Teams und Unternehmen

Entsperren von 1Password mit Microsoft Entra ID konfigurieren

Erfahre mehr darüber, wie du 1Password einrichtest, um es mit Microsoft Entra ID zu entsperren

Mit 1Password Business kannst du deinen Teammitgliedern die Single Sign-On-Authentifizierung (SSO) ermöglichen, indem du Microsoft Entra ID (früher Azure AD) mit 1Password über „Entsperren mit SSO“ verbindest.

Entsperren mit SSO beinhaltet keine automatisierte Bereitstellung. Wenn du Nutzer und Gruppen erstellen, Zugriff verwalten und 1Password-Nutzer mit deinem Identitätsanbieter ausschließen möchtest, erfahre mehr darüber, wie du die Bereitstellung mit SCIM automatisierst.

Diese Anleitung hilft dir, einen privaten Client einzurichten, der Richtlinien für bedingten Zugriff unterstützt. Falls du keine Richtlinien für bedingten Zugriff benötigst, kannst du stattdessen einen öffentlichen Client einrichten.

Before you begin

Bevor du beginnst, überprüfe die Überlegungen und Anforderungen für das Entsperren mit SSO. Du benötigst außerdem Folgendes:

  • Du hast Berechtigungen als Anwendungsadministrator und Gruppenadministrator in Microsoft Entra ID.
  • Du hast einen Entra-ID-Plan, der SSO beinhaltet.

These steps were recorded in June 2025 and may have changed since. Refer to the Microsoft documentation  for the most up-to-date steps.

Schritt 1: Füge die 1Password-Anwendung zu Entra ID hinzu

Um loszulegen, melde dich im Microsoft Azure-Portal bei deinem Konto an und folge dann diesen Schritten.

1.1: Eine Unternehmensanwendung erstellen

Wenn du automatisierte Bereitstellung mit Entra ID bereits nutzt, suche im Microsoft Azure-Portal nach der vorhandenen Unternehmensanwendung und folge dann Schritt 1.2.

Falls du die automatische Bereitstellung nicht verwendest, füge 1Password als Unternehmensanwendung in Entra ID hinzu:

  1. Wähle Microsoft Entra ID aus und dann in der Seitenleiste Unternehmensanwendungen  .
  2. Wähle Neue Anwendung aus, wähle dann Deine eigene Anwendung erstellen aus.
  3. Gib „1Password EPM“ als Namen der App ein und wähle Alle anderen Anwendungen integrieren, die du nicht in der Galerie findest (Nicht-Galerie) aus. Anschließend wählst du Erstellen aus.

Du siehst nun die Details der soeben erstellten Anwendung. Fahre mit dem nächsten Abschnitt fort, um sie zu konfigurieren.

1.2: Öffne die App-Registrierung für 1Password

  1. Wechsele zur App-Registrierungsseite und wähle Alle Anwendungen aus, dann wähle 1Password EPM.
  2. Copy the Application ID to a temporary file in a text editor. You’ll need it for step 2.1.
  3. Wähle in der Seitenleiste Zertifikate und Geheimnisse aus.
  4. Wähle Neues Client-Geheimnis aus. Gib dem Geheimnis einen Namen, wie zum Beispiel „1Password SSO“.
  5. Wähle Hinzufügen aus. Lass diese Seite geöffnet, wenn du das Anwendungsgeheimnis in Schritt 2.1 benötigst.

Wichtig

The Entra ID application secret has an expiration date. To make sure your team can continue to sign in with Microsoft, create a new secret and update it in 1Password’s settings at least a few days before the current secret expires. Set reminders to rotate your secret to make sure you don’t get locked out of your account.

Schritt 2: Entsperren mit SSO konfigurieren

Wichtig

Die Änderungen, die du unten vornimmst, werden erst gespeichert, wenn du dich erfolgreich bei Microsoft authentifiziert hast. Dies verhindert, dass du den Zugriff auf 1Password verlierst.

2.1: Richte Unlock mit SSO ein

  1. Öffne einen neue Browser-Registerkarte und melde dich an, bei deinem Konto auf 1Password.com.
  2. Wähle in der Seitenleiste Richtlinien aus.
  3. Wähle Verwalten unter Identitätsanbieter konfigurieren aus.
  4. Choose Microsoft Entra ID, then select Next.
  5. Auf der Seite mit den Anwendungsdetails füllst du die folgenden Felder aus:
    • Application ID: Paste the Application ID for the application you created in step 1.
    • OpenID configuration document URL: Select Endpoints on the Overview page for your application and copy and paste the OpenID Connect metadata document field.
    • Client-Typ: Wähle Privater Client.
    • Anwendungsgeheimnis: Kopiere das von dir erstellt Geheimnis in Schritt 1.2 und füge es ein.
  6. Select Next and copy the Redirect URI, then leave this page open and continue to step 2.2.

2.2: Konfiguriere die Entra ID-Anwendung

Wechsele zurück zur Browser-Registerkarte, die du für Schritt 1 geöffnet hattest und folge dann diesen Schritten:

  1. In the sidebar under Manage, select Authentication.
  2. Unter „Plattformkonfigurationen“ wähle Plattform hinzufügen aus, dann wähle Web und fülle die folgenden Felder aus.
  3. Füge die Weiterleitung-URI von deiner Seite „Identitätsanbieter konfigurieren“ in deine andere Browser-Registerkarte ein.
  4. Lass das Feld Vorderer Kanal Abmelde-URL leer.
  5. Wähle ID-Token unter „Implizierte Erteilung und hybride Abläufe“ aus.
  6. Wähle Konfigurieren aus.

