Zum Inhalt springen
IT-Sicherheit

YubiKeys im Auftrag Ihrer Nutzer registrieren – FIDO2-Provisioning für Microsoft Entra ID

Phishing-resistente MFA scheitert im Rollout selten an der Technik, sondern an der Selbstregistrierung: Nutzer sind überfordert, der Helpdesk läuft heiß, Massen-Ausrollung gibt es nicht. Mit der FIDO2-Provisioning-API von Microsoft Entra registrieren Sie Schlüssel zentral im Auftrag Ihrer Nutzer – wir zeigen, wie das funktioniert und mit welchem Werkzeug wir es umsetzen.

05. July 2026 · Aktualisiert 05. July 2026

Passwörter sind nach wie vor das häufigste Einfallstor in Unternehmensnetze. Die stärkste Antwort darauf sind phishing-resistente FIDO2-Sicherheitsschlüssel wie der YubiKey: ein physisches Stück Hardware, das sich nicht abphishen, nicht per SIM-Swap umgehen und nicht aus der Ferne stehlen lässt.

Die Technik ist ausgereift. Woran ein Rollout in der Praxis scheitert, ist etwas anderes.

Das eigentliche Problem: die Selbstregistrierung

Microsoft Entra sieht vor, dass jeder Nutzer seinen Schlüssel selbst über aka.ms/mysecurityinfo registriert. In der Theorie elegant, im Alltag ein Bruch:

  • Nutzer sind mit dem Ablauf überfordert (Browser-Dialog, PIN setzen, Touch bestätigen).

  • Der Helpdesk trägt die Last aus hunderten Einzelfällen.

  • Es gibt keinen Massen-Weg – 200 Keys für 200 Mitarbeiter heißt 200-mal Self-Service.

  • Wer den Key ausgibt, hat keine Kontrolle über PIN-Qualität und keine saubere Dokumentation.

Die Lösung: im Auftrag registrieren

Microsoft Entra bietet die FIDO2 Provisioning API an: Damit kann die IT einen Sicherheitsschlüssel im Auftrag eines Nutzers registrieren – zentral, am kontrollierten Arbeitsplatz, in einem durchgehenden Ablauf. Der Nutzer bekommt am Ende einen fertig eingerichteten Key plus PIN in die Hand, ohne selbst einen einzigen Dialog gesehen zu haben.

Die grundlegende Idee und den Weg über die Provisioning-API hat Jan Bakker in seinem Artikel „Register YubiKeys on behalf of your users with Microsoft Entra ID FIDO2 provisioning APIs" öffentlich gemacht. Unser Werkzeug setzt dieses Konzept in einen praxistauglichen, geführten Workflow um.

Wie das technisch abläuft

Die Registrierung im Auftrag ist ein dreistufiger FIDO2-Ablauf – lokal auf dem Provisioning-PC, gegen die Microsoft-Graph-beta-Endpunkte:

  1. Challenge holen: Der creationOptions-Aufruf liefert die WebAuthn-Optionen inklusive Challenge.

  2. Credential erzeugen: Der physische YubiKey erzeugt lokal das Schlüsselpaar und das attestationObject – der private Schlüssel verlässt die Hardware nie.

  3. Zurückmelden: Ein POST auf die fido2Methods des Nutzers registriert den Key mit attestationObject und clientDataJSON in Entra.

Benötigte Graph-Anwendungsberechtigungen: AuthenticationMethod.ReadWrite.All, GroupMember.Read.All und User.Read.All (bzw. minimal User.ReadBasic.All) – mit Administratorzustimmung.

Unser FIDO2 Key Provisioner

Damit dieser Ablauf nicht in PowerShell-Fragmenten endet, haben wir ihn in unseren FIDO2 Key Provisioner gegossen – eine lokale Web-App, die nur auf dem Provisioning-PC läuft und Schritt für Schritt durch den Prozess führt: Gruppe, Benutzer, Einstellungen, Provisioning, Ergebnisse.

Auswahl einer Microsoft-Entra-Gruppe im FIDO2 Key Provisioner
Schritt 1: Entra-Gruppe wählen – alle Gruppen werden geladen, Suche inklusive.
Auswahl mehrerer Nutzer für die Sicherheitsschlüssel-Registrierung
Schritt 2: Nutzer auswählen – Tabelle mit Namen und UPN, Mehrfachauswahl.

Massenbereitstellung: FIDO2-Schlüssel im Bulk ausrollen

Der eigentliche Gewinn liegt in der Masse. Statt jeden Nutzer einzeln durch die Selbstregistrierung zu lotsen, wählen Sie eine ganze Entra-Gruppe, markieren beliebig viele Mitglieder und stellen deren FIDO2-Schlüssel in einem einzigen Durchlauf bereit. Ob 20 oder 2.000 Keys – die Massenbereitstellung folgt demselben Fünf-Schritte-Ablauf, mit einheitlichen PIN-Regeln und lückenlosem Protokoll. Genau diese Bulk-Fähigkeit fehlt der Self-Service-Registrierung von Entra.

