In vielen Entra-Tenants gilt SMS als zweiter Faktor noch als Selbstverständlichkeit. Oft ist aber nicht sauber dokumentiert, welche Konten daran hängen. Vor Februar 2027 wird genau das zum Betriebsrisiko: Microsoft beendet in Entra ID die selbst bereitgestellte Telekom-Zustellung für SMS und Sprachanrufe. Wer nur diesen Weg nutzen kann, braucht einen erprobten Passkey-Pfad.
Das Wichtigste in 30 Sekunden
- Ab 1. September 2026 startet Microsoft in Entra ID eine Passkey-Standarderfahrung für SMS- oder Voice-aktivierte Nutzende.
- Dieser Termin bringt Auto-Enable und einen Registrierungs-Nudge, aber keine sofortige Sperre und keinen garantierten Gleichlauf aller Tenants.
- Zum 1. Februar 2027 beendet Microsoft die eigene Telekom-Zustellung für SMS und Voice in Entra ID.
- Hat ein Konto dann nur noch SMS oder Voice als MFA-Methode, verlangt Entra beim Anmelden die Passkey-Registrierung.
- Für IT-Teams ergibt sich eine klare Reihenfolge: Bestand erfassen, Richtlinien prüfen, Pilot testen, Support vorbereiten und den Restbestand abnehmen.

Zwei Termine mit unterschiedlichen Folgen
Der Plan ist leicht misszuverstehen, weil Microsoft zwei Stufen verknüpft. Ab dem 1. September 2026 aktiviert Entra ID Passkeys in der Authentication Methods Policy für Nutzende, die bisher für SMS oder Voice vorgesehen sind. Bei einer späteren MFA-Anmeldung kann Entra zur Registrierung auffordern. Dieser Nudge soll die Umstellung anstoßen; er schaltet die bisherige Methode nicht ab.
Der verbindliche Einschnitt folgt am 1. Februar 2027. Ab dann beendet Microsoft die von Microsoft bereitgestellte Telekom-Zustellung für SMS und Voice in Entra ID. Für Konten, denen ausschließlich SMS oder Voice als MFA-Methode bleibt, beschreibt Microsoft beim Sign-in ein blockierendes Verhalten: Zuerst muss ein Passkey registriert werden. Einen Opt-out führt die Dokumentation dafür nicht auf.
| Zeitpunkt | Was in Entra ID passiert | Was Teams daraus ableiten sollten |
|---|---|---|
| Jetzt | SMS-/Voice-Nutzung und Richtlinienstand sind häufig nur unvollständig sichtbar. | Betroffene Gruppen, Methoden und Verantwortlichkeiten erfassen. |
| Ab 1. September 2026 | Passkeys werden für SMS-/Voice-aktivierte Nutzende auto-enabled; bei MFA kann ein Registrierungs-Nudge erscheinen. | Pilot, Kommunikation und Support nicht auf einen einzigen Stichtag zuspitzen. |
| Ab 1. Februar 2027 | Microsoft-provided telecom delivery für SMS und Voice endet in Entra ID. | Nachweisen, dass kein Konto allein auf diesen Methoden angewiesen ist. |
Was Microsoft damit nicht abschaltet
Die Änderung betrifft Microsoft Entra ID und Microsofts eigene Telekom-Zustellung. Sie sagt nichts über private Microsoft-Konten, jede SMS-Anmeldung im Unternehmen oder andere externe Dienste aus. Auch der September-Start bedeutet nicht, dass jede Organisation am selben Tag denselben Dialog bekommt. Microsoft nennt einen Rolloutbeginn, keinen gemeinsamen Termin für alle Tenants.
Diese Trennung verhindert zwei typische Fehler: eine hektische Komplettumstellung ohne Test und das Verschieben der Arbeit bis kurz vor Februar 2027. Passkeys sind hier kein Heilsversprechen. Die Aufgabe besteht darin, einen bisher stillen Abhängigkeitsweg im Identitätsbetrieb sichtbar zu machen und geordnet zu ersetzen.

