Was ist ein FIDO2-Schlüssel und warum ist er sicherer als Passwörter und OTPs?

Ein FIDO2-Schlüssel ist ein physisches Gerät (oft ein USB/NFC-Stick), das eine kryptografische Anmeldeinformation enthält, die eindeutig an den Dienst gebunden ist, für den sie registriert wurde. Er ist phishing-resistent, weil die Anmeldeinformation nicht auf einer anderen als der legitimen Seite wiederverwendet werden kann: es gibt keinen Code zum Eintippen oder Abfangen, anders als bei Passwörtern und OTPs per SMS oder App. Selbst wenn der Nutzer auf einer Phishing-Seite landete, würde der Schlüssel einfach nicht reagieren. Für die Anmeldung braucht es den physischen Besitz des Schlüssels plus einen lokalen Faktor — einen Fingerabdruck oder eine PIN — ein verlorener Schlüssel allein genügt also nicht.

Gibt die FIDO2-Anmeldung auch Zugriff auf On-premises-Ressourcen (Dateiserver, Domänenanwendungen)?

Ja, und es ist der technisch heikelste Punkt. Auf Microsoft Entra hybrid joined Geräten erfordert das Single Sign-on zu Active-Directory-Domänenressourcen Entra Kerberos: Microsoft Entra stellt ein partielles Kerberos-Ticket aus, das ein On-premises-Domänencontroller in ein vollständiges Ticket umwandelt. Einmal konfiguriert (mit dem Modul Azure AD Hybrid Authentication Management auf dem Synchronisierungsserver), erreicht der Nutzer, der sich am PC mit dem FIDO2-Schlüssel anmeldet, Dateiserver und Domänenanwendungen, ohne Anmeldedaten erneut einzugeben. Ohne Entra Kerberos würde die passwortlose Anmeldung am PC funktionieren, aber keinen Zugriff auf interne Ressourcen geben.

Was passiert, wenn ein Nutzer den Sicherheitsschlüssel verliert?

Dafür braucht es immer eine passwortlose Backup-Methode. In der typischen Umsetzung registriert man einen Backup-Passkey in der Microsoft-Authenticator-App auf dem Smartphone: auch er ist eine phishing-resistente FIDO2-Anmeldeinformation, entsperrt durch Gesicht oder Fingerabdruck des Telefons, keine Push-Benachrichtigung und kein OTP. Zusätzlich kann der Administrator einen Temporary Access Pass (TAP) ausstellen, einen zeitlich begrenzten Code, mit dem der Nutzer wieder hineinkommt und einen neuen Schlüssel registriert. Notfallkonten (Break-glass) bleiben außerhalb des passwortlosen Perimeters, als weiteres Sicherheitsnetz.

Funktioniert die FIDO2-Anmeldung auch in Remotedesktop (RDP), VDI oder Citrix?

Nicht nativ. Die Anmeldung mit FIDO2-Schlüssel deckt die interaktive Anmeldung am Windows-PC ab, erstreckt sich aber nicht automatisch auf RDP, VDI oder Citrix, außer über WebAuthn-Redirection wo unterstützt, und auch nicht auf die direkte Server-Anmeldung oder „Ausführen als“. Auch reine AD-domain-joined Geräte (ohne Hybrid Join zu Entra) fallen nicht in das Szenario. Das sind Grenzen, die man in der Projektphase kennen muss: für Remotedesktop-Umgebungen sind ergänzende Lösungen einzuplanen.

Passwortlose Windows-Anmeldung mit FIDO2: so geht es auf hybriden PCs mit Intune

Q: Landet mein Fingerabdruck in der Cloud oder in Active Directory?

Nein. Mit FIDO2 und Windows Hello bleibt die Biometrie immer auf dem Gerät: der Fingerabdruck wird lokal verarbeitet und gespeichert, auf dem Schlüssel oder dem Computer, und wird nie an Microsoft Entra, an Active Directory oder an andere Server übertragen. Was übertragen wird, ist nur ein kryptografischer Nachweis, dass der Nutzer die lokale Verifizierung bestanden hat, nicht der Fingerabdruck selbst. Das macht den Ansatz DSGVO-konform: das biometrische Datum wird nicht zentralisiert oder geteilt.

