom TPM verarbeitet

Microsoft Authenticator Passkeys

Die Microsoft Authenticator App kann gerätegebundene Passkeys speichern, die Passwordless-Anmeldung von mobilen Geräten ermöglichen.

Ideal für: Mobile-First-Benutzer, BYOD-Szenarien, in denen Hardware Keys unpraktisch sind, Übergangs-Deployments, bei denen Benutzer von Push-Benachrichtigungen zu Passkeys wechseln.

FIDO2-Authentifizierungsfluss

Phasenweise Rollout-Strategie

Versuchen Sie kein Big-Bang-Deployment. Passwordless erfordert Änderungen im Benutzerverhalten, in Help-Desk-Prozessen und in Conditional Access Policies. Ein phasenweiser Ansatz reduziert das Risiko.

Phase 0: Grundlagen (Wochen 1-2)

Voraussetzungen:

• Entra ID P1 oder P2 Lizenzierung (P2 für PIM-Integration erforderlich)
• Intune-Enrollment für verwaltete Geräte (für Windows Hello for Business)
• FIDO2 Security Keys beschafft (Budget für 2 Keys pro Benutzer im Piloten, 2 pro Benutzer in Production)
• Temporary Access Pass Policy in Entra ID konfiguriert

Authentifizierungsmethoden aktivieren:

In Entra ID > Authentication Methods die drei Passwordless-Methoden aktivieren:

• FIDO2 Security Key: Aktivieren für eine Zielgruppe (z.B. sg-passwordless-pilot)
• Windows Hello for Business: Aktivieren über Intune Device Configuration Profile
• Microsoft Authenticator: Passkey-Modus für die Zielgruppe aktivieren

Temporary Access Pass konfigurieren:

Dies ist kritisch für die Key-Recovery. TAP in Authentication Methods mit diesen Einstellungen aktivieren:

• Minimale Lebensdauer: 10 Minuten
• Maximale Lebensdauer: 8 Stunden
• Standard-Lebensdauer: 1 Stunde
• Einmalverwendung: Erforderlich für Standardbenutzer

Phase 1: IT- und Security-Teams (Wochen 3-6)

Beginnen Sie mit Ihrem eigenen Team. Sie verstehen die Technologie, können Probleme troubleshooten und liefern ehrliches Feedback.

Enrollment-Prozess:

1. Benutzer navigiert zu https://mysecurityinfo.microsoft.com
2. "Anmeldemethode hinzufügen" klicken und "Sicherheitsschlüssel" wählen
3. USB oder NFC wählen
4. Key einstecken, PIN erstellen (bei Erstverwendung) und Key berühren
5. Mit einem zweiten Backup Key wiederholen
6. Optional Windows Hello for Business auf dem primären Gerät registrieren

Conditional Access Policy für den Piloten — Passwordless erfordern:

{
  "displayName": "CA-Pilot-RequirePasswordless",
  "state": "enabled",
  "conditions": {
    "users": {
      "includeGroups": ["sg-passwordless-pilot"]
    },
    "applications": {
      "includeApplications": ["All"]
    },
    "clientAppTypes": ["browser", "mobileAppsAndDesktopClients"]
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": [],
    "authenticationStrength": {
      "id": "00000000-0000-0000-0000-000000000004",
      "displayName": "Phishing-resistant MFA"
    }
  }
}

Erfolgskriterien für Phase 1:

• 100% der Pilotbenutzer erfolgreich mit 2 FIDO2 Keys registriert
• Benutzer können sich bei allen erforderlichen Anwendungen anmelden
• Help Desk hat mindestens 3 Key-Verlust-Recovery-Szenarien bearbeitet
• Durchschnittliche Enrollment-Zeit dokumentiert
• Edge Cases und inkompatible Anwendungen identifiziert

Phase 2: Privilegierte Benutzer (Wochen 7-10)

Ausweitung auf alle Global Administrators, Security Administrators und Benutzer mit stehenden oder berechtigten privilegierten Rollen.

Zusätzliche Conditional Access Policy — Phishing-resistente MFA für Admin-Rollen erfordern:

{
  "displayName": "CA-Admin-PhishingResistantMFA",
  "state": "enabled",
  "conditions": {
    "users": {
      "includeRoles": [
        "62e90394-69f5-4237-9190-012177145e10",
        "194ae4cb-b126-40b2-bd5b-6091b380977d",
        "f28a1f50-f6e7-4571-818b-6a12f2af6b6c",
        "29232cdf-9323-42fd-ade2-1d097af3e4de",
        "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9"
      ]
    },
    "applications": {
      "includeApplications": ["All"]
    }
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": [],
    "authenticationStrength": {
      "id": "00000000-0000-0000-0000-000000000004"
    }
  }
}

Phase 3: Allgemeine Belegschaft (Wochen 11-20)

Abteilungsweise ausrollen. Die Combined Registration Campaign in Entra ID nutzen, um Benutzer bei der nächsten Anmeldung zur Registrierung von Passwordless-Methoden aufzufordern.