Die Inventur kommt zuerst
Bevor Teams Schulungen planen, müssen sie den Bestand kennen. Microsoft empfiehlt, SMS- und Voice-Nutzende zu identifizieren; für den beschriebenen Inventurweg nennt die Dokumentation Global Reader, Authentication Policy Administrator oder Security Reader. Diese Rollen helfen bei der Auswertung, sind aber keine allgemeine Berechtigungszusage für jede spätere Änderung im Tenant.
Praktisch hilft eine Liste mit vier Spalten: betroffene Gruppe, verfügbare MFA-Methoden, verantwortliches Team und geplanter Alternativpfad. So werden Sonderfälle sichtbar, etwa externe Mitarbeitende, geteilte Funktionskonten, Schulungsgeräte oder kleine Außenstellen. Solche Gruppen sind nicht automatisch kritisch. Kritisch wird es, wenn niemand ihre Anmeldung vor dem Stichtag einmal unter realen Bedingungen getestet hat.
Welcher Passkey-Pfad passt wohin?
Passkey ist kein einzelnes Produkt. Microsoft unterscheidet synchronisierte Passkeys, gerätegebundene Varianten und FIDO2-Hardware-Schlüssel. Die Entscheidung betrifft deshalb nicht nur Komfort, sondern auch die Geräte, Richtlinien und Anmeldeorte, die im jeweiligen Tenant tatsächlich vorkommen.
| Pfad | Typischer Nutzen | Vor der Freigabe prüfen |
|---|---|---|
| Synchronisierter Passkey | Kann über einen Credential Manager wie iCloud Keychain oder Google Password Manager auf Geräte einer Person synchronisiert werden. | Richtlinie, Zielgruppe und den dokumentierten Registrierungsweg in Entra. |
| Authenticator- bzw. gerätegebundener Passkey | Orientiert sich stärker am vorgesehenen Gerätepfad. | Aktivierte Passkey-(FIDO2)-Richtlinie; für den beschriebenen Authenticator-Pfad nennt Microsoft Android 14+ oder iOS 17+. |
| FIDO2-Hardware-Schlüssel | Kann für Gruppen mit einem klar geregelten physischen Schlüsselprozess passen. | Richtlinien, Ausgabe, Ersatzprozess und die reale Anmeldung im eigenen Tenant. |
Bluetooth, Internetzugang und freigegebene Plattform-Endpunkte erwähnt Microsoft für die Cross-Device-Registrierung und -Anmeldung. Daraus folgt keine Mindestanforderung für jeden Passkey-Pfad. Ebenso wenig ist die Migration älterer MFA- und SSPR-Einstellungen in die Authentication Methods Policy die Passkey-Migration selbst: Microsoft beschreibt einen einheitlicheren Verwaltungsweg, nicht die Übernahme individueller Nutzer-Einstellungen.
Pilot und Support statt Big Bang
Ein Pilot klärt Fragen, die keine Richtlinienseite beantworten kann. Eine kleine, bewusst gemischte Gruppe sollte die vorgesehene Methode registrieren und anschließend eine reale Anmeldung durchführen. Dabei lassen sich Kommunikation, Helpdesk-Ablauf und die Nutzerperspektive gemeinsam prüfen. Wer den Pilot nur als technischen Schalter behandelt, übersieht oft fehlende Geräte, falsch zugeordnete Gruppen oder unverständliche Registrierungsinformationen.
Priorisierte Migrationscheckliste
- Inventur: SMS-/Voice-Nutzende und ihre verfügbaren Methoden erfassen.
- Richtlinie: Passkey-(FIDO2)-Policy und Zielgruppen gegen den geplanten Pfad prüfen.
- Pilot: Mit einer kleinen Gruppe registrieren und anmelden.
- Kommunikation: Zeitpunkt, erwarteten Nudge und Supportweg verständlich erklären.
- Recovery-Test: Mindestens zwei eigene Notfall- oder Wiederherstellungswege ausprobieren.
- Abnahme: Vor Februar dokumentieren, dass niemand ausschließlich auf Microsofts SMS oder Voice angewiesen ist.
Wiederherstellung als Betriebstest
Die erste erfolgreiche Registrierung ist selten der schwierige Moment. Schwieriger wird es, wenn ein Gerät ersetzt wird, ein Schlüssel fehlt oder eine Person kurzfristig keinen Zugriff auf den üblichen Weg hat. Organisationen sollten deshalb mindestens zwei Wiederherstellungs- oder Notfallwege im eigenen Tenant testen. Welche Wege geeignet sind, hängt von den eingerichteten Richtlinien und Abläufen ab; die Quellen geben keine allgemeine Recovery-Garantie her.
Für Schulen, Vereine, Kommunen und kleinere Unternehmen ist das besonders relevant, weil Identitätsbetrieb dort oft nebenbei organisiert wird. Ein dokumentierter Test mit klarer Zuständigkeit ist verlässlicher als eine Annahme über das Verhalten eines einzelnen Geräts. Das gilt auch dann, wenn die neue Methode im Alltag zunächst problemlos funktioniert.

Wenn SMS oder Voice weiter gebraucht wird
Microsoft verweist für Organisationen, die SMS oder Voice weiter nutzen müssen, auf kundenverwaltete Telekom-Provider im Security Store. Das ist eine eigene Prüfspur, kein fertiger Ersatzplan. Aus den vorliegenden Quellen lassen sich Verfügbarkeit, Kosten, Verträge, Regionen und Compliance nicht pauschal ableiten. Wer diesen Weg erwägt, sollte ihn daher als separate Anbieter- und Betriebsentscheidung behandeln.
Auch Fragen zu Datenschutz, Beschaffung, Betriebsrat oder branchenspezifischen Regeln brauchen eine eigene Bewertung. Der Microsoft-Termin beantwortet sie nicht. Er macht nur deutlich, dass die Abhängigkeit von Microsoft-provided telecom delivery nicht unverändert fortgeführt werden kann.
Die Abnahme vor Februar 2027
Vor dem Stichtag braucht es einen überprüfbaren Abschluss: Welche Gruppen wurden umgestellt? Welche Methoden stehen ihnen zur Verfügung? Welche Pilotfälle sind dokumentiert? Und gibt es noch Konten, die ausschließlich auf SMS oder Voice gesetzt sind? Diese Fragen gehören in eine kurze Abnahme, nicht nur in eine Projektfolie.
Microsofts Umstellung ist damit vor allem ein Identitäts- und Betriebsprojekt. Der Wechsel zu Passkeys ist wichtig, doch er erledigt die organisatorische Arbeit nicht von allein. Wer Bestand, Richtlinien, Pilot und Wiederherstellung früh zusammenbringt, nimmt deutlich Druck aus dem Februar 2027.
Quellen und weiterführende Informationen
- Microsoft Learn: Passkeys by default and retirement of Microsoft-provided SMS and voice authentication
- Microsoft Security Blog: Passkeys are the default authentication method in Entra ID
- Microsoft Learn: Register a synced passkey (FIDO2)
- Microsoft Learn: Enable passkeys in Authenticator
- Microsoft Learn: Migrate MFA and SSPR policy settings to the Authentication methods policy
Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde redaktionell geprüft. Stand: 2026-07-17