Kontrolle über PIN und Schlüssel

Ein im Auftrag registrierter Key ist nur so gut wie seine PIN. Der Assistent erzeugt auf Wunsch einen zufälligen PIN und erzwingt dabei Komplexitätsregeln – keine trivialen Folgen, keine Wiederholungen, keine Palindrome. Mindestlänge, CTAP2.1-Optionen und „PIN beim ersten Login ändern" sind einstellbar; vorhandene Keys eines Nutzers lassen sich vor der Neuregistrierung gezielt entfernen.

Einstellungen für PIN-Erzeugung und Schlüssel-Optionen
Schritt 3: PIN-Modus, Mindestlänge, CTAP2.1 und Aufräum-Optionen.
Provisioning-Schritt: FIDO2-Schlüssel einstecken und registrieren
Schritt 4: Provisioning – pro Nutzer Key einstecken, starten, registrieren.
Ergebnistabelle mit PIN pro Nutzer und Exportfunktion
Schritt 5: Ergebnisse mit PIN-Protokoll pro Nutzer – CSV- und PDF-Export.

Praxis-Stolpersteine, die im Datenblatt fehlen

  • USB braucht Administratorrechte: Windows gibt FIDO2-USB-Geräte nur an elevierte Prozesse frei. Ohne Adminrechte wird ein per USB gesteckter Key nicht erkannt (NFC über einen Smartcard-Reader dagegen schon).

  • „Restricted NFC" ab Firmware 5.7: Fabrikneue YubiKeys werden mit gesperrtem NFC ausgeliefert. Die Sperre lässt sich nur aufheben, indem der Key einmal rund 3 Sekunden an USB-Strom gesteckt wird. Danach funktioniert NFC dauerhaft.

  • Client Secret bleibt lokal: Die App-Registration-Zugangsdaten gehören nicht ins Git, sondern nur auf den Provisioning-PC.

Alltagstauglich: als Dienst, mit Protokoll

Weil der UAC-Prompt bei jedem Start im Alltag stört, kann der FIDO2 Key Provisioner als Windows-Dienst (LocalSystem) laufen: Der Dienst übernimmt den privilegierten Gerätezugriff, eine unprivilegierte Verknüpfung startet ihn bei Bedarf – kein UAC im Tagesbetrieb. Jede Registrierung landet zudem in einem CSV-/PDF-Protokoll (Nutzer, Key-Seriennummer, PIN, Zeitstempel), das die Ausgabe der Keys sauber dokumentiert.

FIDO2 Key Provisioner herunterladen

Laden Sie das Werkzeug herunter und richten Sie das Provisioning in Ihrer eigenen Umgebung ein.

software 7Z 20.46 MB

FIDO2 Key Provisioner

FIDO2 Key Provisioner

Kostenlos anfordern

Das Wichtigste in Kürze

  • FIDO2-Schlüssel sind die stärkste, phishing-resistente MFA – der Engpass beim Rollout ist die Selbstregistrierung, nicht die Technik.
  • Die Microsoft Entra FIDO2 Provisioning API erlaubt es der IT, Keys im Auftrag der Nutzer zu registrieren.
  • Unser FIDO2 Key Provisioner macht daraus einen Fünf-Schritte-Ablauf inkl. zufälliger PIN mit Komplexitätsregeln und CSV/PDF-Protokoll.
  • Praxis-Stolpersteine: USB-Adminrechte, „Restricted NFC" ab Firmware 5.7, korrekte Graph-Berechtigungen.

Passwordless-Rollout ohne Reibungsverluste

Ob 20 oder 2.000 Schlüssel: Wir planen die App-Registration, richten das Provisioning ein und übergeben Ihren Nutzern fertig registrierte FIDO2-Schlüssel – dokumentiert und DSGVO-konform. Sprechen Sie mit uns über Ihren FIDO2-Rollout.

Beratung anfragen
FAQ

Häufige Fragen

Nein. Der Key wird im Auftrag registriert und mit gesetzter PIN übergeben. Optional lässt sich „PIN beim ersten Login ändern" erzwingen, dann setzt der Nutzer die PIN beim ersten Einsatz neu.
Der Provisioning-Ablauf über die Entra-API ist FIDO2-Standard. Unser FIDO2 Key Provisioner ist auf YubiKeys optimiert (Hersteller-Erkennung, Seriennummer, ykman); eine herstellerneutrale Variante ist auf Anfrage möglich.
Ja – die Registrierung läuft gegen Microsoft Entra ID (Graph). Voraussetzung ist eine App-Registration mit den passenden Anwendungsberechtigungen und Administratorzustimmung.
Die PINs stehen im Ergebnis-Protokoll (CSV/PDF) zur einmaligen Ausgabe an die Nutzer und sollten danach sicher behandelt bzw. gelöscht werden. Die App läuft rein lokal auf dem Provisioning-PC.
Beides. Wir richten den Prozess ein und schulen Ihr Team – oder übernehmen den kompletten Rollout als Managed Service.