Alle News

25. Juni 2026·FIDO2Windows HelloPasswordlessMicrosoft EntraIntune

Kurz gesagt: man kann sich an Windows ohne Passwort anmelden, mit einem FIDO2-Sicherheitsschlüssel und dem Fingerabdruck, auch auf Microsoft Entra hybrid joined PCs unter Intune — unter Beibehaltung des Single Sign-on zu On-premises-Ressourcen. Wir haben es für einen Kunden mit hybrider Infrastruktur konfiguriert: nachfolgend die Architektur, das reale Benutzererlebnis (nur Fingerabdruck) und die Grenzen, die man vor dem Start kennen sollte. Keine Theorie: wie es wirklich gemacht wird.

ZugangOhne Passwort

FIDO2Phishing-resistent

BiometrieBleibt auf dem Gerät

Was die Anmeldung mit FIDO2 bedeutet

FIDO2 ist der offene Standard, der die Authentifizierung mit einem physischen Sicherheitsschlüssel statt mit einem Passwort ermöglicht. Der Schlüssel enthält eine kryptografische Anmeldeinformation, die an den Dienst gebunden ist, für den sie registriert wurde: deshalb ist er phishing-resistent. Es gibt keinen Code zum Eintippen oder Abfangen — wie bei Passwörtern und OTPs per SMS oder App — und auf einer gefälschten Seite reagiert der Schlüssel einfach nicht.

Für die Anmeldung braucht es zwei Dinge zusammen: den Besitz des Schlüssels und einen lokalen Faktor — einen Fingerabdruck oder eine PIN. Ein verlorener Schlüssel allein genügt nicht. Es ist das Prinzip des modernen digitalen Identitätsmanagements: etwas, das man hat, entsperrt durch etwas, das man ist.

Die drei Ebenen, die die Anmeldung möglich machen

Die FIDO2-Anmeldung auf hybriden PCs (Entra hybrid joined) zum Laufen zu bringen — also auf Geräten, die sowohl im lokalen Active Directory als auch in Microsoft Entra registriert sind — erfordert drei Ebenen, die miteinander sprechen müssen:

1Identität (Microsoft Entra)— die FIDO2-Methode muss in der Richtlinie der Authentifizierungsmethoden aktiviert und den Nutzern zugewiesen werden, die den Schlüssel registrieren.
2Gerät (Intune)— eine Settings-Catalog-Richtlinie aktiviert auf dem PC den FIDO2-Anmeldeinformationsanbieter (die Einstellung Use Security Key For Sign-in), sodass der Schlüssel im Windows-Anmeldebildschirm erscheint.
3Active Directory (Entra Kerberos)— der unverzichtbare Baustein für Hybrid: Microsoft Entra stellt ein partielles Kerberos-Ticket aus, das ein Domänencontroller in ein vollständiges Ticket umwandelt und so SSO zu internen Ressourcen gibt. Konfiguriert wird es auf dem Synchronisierungsserver mit dem Modul Azure AD Hybrid Authentication Management, und sein Schlüssel muss regelmäßig rotiert werden.

Das Benutzererlebnis: nur Fingerabdruck

Im realen Fall haben wir biometrische FIDO2-Schlüssel mit integriertem Fingerabdruckleser verwendet. Die tägliche Anmeldung läuft so: Schlüssel einstecken, Finger auflegen. Die PIN des Schlüssels wird nur als Verwaltungs- und Wiederherstellungs-Fallback gesetzt und ist im Normalbetrieb nicht erforderlich. Ein operatives Detail, das den Unterschied macht: PIN setzen und Fingerabdruck auf dem Schlüssel registrieren bevor der Passkey in Entra registriert wird, damit die Verifizierung vom ersten Zugriff an biometrisch ist.

Und der Datenschutz? Die Biometrie verlässt nie das Gerät: der Fingerabdruck wird lokal verarbeitet und gespeichert, auf dem Schlüssel oder dem Computer, und nie an Entra, an Active Directory oder an andere Server übertragen. Was übertragen wird, ist nur ein kryptografischer Nachweis, dass die lokale Verifizierung erfolgreich war. Ein DSGVO-konformer Ansatz, weil das biometrische Datum nicht zentralisiert wird.

Um nicht ausgesperrt zu sein, wenn der Schlüssel nicht verfügbar ist, registriert man einen Backup-Passkey in der Microsoft-Authenticator-App auf dem Smartphone: ebenfalls eine phishing-resistente FIDO2-Anmeldeinformation, entsperrt durch Gesicht oder Fingerabdruck des Telefons — keine Push-Benachrichtigung und kein OTP. Ergebnis: jeder Nutzer hat zwei passwortlose Methoden, den physischen Schlüssel für den täglichen Gebrauch und den Passkey auf dem Telefon als Reserve.

