ZeroTrustStories -

Get rid of passwords with synced passkeys in Entra-ID
As the time of writing, synced passkeys are still in public preview (December 2025).
Table Of Contents

Introduction
Prerequisites
Setup synced passkeys
Setup passkey as MFA
Introduction

I recently switched to a new iPhone and was REALLY annoyed, that my Authenticator App backup went south… Time to try synced passkeys. I use Bitwarden as my password manager but any other should be good also if it’s supporting passkeys 😊

Prerequisites

Since I only have a Microsoft 365 Business Standard subscription on my private tenant, Entra ID Basic is sufficient (at least for now in the public preview). The free version of Bitwarden should also be enough even though I have a premium subscription, so take that with a grain of salt 😉

To get this to work, you need to install the browser add-in for Bitwarden.

Setup synced passkeys

We find the settings in the Authentication methods in Entra ID (Authentication methods – Microsoft Entra admin center)

We need to go to the FIDO2 settings

At the top, we need to Opt-In to the public preview settings. Currently it’s not possible to use passkeys in the password reset flow (SSPR) as an authentication method.

Since the configuration is changing (and we can have now up to 3 passkey profiles), we need to edit the default passkey profile before we can go on.

We now need to add the synced passkeys to the profile

Attention: If you include the synced target type into the default profile, you cannot enforce attestation anymore! So for the default profile, we should just add device-bound and enable attestation. For users (test-users 😉) who should be able to use synced passkeys, we should create a separate profile and assign it accordingly!

To create the separate profile, go to the FIDO2 authentication method and create a new profile

Give it a telling name and set the target to synced. Also add the AAGUID of the passwordmanager of your choice, to control in what passwordmanagers the users will be able to save the passkeys.

If you are using AAGUID targeting, make sure you set the right behavior. It’s set to block by default and drove me crazy creating this guide. Well, at least I can say, the block feature works 😂

The AAGUID for Bitwarden is

d548826e-79b4-db40-a3d8-11116f7e8349

If you need to obtain other AAGUIDs use this list:

Passkeys Authenticator AAGUID Explorer

Go back to the passkey settings and assign the passkey profile accordingly

Setup passkey as MFA

Now active and unlock the Bitwarden (or any other passwordmanager) browser extension and go to https://aka.ms/mfasetup

Click on setup authentication method and choose “Passkey”

The browser extension should open and you can choose your saved credentials or create new ones (these are the credentials where the passkey will be saved)

After choosing the credentials, you can name your authentication method accordingly

Done!!! You should now be able to see it as an authentication method

Now you should be able to login with a (synced) passkey.
December 28, 2025
Remote Device Management: Herausforderungen & Lösungen mit Intune
Remote Device Management spielt in Zeiten hybrider und verteilter Arbeitsmodelle eine immer wichtigere Rolle. Mit Microsoft Intune steht Unternehmen eine leistungsstarke Lösung zur Verfügung, um mobile Endgeräte und Desktops zentral zu verwalten und abzusichern. Doch gerade die Implementierung und der Betrieb von Intune stellen IT-Teams vor diverse Herausforderungen – von der Geräte-Kompatibilität über Datenschutzanforderungen bis hin zur Benutzerakzeptanz. In diesem Beitrag zeigen wir, wie Sie mit bewährten Lösungen und Best Practices diese Stolpersteine meistern.

Geräte-Kompatibilität und Plattform-Vielfalt 🔄

Unternehmen arbeiten heute mit einer heterogenen Mischung aus Windows, macOS, iOS und Android-Geräten. Unterschiedliche OS-Versionen, Update-Zyklen und Hardwareanforderungen erschweren den Überblick. Falsch konfigurierte Richtlinien können dazu führen, dass Geräte nicht oder unvollständig im Intune-Portal auftauchen – ein Sicherheitsrisiko!

Lösungsansätze:
- 🖥️ Automatisierte Geräte-Inventarisierung
- 📊 Standardisierte OS-Versionen
- 🧪 Getestete Rollouts in Testumgebung
Datenschutz und Compliance 🔒

Strenge Datenschutz- und Compliance-Vorgaben sind im RDM essenziell, besonders in regulierten Branchen. Fehlkonfigurationen bedeuten Bußgelder und Vertrauensverlust.

