Microsoft weitet seinen passwortlosen Anmeldestandard auf Windows-Geräte aus. Ab Ende April 2026 steht die General Availability von Microsoft Entra Passkeys on Windows weltweit bereit – ohne dass Nutzer oder Administratoren aktiv etwas unternehmen müssen. Die Funktion ermöglicht Phishing-resistente Anmeldungen per Gesichtserkennung, Fingerabdruck oder PIN über den Windows-Hello-Mechanismus.

Einfache Inbetriebnahme

Technisch gesehen speichern die Passkeys ihre kryptografischen Schlüssel im Windows-Hello-Container direkt auf dem Gerät – sogenannte "device-bound passkeys". Damit entfällt das bisherige Erfordernis aus der Public Preview, Windows-Hello-AAGUIDs explizit in einer FIDO2-Profilkonfiguration auf eine Allowlist zu setzen. Wer ein Passkey-Profil betreibt, das gerätegebundene, nicht attestierte Passkeys erlaubt, muss also künftig nichts weiter konfigurieren: Nutzer können sich einfach registrieren und loslegen.

Relevant ist die Neuerung vor allem für Szenarien, in denen Geräte nicht ins Unternehmensverzeichnis eingebunden sind. Bislang setzt Microsoft Windows Hello for Business als bevorzugte Lösung für verwaltete, ins Entra-Verzeichnis eingebundene PCs ein. Mit der General Availability können Passkeys nun auch auf privaten oder geteilten PCs genutzt werden – sofern die Conditional-Access-Richtlinien das zulassen. Dabei gilt: Jedes Gerät braucht für jedes Entra-Konto eine eigene Passkey-Registrierung.

Rollout lässt sich verhindern

Administratoren, die den Rollout in ihrer Umgebung verhindern wollen, können das über die Authentifizierungsmethoden-Richtlinien steuern. Konkret lassen sich Windows-Hello-AAGUIDs in den Passkey-Profilen auf eine Blockliste setzen. Wer nichts unternimmt, akzeptiert die neue Standardkonfiguration. Zu beachten ist außerdem, dass Attestierung für Entra-Passkeys auf Windows bislang nicht unterstützt wird – Microsoft plant diese Funktion für ein späteres Update. Für Cloud-Sonderbereiche wie GCC, GCC High und DoD startet der Rollout erst Anfang Juli 2026 und soll bis Ende Juli abgeschlossen sein.

Die Verfügbarkeit schließt eine wichtige Lücke im passwortlosen Portfolio von Microsoft: Während Hardware-Sicherheitsschlüssel und Microsoft Authenticator schon länger unterstützt werden, fehlte bisher eine native, reibungsarme Option für Windows-Geräte außerhalb des klassischen Unternehmensnetzes. Mit dem FIDO2-basierten Ansatz setzt Microsoft auf einen offenen Standard, der Phishing-Angriffe strukturell erschwert – Anmeldedaten sind gerätegebunden und verlassen das Gerät nie im Klartext.