Wie man bei null beginnt, ohne Passwort

Es gibt ein klassisches Henne-Ei-Problem: um den ersten Schlüssel ohne Passwort zu registrieren, braucht man einen sicheren Einstiegspunkt. Das Werkzeug ist der Temporary Access Pass (TAP): ein zeitlich begrenzter Code, den der Administrator für den Nutzer ausstellt. Mit dem TAP meldet sich der Nutzer am Sicherheitsportal an, registriert den FIDO2-Schlüssel und dann den Backup-Passkey. Ein mehrfach verwendbarer TAP mit großzügiger Gültigkeit ist vorzuziehen, um nicht mit dem engen Limit des Einmal-TAP zu kollidieren.

Unterstützend führt eine Registrierungskampagne die Nutzer der Zielgruppe dazu, den Schlüssel bei der nächsten Anmeldung hinzuzufügen. Auf PC-Seite genügt es, Intune zu synchronisieren und neu zu starten, um die Regel zu übernehmen; auf einer bereits hybriden Maschine prüft man mit dsregcmd /status, dass sie sowohl Entra joined als auch domain joined ist. Die Ausweitung auf die anderen Nutzer erfolgt über eine dedizierte Gruppe, ohne die Konfiguration jedes Mal zu wiederholen.

Was NICHT funktioniert: die echten Grenzen

Der Teil, den niemand erzählt und der in der Projektphase zählt. Die Anmeldung mit FIDO2-Schlüssel deckt die interaktive Anmeldung am Windows-PC ab, erstreckt sich aber nicht automatisch auf alles:

RDP, VDI und Citrix— nicht nativ unterstützt, außer über WebAuthn-Redirection wo verfügbar. Dasselbe gilt für die direkte Server-Anmeldung und „Ausführen als“.
Reine AD-domain-joined Geräte— ohne Hybrid Join zu Entra gilt das Szenario nicht.
Notfallkonten (Break-glass)— müssen außerhalb des passwortlosen Perimeters gehalten werden, als Sicherheitsnetz.
Voraussetzungen— Windows 10 2004 oder neuer, Domänencontroller unter Windows Server 2016+ mit aktiviertem AES, mindestens ein beschreibbarer Domänencontroller pro Standort.

Warum es sich lohnt, und wie wir helfen

Das Passwort aus dem Zugang zu den Firmencomputern zu entfernen beseitigt den meistgenutzten Angriffsweg — gestohlene Anmeldedaten, Phishing, Passwort-Wiederverwendung — und verbessert auch das Erlebnis: man meldet sich mit einem Finger an. Phishing-resistente Authentifizierung gehört zu den am meisten geforderten Maßnahmen, auch im Kontext von NIS2, und fügt sich natürlich in einen Modern Workplace ein, der mit Microsoft 365 und Intune verwaltet wird.

AtWorkStudio arbeitet seit dem Jahr 2000 in Piacenza. Wir konzipieren und verwalten hybride Entra/Intune-Umgebungen und End-to-End-Passwordless-Rollouts. Wir sind zertifiziert nach ISO/IEC 27001, 27017, 27018 und ISO 9001, ACN-qualifiziert (Agenzia per la Cybersicurezza Nazionale, die italienische nationale Cybersicherheitsbehörde) für Cloud-Dienste, Mitglieder von Clusit (italienischer Verband für Informationssicherheit) und Confindustria Piacenza im RICT-Cluster zugeordnet.

Quellen

Microsoft Learn — Enable FIDO2 security key sign-in to Windows devices with Microsoft Entra ID
Microsoft Learn — Enable passwordless security key sign-in to on-premises resources (Microsoft Entra Kerberos)
Microsoft Learn — Configure a Temporary Access Pass in Microsoft Entra ID
Microsoft Learn — Authentication methods registration campaign

Mehr erfahren

Digitales Identitätsmanagement Modern Workplace Microsoft 365 Cybersecurity-Dienste NIS2-Richtlinie Zertifizierungen

Häufige Fragen

Antworten auf die häufigsten Fragen zur passwortlosen Anmeldung mit FIDO2 und Windows Hello im Unternehmen.

Möchten Sie das Passwort aus dem Zugang zu Ihren Computern entfernen?

Wir konzipieren End-to-End-Passwordless — FIDO2, Windows Hello, Intune und Entra Kerberos für On-premises-SSO — ausgehend von einem Assessment Ihrer Umgebung. Sprechen wir darüber.

Digitales Identitätsmanagement Kontakt aufnehmen

Passwortlose Windows-Anmeldung:FIDO2 und Fingerabdruck im Unternehmen