Passwörter auf Resource Accounts waren schon immer ein Kompromiss.
Ein notwendiger. Aber eben auch ein „unsauberer“.
Mit der Ankündigung auf der ISE 2026 macht Microsoft jetzt den nächsten logischen Schritt:
Weg vom Passwort. Hin zu key-based Authentication mit automatischer Rotation.
Und das ist mehr als nur ein kleines Security-Feature.
TL;DR
Microsoft ersetzt Passwort-basierte Resource Accounts durch gerätegebundene, automatisch rotierende Security-Keys.
Kein Passwort-Reset mehr.
Keine Excel-Listen mehr.
Keine Downtime durch 90-Tage-Policies.
Das ist eine echte Identity-Modernisierung für Teams Rooms.
Das eigentliche Problem mit Resource Accounts
Technisch gesehen sind Resource Accounts heute normale Benutzerkonten.
Sie haben:
- eine Mailbox
- einen Kalender
- Teams-Zugriff
- Benutzername + Passwort
Architektonisch logisch.
Sicherheitstechnisch schwierig.
Warum?
Weil:
- Niemand kennt „wirklich“ das Passwort
- MFA auf Shared Devices keinen Sinn ergibt
- Security-Teams Passwort-Reset-Policies erzwingen
- Conditional Access komplette Raumflotten aussperren kann
Ich habe in Projekten alles gesehen:
- Passwort-Excel-Listen
- Downtime nach 90-Tage-Reset
- Räume, die nach CA-Änderungen nicht mehr online kamen
Die Lösung: Key-Based Exchange statt Passwort
Microsoft stellt jetzt um auf:
Zertifikats- bzw. Schlüsselbasierte Authentifizierung
Statt:
Benutzername + Passwort
Neu:
Gerätegebundener kryptographischer Schlüssel
Das bedeutet:
- Der Schlüssel wird lokal verschlüsselt gespeichert
- Er ist an das Gerät gebunden
- Er rotiert automatisch
- Es existiert kein statisches Passwort mehr
- Keine Admin-Interaktion notwendig
Die Authentifizierung erfolgt gegen Microsoft Entra ID (ehemals Azure AD) per Key-Exchange.
Das ist ein massiver Architekturwechsel.
Warum das sicherer ist
Kein Passwort → Kein Passwort-Leak
- Kein Phishing
- Kein Passwort-Reuse
- Kein Brute-Force
- Keine unsauberen Passwort-Policies
Automatische Rotation
- Keine 90-Tage-Resets mehr.
- Keine Downtime.
Gerätegebundene Identität
Der Schlüssel kann nicht einfach exportiert oder kopiert werden.
Das Modell basiert auf asymmetrischer, gerätegebundener Schlüsselauthentifizierung – konzeptionell ähnlich zu Windows Hello for Business oder FIDO2, jedoch ohne deren benutzergebundene Biometrie- oder PIN-Komponente.
Warum Microsoft das jetzt macht
Ein spannender Satz war:
„Much more secure, especially as we get more AI capabilities in the room.“
Und das ist entscheidend.
Wir sprechen inzwischen über:
- IntelliFrame
- Face Recognition
- Voice Recognition
- Copilot-Integration
- Cloud-Processing
Mit zunehmender AI-Funktionalität steigt die Relevanz der Geräte-Identität massiv.
Ein kompromittiertes Raumkonto ist in einer AI-getriebenen Umgebung deutlich kritischer als vor fünf Jahren.
Deshalb wird die Identity jetzt modernisiert.
Was sich NICHT ändert
Wichtig für alle Kunden:
- Mailbox bleibt
- Kalender bleibt
- Teams-User bleibt
- Enduser merken nichts
- Meeting Experience bleibt identisch
Die Änderung betrifft ausschließlich die Authentifizierungsarchitektur.
Unterstützt werden:
- Teams Rooms on Windows
- Teams Rooms on Android
- Teams Panels
- Teams Phones folgen später
Strategisch betrachtet
Microsoft verschiebt das Trust-Modell von:
User Credential Model zu Device Identity Model
Das ist exakt die Richtung, in die sich moderne Cloud-Architekturen entwickeln.
Was das für dich bedeutet
Für IT:
- Weniger Downtime
- Weniger Eskalationen
- Weniger Security-Diskussionen
- Stabilere Räume
Für Security:
- Sauberere Zero-Trust-Integration
- Kein Sonderfall mehr für Rooms
- Bessere CA-Kompatibilität
ISE Session zum Thema – von Matt Slomka
Mein Takeaway
Passwordless Resource Accounts sind eine der wichtigsten strukturellen Verbesserungen für Teams Rooms seit Einführung von Conditional Access.
Das ist kein kosmetisches Feature.
Das ist eine echte Identity-Modernisierung.Wenn die Migration sauber läuft, wird das den Betrieb vieler Umgebungen deutlich stabiler machen.