Consulting Briefing: Thema des Tages
Entra ID: MFA-Pflicht und Passkeys als neuer StandardSecure Future Initiative, MFA-Pflicht und Passkeys – jetzt wird es ernst mit „ohne Passwort“
Willkommen im „Consulting Briefing“. Heute schauen wir auf ein Thema, das vielen IT-Abteilungen einen kleinen Sicherheits-Schluckauf beschert: Microsofts Secure Future Initiative, die neuen MFA-Pflichten und die frischen Passkey-Profile in Entra ID. Kurz gesagt: Passwort-Zeitenwende.
1. Secure Future Initiative – Security first, Komfort später
Die Secure Future Initiative (SFI) ist Microsofts Sicherheits-Gelübde: „Security above all else“. Übersetzt: Weniger Marketing, mehr kryptografischer Beton. Ziel ist, Produkte von Anfang an sicher zu bauen („Secure by Design“), standardmäßig strenger zu konfigurieren („Secure by Default“) und im Betrieb konsequent zu überwachen („Secure Operations“).
Konkret heißt das für Ihren Alltag:
-
Identitäten und Geheimnisse härten: Stärkere Standards für Konten, Zugriffe, Secrets und Apps.
-
MFA nicht mehr als „nice to have“: MFA wird in Azure/Entra-Umgebungen schrittweise verpflichtend, zunächst für Portale und Admin-Zugriffe, dann breiter für Azure-Sign-ins.
-
Geräte konsequent absichern: Gerätezustand wird immer mehr zur Eintrittskarte ins Unternehmensnetz.
Die Botschaft: Wer noch auf „Benutzername + Passwort“ setzt, fährt sicherheitstechnisch mit Sommerreifen im Januar.
2. MFA-Pflicht und Passkey-Profile in Entra ID
MFA wird Pflicht – nicht nur für die Security-Fraktion
Microsoft rollt derzeit schrittweise MFA-Pflichten aus:
-
Azure / Entra / Intune Admin-Portale: MFA ist Voraussetzung für den Zugriff, ausgerollt in Phasen weltweit
-
Microsoft 365 Admin Center: Ab Februar 2025 wird MFA für Konten, die das Admin Center aufrufen, verpflichtend – mit Vorankündigung per Message Center.
Wer bereits eine saubere Conditional-Access-Strategie mit MFA hat, ist fein raus. Wer nicht, bekommt irgendwann einfach ein „Du kommst hier nicht rein“-Erlebnis.
Neue Passkey-Profile – Passwordless wird erwachsen
Entra ID unterstützt inzwischen Passkeys (FIDO2) in mehreren Varianten:
-
Gerätegebundene Passkeys:
Schlüssel liegen z. B. auf einem FIDO2-Security-Key oder im Microsoft Authenticator auf einem spezifischen Gerät. -
Synchronisierte Passkeys (Preview / GA je nach Feature):
Passkeys werden in Plattformdiensten wie iCloud Keychain oder Google Password Manager oder in Passwortmanagern wie 1Password/Bitwarden gehalten – und über mehrere Geräte synchronisiert.
Neu ist, dass Sie in Entra ID Passkey-Profile definieren können – etwa getrennte Profile für:
-
hohe Sicherheitsanforderungen (nur gerätegebundene, attestierte Passkeys auf verwalteten Devices),
-
breitere Nutzung (synchrone Passkeys zur Nutzerfreundlichkeit, z. B. mit 1Password oder Plattform-Synchronisation).
Damit steuern Sie ziemlich fein, welcher Typ Passkey für welche Benutzergruppe zulässig ist.
3. Technischer Hintergrund: Passwordless, Conditional Access, Gerätezustand
Was macht Passwordless eigentlich anders?
Statt „Geheimnis im Kopf“ (Passwort) nutzen Passkeys Kryptografie:
-
Beim Registrieren wird ein Schlüsselpaar erzeugt:
privater Schlüssel auf Gerät/Token, öffentlicher Schlüssel bei Entra ID. -
Beim Login schickt Entra ID eine Challenge.
-
Der Authenticator signiert mit dem privaten Schlüssel (nach Fingerabdruck/PIN).
-
Entra ID prüft mit dem öffentlichen Schlüssel und lässt Sie rein.
Vorteil: Es gibt kein Passwort, das phishbar oder in irgendwelchen Dumps landet. Ohne das Gerät + die Geste ist nichts zu holen.
Conditional Access – die zentrale Schaltzentrale
Conditional Access ist das Policy-Gehirn hinter allem:
-
Wer? Konto, Rolle, Gruppe.
-
Wohin? App, Ressource, Adminportal.
-
Unter welchen Bedingungen? Standort, Gerätezustand, Risiko, Authentifizierungsstärke.
Mit den neuen Authentication Strengths können Sie erzwingen, dass z. B.:
-
„Standard-MFA reicht nicht, hier ist phishing-resistente MFA Pflicht“ (FIDO2/Passkey).
-
Administrative Aktionen nur mit starkem Faktor erlaubt sind.
Gerätezustand – „Bring nicht jeden Schrott mit“
Der Gerätezustand wird zum zweiten Standbein:
-
Compliant Device aus Intune (oder MDM): Nur Geräte mit aktuellen Patches, Verschlüsselung, AV etc.
-
Hybrid/AAD Join: Geräte müssen im AD/Entra sauber registriert sein.
-
Kombinationen wie:
„Admin-Portal nur von compliant Device + Passkey“.
Damit wird aus „Einloggen von überall“ eher ein Club mit Türsteher und Dresscode.