Lösungsansätze:
- 🔐 Configuration Profiles & App Protection Policies
- 🛡️ Entra ID Conditional Access (ehemals Azure AD Conditional Access)
- 📈 Audit-Logs aktivieren & Monitoring
Benutzerakzeptanz und Schulung 👩‍💻

Die beste Technik nutzt nichts, wenn die Endanwender nicht mitziehen. Skepsis entsteht leicht, wenn der Nutzen unklar ist oder Unsicherheit bei der Bedienung herrscht.

Lösungsansätze:
- 🎓 Interaktive Schulungsprogramme
- 🌟 Champions-Programme im Team
- 🔄 Regelmäßige Updates & Newsletter
Skalierbarkeit & Performance ⚙️

Mit steigender Gerätezahl wachsen Anforderungen an Performance und Verfügbarkeit. Verzögerungen bei Updates können den Workflow stören und Support-Anfragen nach sich ziehen.

Lösungsansätze:
- 🚀 Dynamische Gerätegruppen
- 📊 Service-Limits im Blick
- 🌐 Content-Delivery & Caching
Fehlerbehebung & Support 🛠️

Troubleshooting gehört zum Alltag: Enrollment-Fehler, Compliance-Abweichungen oder App-Deploy-Probleme. Ein strukturierter Support-Prozess ist unverzichtbar.

Lösungsansätze:
- 🕵️‍♂️ Troubleshoot-Blade im Admin Center
- 📂 Zentrale Log-Sammlung via SIEM
- 🤖 Automatisierte Runbooks (PowerShell & Graph-API)
- 📚 Support-Portal & Knowledge Base
Fazit & Best Practices ✅

Remote Device Management mit Intune bietet eine starke Grundlage für zentrale Geräteverwaltung und IT-Sicherheit. Mit konsequenter Planung, gezielter Automatisierung, proaktiver Schulung und kontinuierlichem Monitoring minimieren Sie Ausfallzeiten und fördern die digitale Zusammenarbeit.

Kerntipps auf einen Blick:
1. 📋 Klare Geräte- & OS-Policies definieren
2. ⚙️ Inventarisierung & Compliance automatisieren
3. 👥 Mitarbeitereinbindung durch Schulung & Champions
4. 📈 Performance-Monitoring & Service-Limits beachten
5. 🛠️ Strukturierten Support-Prozess etablieren
May 26, 2025
Windows-Geräte manuell in Autopilot registrieren
Warum Windows-Geräte manuell in Autopilot registrieren?

Du möchtest Windows-Geräte manuell in Autopilot registrieren? Kein Problem! Auch ohne OEM-Anbindung kannst du Geräte ganz einfach über PowerShell und Intune nachträglich einbinden.

Windows Autopilot ist der Gamechanger für alle, die keine Lust mehr auf langweilige Image-Bastelei und ewiges Setup-Geklicke haben. Plug & play – so zumindest die Theorie. In der Praxis fehlt oft der entscheidende Schritt: Das Gerät muss erstmal in Intune landen, damit Autopilot überhaupt loslegen kann.

Und was, wenn das Gerät nicht direkt vom Hersteller kommt oder schon länger in Betrieb ist? Kein Problem. Denn auch ohne OEM-Integration kannst du Geräte manuell in Autopilot aufnehmen – ganz entspannt über ein paar gezielte PowerShell-Handgriffe und ein bisschen Upload-Magie.

Was ist Windows Autopilot überhaupt?

Windows Autopilot ist Microsofts Antwort auf moderne Gerätebereitstellung – ganz ohne klassische IT-Ballast wie Imaging, PXE-Boot oder manuelles Setup. Stattdessen werden neue (oder zurückgesetzte) Windows-Geräte direkt übers Internet mit der Cloud verbunden, automatisch konfiguriert und dem richtigen Benutzer zugewiesen.

Das heißt konkret:
Du gibst dem Gerät nur Strom und WLAN – den Rest erledigen Entra ID und Intune. Autopilot sorgt dafür, dass Geräte:
- automatisch einem Benutzer zugewiesen werden
- Sicherheitsrichtlinien und Apps erhalten
- komplett hands-off und standardisiert bereitgestellt werden
Wann lohnt sich die manuelle Aufnahme in Autopilot?

