Die Termine, die Microsoft bereits gesetzt hat

Microsoft hat die Änderung am 13. Juli in einem Beitrag des Security-Blogs veröffentlicht, der sich wie ein gewöhnliches Identitäts-Update liest und vier Termine enthält. Ab dem 1. September 2026 wird jeder Entra-ID-Nutzer, der heute für SMS oder Sprachanruf freigeschaltet ist, automatisch für Passkeys aktiviert und bei der nächsten Mehrfaktor-Abfrage zur Registrierung aufgefordert. Am 18. September will Microsoft die unterstützten Telekommunikationsanbieter samt Preisen und Vertragsbedingungen im Microsoft Security Store benennen. Ab dem 30. Oktober können Administratoren einen dieser Anbieter auswählen und einrichten.

Das Datum, das die Diskussion beendet, ist der 1. Februar 2027. An diesem Tag stellt Microsoft die Zustellung von SMS und Sprachanrufen als native Funktion von Entra ID ein. Mandanten, die bis dahin keinen eigenen Telekommunikationsanbieter unter Vertrag haben, können einen Code per SMS oder Anruf gar nicht mehr als zweiten Faktor verwenden, und wer sich bisher darauf verlassen hat, muss vor der Anmeldung einen Passkey registrieren. Microsoft schreibt ausdrücklich: nach diesem Datum gibt es kein Opt-out mehr.

Die Frist steht vor dem Preis fest

Liest man die Termine der Reihe nach, ist die Reihenfolge die eigentliche Nachricht. Das Ende ist auf den 1. Februar 2027 fixiert. Der Preis des einzigen unterstützten Weges, SMS und Sprachanruf zu behalten, wird erst am 18. September 2026 veröffentlicht und lässt sich erst ab dem 30. Oktober einrichten. Ein Unternehmen muss also entscheiden, wie es Zehntausende Anmeldevorgänge umstellt, bevor es die Alternative zur Umstellung überhaupt beziffern kann.

Das ist keine Sicherheitsentscheidung im Kostenmantel. Es ist beides zugleich. Eine Funktion, die in der Entra-Lizenz enthalten war, wird für alle, die sie weiter brauchen, zu einem Vertrag mit einem fremden Netzbetreiber über den Marktplatz von Microsoft. Die angreifbare Methode verschwindet, was fachlich vertretbar ist. Der unterstützte Weg, sie zu behalten, wird zur Beschaffung mit Lieferant, Vertrag und einem Preis, den außerhalb von Microsoft niemand nennen kann.

Betroffen sind die Konten ohne Telefon

Passkeys setzen voraus, dass eine Person ein eigenes Gerät hat und sich darauf per Biometrie oder PIN ausweisen kann. Bei Büropersonal ist das meist der Fall. Die Konten, die am SMS-Code hingen, sind häufig genau die anderen: Lager und Produktion an gemeinsam genutzten Terminals, Schichtkräfte ohne Diensthandy, Saison- und Werkvertragskräfte, Servicetechniker, deren privates Telefon nie in einer Verwaltung registriert war. Die SMS war der kleinste gemeinsame Nenner, gerade weil sie weder Registrierung noch verwaltetes Gerät verlangte.

Ersatz für diese Nutzer heißt, etwas auszugeben: ein verwaltetes Telefon oder einen FIDO2-Sicherheitsschlüssel pro Kopf. Das ist eine Investitionsposition und eine Logistikaufgabe, keine Einstellung. In Deutschland kommt die Mitbestimmung hinzu, denn Beschäftigte zu bitten, einen Passkey auf dem privaten Telefon einzurichten, ist genau die Maßnahme, bei der ein Betriebsrat beteiligt werden will. Das BSI empfiehlt seit Jahren phishing-resistente Verfahren, die Richtung überrascht also niemanden. Die Rechnung für die letzte Meile schon.

Was vor dem 1. August geklärt sein muss

Die nützliche Frist ist nicht der Februar. Microsofts eigene Dokumentation datiert das befristete Opt-out für das Fenster von September bis Februar und die dafür nötige Schnittstelle auf den 1. August 2026. Das sind rund zwei Wochen. Bis dahin braucht ein Unternehmen eine Antwort auf eine einzige Frage: Lassen wir den Passkey-Rollout am 1. September laufen, oder halten wir ihn an, solange unklar ist, wer sich nicht registrieren kann?

Dafür braucht es eine Zahl, keine Meinung. Ziehen Sie die Liste der Konten, deren einzige hinterlegte Methode SMS oder Sprachanruf ist, teilen Sie sie in Personen mit und ohne registrierbares Gerät, und bepreisen Sie die zweite Gruppe. Ist die Zahl klein, nehmen Sie den Rollout mit und sind früh fertig. Ist sie es nicht, nutzen Sie im August das Opt-out, kaufen im Herbst Schlüssel oder Telefone und behandeln den 18. September als den Tag, an dem Sie erfahren, was die Rückfallebene gekostet hätte.