Passkey mit Microsoft Konto (und 1Password)

1Password hat informiert ihre Extensions für Browser (Beta Release) unterstützen ab sofort die Anmeldung mit Passkey. Bei einer Anmeldung mit Passkey benötigt es das klassische Passwort nicht mehr. Ist dir Passkey bisher unbekannt gibt es bei heise.de eine Zusammenfassung über die Zukunft der passwortlosen Anmeldung.

What are Passkeys?
Passkeys are a password replacement that provide faster, easier, and more secure sign-ins to websites and apps across a user’s devices. Unlike passwords, passkeys are resistant to phishing, are always strong, and are designed so that there are no shared secrets.


From a technical standpoint, passkeys are “discoverable” FIDO credentials for passwordless authentication. The cryptographic keys are used from end-user devices (computers, phones, or security keys) that are used for secure user authentication.

1Password betreibt ein öffentliches Verzeichnis welche Webseiten eine Anmeldung mit Passkey bereits unterstützen. Microsoft ist dort ebenfalls gelistet. Für die Konfiguration in einem Microsoft Konto wird auf die Hilfe verwiesen.

Screenshot

Da ich 1Password selbst nutze probierte ich es mit meinem Microsoft Konto aus. Mein Kollege Andres Bohren hat Passkey mit einem Google Konto ausprobiert.
Generell zur Information, für die Einrichtung mit einer der 1Password Browser Extensions benötigst du ein 1Password Konto. Du musst dich in der Browser Extension mit deinem 1Password Konto anmelden. Ausserdem funktioniert die Anmeldung mit Passkey derzeit nur über die Browser Extension. Der Passkey wird in den 1Password Apps synchronisiert, die Apps und Betriebssysteme unterstützen die Übertragung zu einer Webseite bisher aber nicht.


Einrichtung für persönliches Microsoft Konto

  1. Installiere die 1Password Extension (Beta Release) für deinen Browser und melde dich mit deinem 1Password Konto an. Hast du 1Password bereits lokal auf deinem Client installiert dauert die Einrichtung im Browser weniger als 30 Sekunden.
  2. Öffne die Kontoeinstellungen von deinem Microsoft Konto > Sicherheit > Erweiterte Sicherheitsoptionen.
  3. Füge eine neue Sicherheitsmethode hinzu und wähle als Methode einen Security Key.
Neue Sicherheitsmethode für die Anmeldung hinzufügen
Neue Sicherheitsmethode für die Anmeldung hinzufügen
  1. Wähle USB Device als Key. Für eine Anmeldung mit Passkey benötigt es in einem persönlichen Microsoft Konto keinen klassischen Hardware Key. Die 1Password Browser Extension übernimmt.
USB Device als Key
USB Device als Key
  1. Microsoft wird fragen wie der Passkey erstellt wird. Ist die 1Password Browser Extension installiert unterdrückt 1Password die Abfrage und fragt stattdessen mit welchem Konto der Passkey zu verknüpfen ist.
Passkey mit Konto verknüpfen
Passkey mit Konto verknüpfen
  1. Microsoft möchte wissen wie es den Passkey benennen soll, und bestätigt die Einrichtung.
Passkey benennen
Passkey benennen

1Password hat den Passkey gespeichert. Hier könntest du den Passkey aus 1Password löschen, oder sonst in deinem Microsoft Konto widerrufen und neu einrichten.

Passkey in 1Password
Passkey in 1Password
Anmeldung mit Passkey in (persönlichem) Microsoft Konto

Melde dich von deinem Konto ab oder öffne eine neue, private Browser Session.

  1. Öffne beispielsweise Outlook Mail.
  2. Wähle für die Anmeldeart Windows Hello / Security Key.
Security Key als Anmeldemethode
Security Key als Anmeldemethode
  1. Die 1Password Browser Extension informiert über eine Anmeldung per Passkey.
Anmeldung mit Passkey über 1Password
Anmeldung mit Passkey über 1Password
  1. Die Anmeldung ist erfolgt.


Einrichtung für Geschäftskonto

Da Azure AD die Konfigurationsmöglichkeiten von einem persönlichen Konto ebenfalls unterstützt probierte ich die Konfiguration in Azure AD.
Vorneweg, bis zum letzten Schritt, die abschliessende Einrichtung von Passkey, funktioniert die Konfiguration und Ersteinrichtung. Beim letzten Schritt zeigt es einen Fehler und die Einrichtung kann nicht abgeschlossen werden. Vermutlich unterstützt Azure AD eine Anmeldeart wie die von 1Password bisher nicht.

Konfiguration in Azure AD

Für Passkey Unterstützung in Azure AD muss die Anmeldung über FIDO2 Security Key möglich sein. In meinem Azure AD aktivierte ich die Anmeldemöglichkeit über FIDO2-Keys.

  1. Öffne Azure AD > Security > Authentication methods > Authentication methods und wähle die Möglichkeit für FIDO2 Security Keys.
Anmeldung über FIDO2 Security Key aktivieren
Anmeldung über FIDO2 Security Key aktivieren
  1. Aktiviere die Möglichkeit und wähle alle Konten oder eine ausgewählte Azure AD Gruppe.
  2. Kontrolliere die erweiterten Optionen. In meinem Fall übernehme ich die Standardkonfiguration. Enforce attestation zu deaktivieren hilft bei 1Password Passkey nicht. Die einzelnen Konfigurationen beschreibt Cloudbrothers in guter Form.
  1. Speichere deine Konfiguration.
Aktivierung im Geschäftskonto

Installiere die 1Password Extension (Beta Release) für deinen Browser und melde dich mit deinem 1Password Konto an. Hast du 1Password bereits lokal auf deinem Client installiert dauert die Einrichtung im Browser weniger als 30 Sekunden.
Nach Aktivierung öffne mit deinem Azure AD Konto die Übersicht von Mein Konto > Sicherheitsinformationen und füge eine neue Sicherheitsmethode hinzu. Hier wählst du Security Key. Das System wird auffordern die Einrichtung über MFA zu bestätigen.

Screenshot

Du wählst als Security Key ein USB Device und bestätigst die folgende Information.

Screenshot

Microsoft wird fragen wie der Passkey erstellt wird. Ist die 1Password Browser Extension installiert unterdrückt 1Password die Abfrage und fragt stattdessen mit welchem Konto der Passkey zu verknüpfen ist.

Screenshot

Abschliessend möchte Microsoft wissen wie es den Passkey benennen soll, und zeigt beim Abschluss der Konfiguration den erwähnten Fehler.

Screenshot

Azure AD notiert im Auditlog einen Setupfehler.

Fehler im Auditlog
Fehler im Auditlog

Mein Fazit für Geschäftskonten

Im Vergleich zu persönlichen Konten benötigt Azure AD für die Anmeldung im Moment noch einen klassischen Hardware Key. Vermutlich unterstützt Azure AD eine Anmeldeart wie die von 1Password bisher nicht.

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

4 Responses

  1. Matthes sagt:

    Vielen Dank für die Anleitung! Gibt es für Geschäftskosten mittlerweile eine Lösung? Ich scheitere am selben Punkt bei der Benennung.

  2. Longwing sagt:

    Sadly I just tried this again now, nearly a year later, and it’s generating the same error for me that it did for you.

    • Unfortunately, yes that is the case. In the current state Entra ID supports device-bound Passkeys, only via the Microsoft Authenticator app (see here). 1Password creates a multi-device Passkey, which is currently not supported by Entra ID. Multi-device Passkeys are supported for personal Microsoft accounts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert