Passwörter sind nach wie vor das häufigste Einfallstor in Unternehmensnetze. Die stärkste Antwort darauf sind phishing-resistente FIDO2-Sicherheitsschlüssel wie der YubiKey: ein physisches Stück Hardware, das sich nicht abphishen, nicht per SIM-Swap umgehen und nicht aus der Ferne stehlen lässt.
Die Technik ist ausgereift. Woran ein Rollout in der Praxis scheitert, ist etwas anderes.
Das eigentliche Problem: die Selbstregistrierung
Microsoft Entra sieht vor, dass jeder Nutzer seinen Schlüssel selbst über aka.ms/mysecurityinfo registriert. In der Theorie elegant, im Alltag ein Bruch:
Nutzer sind mit dem Ablauf überfordert (Browser-Dialog, PIN setzen, Touch bestätigen).
Der Helpdesk trägt die Last aus hunderten Einzelfällen.
Es gibt keinen Massen-Weg – 200 Keys für 200 Mitarbeiter heißt 200-mal Self-Service.
Wer den Key ausgibt, hat keine Kontrolle über PIN-Qualität und keine saubere Dokumentation.
Die Lösung: im Auftrag registrieren
Microsoft Entra bietet die FIDO2 Provisioning API an: Damit kann die IT einen Sicherheitsschlüssel im Auftrag eines Nutzers registrieren – zentral, am kontrollierten Arbeitsplatz, in einem durchgehenden Ablauf. Der Nutzer bekommt am Ende einen fertig eingerichteten Key plus PIN in die Hand, ohne selbst einen einzigen Dialog gesehen zu haben.
Die grundlegende Idee und den Weg über die Provisioning-API hat Jan Bakker in seinem Artikel „Register YubiKeys on behalf of your users with Microsoft Entra ID FIDO2 provisioning APIs" öffentlich gemacht. Unser Werkzeug setzt dieses Konzept in einen praxistauglichen, geführten Workflow um.
Wie das technisch abläuft
Die Registrierung im Auftrag ist ein dreistufiger FIDO2-Ablauf – lokal auf dem Provisioning-PC, gegen die Microsoft-Graph-beta-Endpunkte:
Challenge holen: Der creationOptions-Aufruf liefert die WebAuthn-Optionen inklusive Challenge.
Credential erzeugen: Der physische YubiKey erzeugt lokal das Schlüsselpaar und das attestationObject – der private Schlüssel verlässt die Hardware nie.
Zurückmelden: Ein POST auf die fido2Methods des Nutzers registriert den Key mit attestationObject und clientDataJSON in Entra.
Benötigte Graph-Anwendungsberechtigungen: AuthenticationMethod.ReadWrite.All, GroupMember.Read.All und User.Read.All (bzw. minimal User.ReadBasic.All) – mit Administratorzustimmung.
Unser FIDO2 Key Provisioner
Damit dieser Ablauf nicht in PowerShell-Fragmenten endet, haben wir ihn in unseren FIDO2 Key Provisioner gegossen – eine lokale Web-App, die nur auf dem Provisioning-PC läuft und Schritt für Schritt durch den Prozess führt: Gruppe, Benutzer, Einstellungen, Provisioning, Ergebnisse.
Massenbereitstellung: FIDO2-Schlüssel im Bulk ausrollen
Der eigentliche Gewinn liegt in der Masse. Statt jeden Nutzer einzeln durch die Selbstregistrierung zu lotsen, wählen Sie eine ganze Entra-Gruppe, markieren beliebig viele Mitglieder und stellen deren FIDO2-Schlüssel in einem einzigen Durchlauf bereit. Ob 20 oder 2.000 Keys – die Massenbereitstellung folgt demselben Fünf-Schritte-Ablauf, mit einheitlichen PIN-Regeln und lückenlosem Protokoll. Genau diese Bulk-Fähigkeit fehlt der Self-Service-Registrierung von Entra.
Kontrolle über PIN und Schlüssel
Ein im Auftrag registrierter Key ist nur so gut wie seine PIN. Der Assistent erzeugt auf Wunsch einen zufälligen PIN und erzwingt dabei Komplexitätsregeln – keine trivialen Folgen, keine Wiederholungen, keine Palindrome. Mindestlänge, CTAP2.1-Optionen und „PIN beim ersten Login ändern" sind einstellbar; vorhandene Keys eines Nutzers lassen sich vor der Neuregistrierung gezielt entfernen.
Praxis-Stolpersteine, die im Datenblatt fehlen
USB braucht Administratorrechte: Windows gibt FIDO2-USB-Geräte nur an elevierte Prozesse frei. Ohne Adminrechte wird ein per USB gesteckter Key nicht erkannt (NFC über einen Smartcard-Reader dagegen schon).
„Restricted NFC" ab Firmware 5.7: Fabrikneue YubiKeys werden mit gesperrtem NFC ausgeliefert. Die Sperre lässt sich nur aufheben, indem der Key einmal rund 3 Sekunden an USB-Strom gesteckt wird. Danach funktioniert NFC dauerhaft.
Client Secret bleibt lokal: Die App-Registration-Zugangsdaten gehören nicht ins Git, sondern nur auf den Provisioning-PC.
Alltagstauglich: als Dienst, mit Protokoll
Weil der UAC-Prompt bei jedem Start im Alltag stört, kann der FIDO2 Key Provisioner als Windows-Dienst (LocalSystem) laufen: Der Dienst übernimmt den privilegierten Gerätezugriff, eine unprivilegierte Verknüpfung startet ihn bei Bedarf – kein UAC im Tagesbetrieb. Jede Registrierung landet zudem in einem CSV-/PDF-Protokoll (Nutzer, Key-Seriennummer, PIN, Zeitstempel), das die Ausgabe der Keys sauber dokumentiert.
FIDO2 Key Provisioner herunterladen
Laden Sie das Werkzeug herunter und richten Sie das Provisioning in Ihrer eigenen Umgebung ein.
Das Wichtigste in Kürze
- FIDO2-Schlüssel sind die stärkste, phishing-resistente MFA – der Engpass beim Rollout ist die Selbstregistrierung, nicht die Technik.
- Die Microsoft Entra FIDO2 Provisioning API erlaubt es der IT, Keys im Auftrag der Nutzer zu registrieren.
- Unser FIDO2 Key Provisioner macht daraus einen Fünf-Schritte-Ablauf inkl. zufälliger PIN mit Komplexitätsregeln und CSV/PDF-Protokoll.
- Praxis-Stolpersteine: USB-Adminrechte, „Restricted NFC" ab Firmware 5.7, korrekte Graph-Berechtigungen.
Passwordless-Rollout ohne Reibungsverluste
Ob 20 oder 2.000 Schlüssel: Wir planen die App-Registration, richten das Provisioning ein und übergeben Ihren Nutzern fertig registrierte FIDO2-Schlüssel – dokumentiert und DSGVO-konform. Sprechen Sie mit uns über Ihren FIDO2-Rollout.
Beratung anfragen