Microsoft Entra Verified ID: Dezentralisierte Identitätsnachweise für B2B-Partner-Verifizierung
Bei jedem Partnermeeting, bei dem ein Mitarbeiter teilnimmt, bei jeder Vergabe eines temporären Systemzugangs an einen Auftragnehmer und bei jeder HR-Bestätigung für eine Hintergrundprüfung trifft jemand in Ihrem Unternehmen eine Vertrauensentscheidung — ohne kryptografischen Nachweis. Microsoft Entra Verified ID ersetzt diese manuelle Vertrauenslücke durch manipulationssichere, datenschutzwahrende digitale Nachweise auf Basis des W3C-Verifiable-Credentials-Standards — und ist für jeden Microsoft 365 Business Premium-Mandanten ohne zusätzliche Lizenzkosten verfügbar.
Was Verified ID tatsächlich ist
Entra Verified ID ist Microsofts Implementierung dezentralisierter Identität (DID). Statt einer zentralen Datenbank, die bestätigt “diese Person arbeitet hier”, wird der Nachweis als signiertes JSON-LD-Dokument in die Microsoft Authenticator-Wallet des Nutzers ausgestellt. Wenn eine vertrauende Partei (ein Partnerportal, eine Jobborse, ein Compliance-Prüfer) einen Nachweis anfordert, präsentiert der Nutzer den Credential aus seiner Wallet. Die vertrauende Partei prüft die kryptografische Signatur des Ausstellers, ohne jemals eine Rückfrage an Ihren Mandanten zu stellen — das eliminiert das Datenschutzrisiko zentralisierter Verifikationsabfragen.
Der zugrundeliegende Identifikator ist ein DID (Dezentralisierter Identifikator), ein W3C-Standard-URI, der zu einem DID-Dokument mit öffentlichen Schlüsseln aufgelöst wird. Microsoft hostet die did:web-Methode: Ihr Aussteller-DID wird zu einem JSON-Dokument unter einer bekannten URL Ihrer verifizierten Domäne aufgelöst — keine Blockchain erforderlich, keine Gas-Gebühren, keine exotische Infrastruktur.
Die drei Abläufe, die Sie verstehen müssen
1. Credential-Ausstellung
Ihr Mandant agiert als Aussteller. Sie definieren ein Credential Manifest — eine JSON-Konfiguration, die festlegt, welche Attribute (Berufsbezeichnung, Abteilung, Mitarbeiter-ID, Berechtigungsstufe) aus Entra ID in den Credential übernommen werden. Wenn ein Mitarbeiter einen Deep-Link öffnet oder einen QR-Code scannt, ruft Authenticator die Request Service API auf, Ihr Mandant validiert die Sitzung, und Authenticator speichert den signierten Credential. Der gesamte Ablauf dauert weniger als 30 Sekunden.
2. Credential-Präsentation
Die vertrauende Partei (das Portal Ihres Partners, das Onboarding-Formular Ihres Lieferanten, Ihre eigene extern zugängliche Anwendung) bindet eine Präsentationsanforderung über dieselbe Request Service API ein. Ein QR-Code oder Deep-Link erscheint. Der Nutzer scannt mit Authenticator, wählt den Credential aus und genehmigt die Weitergabe. Die vertrauende Partei erhält eine signierte Präsentation mit genau den von Ihnen konfigurierten Attributen — nichts mehr. Ihr Mandant ist nicht in Echtzeit beteiligt; die Signatur allein liefert den Nachweis.
3. Credential-Widerruf
Wenn ein Mitarbeiter das Unternehmen verlässt, widerrufen Sie den Credential in Entra Verified ID. Der Statuseintrag des Credentials im Status-List-2021-Bitstring wird auf “widerrufen” gesetzt. Jede nachfolgende Präsentationsprüfung durch eine vertrauende Partei lehnt den Credential ab. Die Widerrufung propagiert sich innerhalb von Minuten — kein manuelles Nachverfolgen bei jeder vertrauenden Partei erforderlich.
Wichtige Anwendungsfälle für kleine Unternehmen in Berlin
| Szenario | Bisheriger Ansatz | Mit Verified ID |
|---|---|---|
| Auftragnehmer-Onboarding in Partnerportal | Manuelle E-Mail mit PDF-Kopien des Arbeitsvertrags | Verifizierbarer Credential am ersten Tag ausgestellt, bei Portal-Anmeldung präsentiert |
| B2B-Gastbenutzer-Verifizierung | Visitenkarte + LinkedIn-Prüfung | Partner präsentiert Verified ID Credential aus dem ausstellenden Mandanten |
| Audit- / Compliance-Nachweis | HR erstellt PDF-Bericht auf Anfrage | Prüfer erhält verifizierbare Präsentation, kryptografisch an Ihren Signierschlüssel gebunden |
| Temporär erhöhter Zugang | IT eröffnet Ticket, vergibt Zugang manuell, hofft auf Widerruf | Zeitlich begrenzter Credential steuert Zugang; Widerruf entfernt Zugang automatisch |
Konfigurationsanleitung
Schritt 1 — Verified ID im Entra Admin Center aktivieren
Navigieren Sie zu Entra Admin Center → Verified ID → Setup. Registrieren Sie Ihre Organisation: geben Sie Ihre verifizierte Domäne (die das did:web-Dokument hostet), den Anzeigenamen der Organisation und die Benachrichtigungs-E-Mail an. Microsoft stellt Ihr DID-Dokument unter https://<ihre-domain>/.well-known/did.json bereit. DNS-Änderungen sind nicht erforderlich; die Domäne muss lediglich in Entra verifiziert sein.