4. Auswirkungen auf Benutzer, Helpdesk, Governance und Compliance
Benutzerfreundlichkeit – nach der Umstellung wird es besser
Kurzfristig:
-
Mehr MFA-Prompts, Registrierungsprozesse, „Wie installiere ich den Authenticator?“-Fragen.
-
Skepsis: „Wieso reicht mein Passwort nicht mehr?“
Mittelfristig:
-
Passkeys sind spürbar schneller als Passwort + MFA-Kombi und deutlich erfolgreicher beim Login.
-
Weniger Tippfehler, weniger Sperrungen, weniger „Passwort zurücksetzen“.
Fazit: Die ersten Wochen sind holprig, dann wundern sich alle, wie sie früher ohne klarkamen.
Helpdesk – erst mehr Arbeit, dann deutlich weniger
Zu Beginn:
-
Peaks bei Tickets zu MFA-Registrierung, neuen Geräten, verlorenen Smartphones.
-
Notwendigkeit, saubere Self-Service-Mechanismen zu etablieren.
Danach:
-
Deutlicher Rückgang von „Passwort vergessen“-Tickets.
-
Klarere Prozesse: Gerät verloren → remote wipen, Passkeys sperren, neu ausrollen.
Governance & Compliance – endlich harte Fakten
Für Governance und Compliance ist das ein Geschenk:
-
Klare Policies:
„Alle Admins: Passkey + compliant Device“, „Alle Benutzer: mindestens MFA, High-Risk-Konten: Passkey only“. -
Berichtsfähigkeit:
Anteile von MFA, Passkeys, Legacy-Auth – perfekte Futterquelle für Audits und NIS2-Berichte. -
Nachweisbare Risikoreduktion:
Microsoft verweist auf >99 % weniger Account-Übernahmen mit MFA; mit Passkeys legen Sie noch eine Schippe drauf.
5. Migrationsplan: Von klassischen Passwörtern zu Passkeys
Wie sieht ein realistischer Fahrplan aus, den Sie morgen im nächsten Jour fixe präsentieren können?
Schritt 1: Bestandsaufnahme und Strategie
-
Welche Benutzergruppen haben welche Risiken?
(Admins, VIPs, kritische Fachbereiche, Standardanwender) -
Welche Gerätewelten gibt es?
Windows, macOS, iOS, Android, BYOD, Terminalserver. -
Welche Legacy-Anwendungen hängen noch an Basic/Legacy Auth?
Ziel: Eine Passwordless-Roadmap, die zu Ihrer Realität passt – nicht zu einer idealisierten Microsoft-Demo.
Schritt 2: MFA konsequent etablieren
-
MFA für alle Konten, mindestens via Conditional Access, „Security Defaults“ oder eigene Policies.
-
Legacy-Auth so weit wie möglich kappen.
-
Erst wenn MFA solide steht, lohnt es sich, groß über Passkeys zu sprechen.
Schritt 3: Passkeys pilotieren
-
Pilotgruppe: IT, Security, ein engagierter Fachbereich.
-
Aktivieren Sie Passkeys (FIDO2) in Entra ID und definieren Sie ein erstes Passkey-Profil für diese Gruppe (z. B. nur gerätegebunden, verwaltete Geräte).
-
Conditional Access: Für ausgewählte Apps Authentication Strength „phishing-resistent“ erzwingen.
Ziel: Herausfinden, wo es im Alltag knirscht (Geräte, Browsersupport, Mobilität).
Schritt 4: Ausrollen nach Risikoklassen
-
Admins & Hochrisiko-Konten zuerst:
Strenge Passkey-Profile + compliant Devices. -
Danach wichtige Fachbereiche, Remote-Teams und mobile Rollen.
-
Optional: getrennte Profile für
-
streng regulierte Bereiche (nur attestierte Security Keys),
-
breitere Nutzung (synchrone Passkeys mit Passwortmanagern/Plattform-Sync für mehr Komfort).
-
Schritt 5: Policies, Schulung, Kommunikation
-
Klare Richtlinien:
„So gehen wir mit Passkeys um“, „So reagieren wir bei Geräteverlust“, „Diese Authentifizierungsmethoden sind tabu“. -
Schulungen mit Live-Demos, Screenshots, kurzen Videos (gern aus dem „Consulting Briefing“ angeteasert).
-
Regelmäßige Review-Zyklen: CA-Policies, Authentifizierungsmethoden, Ausnahmen.
Schritt 6: Password-Phase-out planen
-
Schrittweise Passwörter für bestimmte Konten/Gruppen deaktivieren oder nur noch als Fallback zulassen.
-
Legacy-Apps umbauen oder mit modernen Protokollen (OIDC/OAuth2) anbinden.
-
Zielzustand definieren:
„Bis Datum X sind 80 % der Benutzer aktiv mit Passkeys unterwegs.“
Fazit: Jetzt ist der richtige Zeitpunkt
Die Kombination aus Secure Future Initiative, MFA-Pflicht und neuen Passkey-Profilen in Entra ID ist kein Marketingfeuerwerk, sondern ein ziemlich deutliches Signal:
Wer seine Identitäten nicht absichert, wird in Zukunft weniger Probleme mit Hackern haben – weil er vorher schon an den Zugangsanforderungen scheitert.
Wenn Sie Ihr Unternehmen jetzt strukturiert von „Passwort plus Hoffnung“ zu „Passkeys plus Policies“ bringen, haben Sie:
-
weniger Risiko,
-
weniger Helpdesk-Stress,
-
glücklichere Benutzer nach der Einführungsphase,
-
und sehr dankbare Auditoren.
Genau die Sorte Mischung, über die das „Consulting Briefing“ gerne wieder berichtet