Stufenweise Durchsetzung:

1. Woche 1-2: Passwordless-Methoden für die Abteilungsgruppe aktivieren (Benutzer können wählen)
2. Woche 3-4: Abteilungsgruppe zu einer "Passwordless bevorzugen"-Conditional-Access-Policy hinzufügen
3. Woche 5+: Abteilungsgruppe zur "Phishing-resistente MFA erfordern"-Policy verschieben (erzwungen)

Rollout-Zeitplan Uebersicht

Phase 4: Durchsetzung und Bereinigung (Wochen 21-24)

• Alle Benutzer in die "Phishing-resistente MFA erfordern"-Conditional-Access-Policy verschieben
• Legacy-Authentifizierungsmethoden (SMS, Telefonanruf) für registrierte Benutzer deaktivieren
• Temporäre Ausnahmen überprüfen und schließen
• Passwortbasierte Conditional Access Policies archivieren

Fallback-Szenarien

Benutzer verliert beide FIDO2 Keys

1. Benutzer kontaktiert Help Desk
2. Help Desk verifiziert Identität über Out-of-Band-Prozess (Vorgesetztenbestätigung, persönliche Verifizierung)
3. Help Desk stellt Temporary Access Pass aus
4. Benutzer meldet sich mit TAP an und registriert neue FIDO2 Keys
5. Alte Keys werden widerrufen

Anwendung unterstützt kein Passwordless

• Entra ID Application Proxy mit Pre-Authentication
• Azure AD Domain Services für Anwendungen, die Kerberos oder NTLM erfordern
• Password Writeback für Hybrid-Szenarien
• Ausnahme-Conditional-Access-Policy erstellen, die Passwort + MFA nur für spezifische Legacy-Anwendungen erlaubt

Help-Desk-Auswirkungen

Erwarten Sie diese Muster während des Rollouts:

• Erste zwei Wochen: 15-20% der registrierten Benutzer kontaktieren den Help Desk mit Fragen
• Key-Verlustrate: circa 2-5% pro Jahr (Branchendurchschnitt für Hardware-Token)
• PIN-Reset-Anfragen: 3-5% pro Quartal
• Häufige Verwirrung: Benutzer, die Passwordless auf nicht registrierten Geräten nutzen wollen

Schulen Sie den Help Desk in:

1. Ausstellung und Widerruf von Temporary Access Passes
2. Anleitung zur Self-Service-Key-Registrierung
3. Erkennung und Eskalation potenzieller Account-Kompromittierungen
4. Prüfung registrierter Authentifizierungsmethoden eines Benutzers in Entra ID

Erfolgsmessung

Verfolgen Sie diese Metriken monatlich:

• Passwordless-Anmelde-Prozentsatz: Ziel 90%+ innerhalb von 6 Monaten nach Durchsetzung
• Password-Spray-Angriffs-Erfolgsrate: Sollte auf 0% für Passwordless-Benutzer sinken
• Help-Desk-Ticket-Volumen für Authentifizierungsprobleme: Sollte nach initialem Rollout-Spike sinken
• Benutzerzufriedenheit: Benutzer bei 1, 3 und 6 Monaten nach Enrollment befragen

Fazit

Passwordless Authentication ist die wirkungsvollste einzelne Sicherheitsverbesserung, die die meisten Unternehmen vornehmen können. Sie eliminiert die größte Angriffsfläche (Passwörter), verbessert das Benutzererlebnis (keine Passwörter zum Merken oder Rotieren) und erfüllt die Phishing-resistenten MFA-Anforderungen in DORA, NIS2 und den meisten Cyber-Insurance-Fragebögen.

Die Implementierung erfordert Planung, Change Management und Geduld. Aber das Sicherheitsergebnis ist transformativ.

Wenn Sie Hilfe bei der Konzeption und Durchführung eines Passwordless Rollouts für Ihre Organisation benötigen, kontaktieren Sie uns unter mbrahim@conceptualise.de. Wir haben Unternehmen durch diese Transition begleitet und wissen, wo die Fallstricke lauern.