Nicht jedes Gerät landet wie von Zauberhand in Intune – und genau dafür ist die manuelle Registrierung da. Hier sind typische Situationen aus dem Admin-Alltag, in denen du zur manuellen Methode greifen solltest:
- Direktimportierte Geräte aus dem Lager
  Du hast Geräte auf Vorrat bestellt, aber der OEM hat sie nicht vorregistriert? Kein Problem – du kannst sie selbst hinzufügen.
- Bereits genutzte Geräte (Re-Enrollment)
  Ein Mitarbeiter hat das Notebook zwei Jahre lang genutzt, jetzt soll es neu aufgesetzt und sauber mit Autopilot eingebunden werden – auch das geht.
- Testgeräte für Piloten oder Proof of Concepts
  Du willst Autopilot erstmal in kleiner Runde testen, bevor du es groß ausrollst? Perfekter Anwendungsfall für die manuelle Methode.
- Sonderbeschaffungen oder BYOD-Szenarien
  Ein Gerät wurde außerhalb der Standardprozesse beschafft – auch dafür ist die manuelle Aufnahme ideal.
So registrierst du Windows-Geräte manuell in Autopilot

Du hast ein Gerät, das Autopilot noch nicht kennt – aber du willst es trotzdem sauber in Intune integrieren? Kein Problem. Mit dem richtigen PowerShell-Tool kannst du dir alle nötigen Geräteinformationen (Stichwort: Hardware-Hash) ganz easy auslesen und dann in Intune hochladen.

Keine Sorge: Du brauchst dafür kein Entwicklerwissen und auch keine komplexe Infrastruktur – nur ein bisschen PowerShell, ein Internetzugang und den passenden Befehl zur richtigen Zeit.

Direkter Upload in den Autopilot-Service

Sobald das Gerät nach der Installation die Out-of-the-Box Experience (OOBE) erreicht hat, drücken wir Shift+F10 gleichzeitig, es öffnet sich eine Kommandozeile.

Idealerweise sollte man zur PowerShell wechseln 💡

Damit das Script aus ausgeführt werden kann, muss die ExecutionPolicy angepasst werden.

Mit dem Befehl “Get-WindowsAutoPilotInfo” wird das Script aus der PowerShell-Gallery heruntergeladen, lokal abgelegt und in die Umgebungsvariablen hinzugefügt. Im nächsten Schritt kann das Script ausgeführt werden.

💡Damit der Hash hinzugefügt werden kann, wird ein Account mit der Intune-Administrator Rolle oder einer vergleichbaren Custom-RBAC Rolle benötigt
- Online: Der Hardwarehash wird nicht lokal abgelegt, sondern direkt in den Autopilot-Service hochgeladen und mit dem Tenant synchronisiert
- Assign: Das jeweilige Deploymentprofil wird dem Gerät direkt zugewiesen
- Reboot: Das Gerät startet nach Zuweisung des Deploymentproflis neu
Die Befehle als Codeblock:
```
powershell
Set-ExecutionPolicy Bypass
Install-Script Get-WindowsAutoPilotInfo
Get-WindowsAutoPilotInfo.ps1 -Online -Assign -Reboot
```
Weitere Infos zum Script und weitere Parameter findet ihr in der offiziellen Dokumentation: Registrieren Sie Geräte manuell mit Windows Autopilot | Microsoft Learn

Nach der ersten Anmeldung werden einmalig Berechtigungen für die Graph PowerShell App-Registration angefragt. Diese werden benötigt, um den Gerätehash hinzuzufügen.

Nun wird der Hash hochgeladen. Sobald dies erfolgt ist und das Profil zugewiesen, startet das Gerät neu und bootet wieder in die OOBE.

Bevor es dann weitergeht, wird nach Updates gesucht und auch installiert, sodass die Anwender mit einem top-aktuellen Gerät starten können.

Nun kann der entsprechende Anwender seine Credentials angeben und das Gerät enrolled sich in Intune unter dem entsprechenden User.

Was tun mit Geräten, die schon in Intune sind – aber noch nicht in Autopilot?

Typischer Fall: Die Geräte wurden manuell (oder via hybrid-join) in Intune ongeboardet, jedoch nie bei Autopilot registriert.

Im Deployment-Profile gibt es die Option, alle Zielgeräte in Autopilot-Geräte zu konvertieren.

Das Profil wird allen (zukünftigen) Autopilot-Geräten zugewiesen. Geräte, die Ihren Hash noch nicht an Autopilot reported haben, machen dies nun automatisch. Bei der nächsten Zurücksetzung, wird das Gerät mit dem Deployment-Profile als Autopilot-Gerät installiert.

🚀Bonus: Diese Einstellung hat keinerlei Auswirkung auf bestehende Geräte und kann ohne Probleme direkt auf alle Geräte angewandt werden.
May 12, 2025