Schritt 2 — Credential-Typ erstellen
Navigieren Sie zu Credentials → Credential hinzufügen. Wählen Sie “Benutzerdefinierter Credential” oder einen der vordefinierten Microsoft-Typen (Verified Employee, Verified Customer). Für einen benutzerdefinierten Typ laden Sie zwei JSON-Dateien hoch: die Rules-Datei (welche Entra ID-Attribute als Claims eingeschlossen werden) und die Display-Datei (wie die Credential-Karte in Authenticator aussieht — Farben, Logo, lokalisierte Texte). Speichern. Ihr Credential-Typ ist nun zur Ausstellung bereit.
Schritt 3 — Ausstellungsablauf aufbauen
Sie haben zwei Optionen: das My Account-Portal verwenden (kein Code erforderlich, integriert — Mitarbeiter besuchen myaccount.microsoft.com, finden “Verified ID” und tippen auf Ausstellen) oder die Request Service API aus Ihrer eigenen Anwendung aufrufen. Der API-Pfad lautet POST https://verifiedid.did.msidentity.com/v1.0/{tenantId}/verifiableCredentials/createIssuanceRequest. Die Antwort enthält eine URL, die Sie als QR-Code oder Deep-Link kodieren.
Schritt 4 — Verifizierungsablauf aufbauen
Rufen Sie in Ihrer vertrauenden Anwendung (oder der Ihres Partners) POST .../createPresentationRequest mit dem benötigten Credential-Typ und den gewünschten Claims auf. Im Callback erhält Ihre Anwendung die verifizierten Claims und das Präsentations-JWT, das Sie als Prüfungsnachweis speichern sollten. Das Face Check-Add-on (erfordert Verified ID Premium) fügt eine Echtzeit-Lebendigkeitsprüfung hinzu, die das Credential-Foto mit der Kamera des Nutzers abgleicht — sinnvoll für hochsicheres Onboarding.
Datenschutzarchitektur
Verified ID ist datenschutzwahrend by Design. Microsoft protokolliert keine Credential-Präsentationen — die Verifizierung erfolgt zwischen der Wallet des Nutzers und der vertrauenden Partei. Die Beteiligung Ihres Mandanten endet bei der Ausstellung. Der Nutzer kontrolliert, welche Claims weitergegeben werden; die vertrauende Partei sieht nur das Angeforderte. Paarweise DIDs (ein separater Sub-DID pro vertrauender Partei, konfigurierbar) verhindern die Korrelation zwischen verschiedenen Verifiern — die Jobborse kann nicht erkennen, dass der Nutzer auch Credentials bei Ihrem Partnerportal präsentiert hat.
Für DSGVO-sensible Deployments: im Credential eingebettete Claims werden zum Ausstellungszeitpunkt signiert. Ändert sich das Quellattribut in Entra ID nach der Ausstellung (z.B. Mitarbeiter wechselt Abteilung), aktualisiert sich der Credential nicht automatisch — Sie widerrufen und stellen neu aus oder gestalten Ihre Credential-Regeln so, dass Attribute dynamisch bei der Ausstellung abgerufen werden. Planen Sie Ihre Erneuerungszyklen entsprechend.
Integration in den Identitäts-Stack
Verified ID ersetzt Entra ID nicht — es ergänzt es. Ihre Mitarbeiter authentifizieren sich weiterhin über Entra (Passwörter, MFA oder Windows Hello for Business). Verified ID löst das Attestierungsproblem: die Bestätigung von Identitätsattributen gegenüber externen Parteien, ohne diesen Lesezugriff auf Ihr Verzeichnis zu gewähren. In Kombination mit Entra External Identities B2B können Sie fordern, dass Partnergastkonten einen gültigen Verified ID Credential vorweisen, bevor sie Ihrem Mandanten hinzugefügt werden — kryptografischer Beschäftigungsnachweis vor der Shadow-Account-Erstellung.
Für kleine Unternehmen in Berlin, die unter der DSGVO operieren, reduziert Verified ID das Risiko unnötiger Datenweitergabe beim Partner-Onboarding. Statt einer PDF-Arbeitsbestätigung per E-Mail (die der Empfänger unbegrenzt speichern kann) stellen Sie einen Credential aus, der ab dem Moment des Engagement-Endes widerrufen werden kann.
Weiterfuehrende Artikel
- Entra External Identities B2B: Verified ID für kryptografische Partner-Verifizierung vor Gastkontoerstellung
- Entra ID Governance Lifecycle Workflows: Verified-ID-Credentials in den Mitarbeiter-Identitätslebenszyklus einbinden
- Passwortlose Authentifizierung: Verified ID als Attestierungsschicht im passwortlosen Identitäts-Stack