2.3: API-Berechtigungen konfigurieren

  1. Select API permissions in the sidebar.
  2. Select Add a permission.
  3. Select Microsoft Graph then Delegated permissions.
  4. Wähle unter „OpenId-Berechtigung“ email, openid und profile aus.
  5. Select Add permissions.
  6. Select Grant admin consent to give tenant-wide consent for the 1Password application. 1Password asks only for read access to the permissions listed above.

Wichtig

Damit sich ein Nutzer mit Microsoft bei 1Password anmelden kann, muss die in Entra ID angegebene E-Mail mit der E-Mail übereinstimmen, die mit seinem 1Password-Konto verknüpft ist. Beachte, dass ihr Nutzer Principal Name unterschiedlich sein kann.

2.4: Erforderliche Ansprüche konfigurieren

1Password erfordert die Ansprüche Betreff, Name und E-Mail von Entra ID. Standardmäßig stellt Entra ID einen Anspruch Betreff bereit, der die Nutzereigenschaften Name und E-Mail automatisch zuordnet. 1Password versucht, Nutzer mit der Eigenschaft Betreff in Entra ID abzugleichen. Wenn dies fehlschlägt, wird auf die Eigenschaft E-Mail zurückgegriffen.

Wenn deine Nutzer eine E-Mail-Eigenschaft haben, die sich von ihrem Nutzer Principal Name (UPN) unterscheidet, musst du einen optionalen upn -Anspruch für das OIDC-ID-Token erstellen. Auch nach dem Hinzufügen eines upn -Anspruchs ist noch ein E-Mail Anspruch erforderlich.

  1. Wähle die App-Registrierung aus, die du früher erstellt hast.
  2. Select Token configuration in the sidebar.
  3. Select Add optional claim.
  4. Wähle ID.
  5. Scroll down and check UPN, then select Add.

Erfahre mehr über das Bereitstellen optionaler Ansprüche in Entra ID.

2.5: Teste die Verbindung

Schritt 3: Verbinde deinen Identitätsanbieter mit der 1Password SCIM Bridge

Before you test the connection, assign users to the 1Password application in Entra ID to make sure the test will succeed.

Nachdem du deine Einstellungen konfiguriert hast, wechsele zurück zur Seite „Identitätsanbieter konfigurieren“ und teste die Verbindung. Du wirst zu Microsoft weitergeleitet, um dich anzumelden und dann zu 1Password, um dich anzumelden. Dies verifiziert die Konnektivität zwischen 1Password und Microsoft.

Schritt 3: Bestimme, welche Teammitglieder 1Password mit Microsoft entsperren werden, und setze eine Kulanzfrist

Wichtig

Vorhandene Teammitglieder müssen sich mit ihrem Kontopasswort und ihrem Geheimschlüssel bei 1Password anmelden, bevor sie zu „Entsperren mit SSO“ wechseln. Wenn dein Unternehmen Emergency Kits ausgeschaltet hat oder eine Richtlinie zum Löschen des Browser-Caches hat, könnte dies dazu führen, dass Massen- Wiederherstellungen für Nutzer erforderlich sind, die ihre Anmeldedaten nicht haben.

Teammitglieder werden während des Wiederherstellungsprozesses aufgefordert, sich mit SSO anzumelden.

Nachdem du „Entsperren mit SSO“ konfiguriert hast, wirst du zur Einstellungsseite in deinem 1Password-Konto weitergeleitet. Bevor du deine Einstellungen konfigurierst, musst du Gruppen für die Teammitglieder erstellen, die 1Password mit Microsoft entsperren:

  1. Erstelle eine angepasste Gruppe.

    Gib der Gruppe zur Klarheit einen aussagekräftigen Namen wie „Microsoft SSO“.

  2. Füge Teammitglieder der Gruppe hinzu.

    Wenn du planst, weitere Teammitglieder einzuladen, um „Entsperren mit Microsoft“ zu einem späteren Zeitpunk zu testen, erstelle eine neue angepasste Gruppe für jede weitere Gruppe von Testern.

Die Gruppe(n), die du erstellst, müssen nicht dauerhaft sein und du kannst schließlich festlegen, dass dein ganzes Team mit SSO entsperrt, sobald einige Gruppen erfolgreich migriert wurden.

3.1: Entscheide, wer mit Microsoft entsperrt

Wichtig

Nutzer in der Gruppe Eigentümer können nicht mit Microsoft entsperren und melden sich weiterhin mit ihrem Kontopasswort und ihrem Geheimschlüssel bei 1Password an. Das trägt dazu bei, sie davor zu schützen, ausgesperrt zu werden, falls sie keinen Zugriff auf ihre verknüpften Apps und Browser haben und niemand sie wiederherstellen kann.

Erfahre mehr über die Implementierung eines Wiederherstellungsplans für dein Team.

Standardmäßig ist „Personen, die 1Password mit einem Identitätsanbieter entsperren“ auf „Niemand“ gesetzt. Dies ermöglicht es dir, dein Team schrittweise auf die Freischaltung mit Microsoft umzustellen. Um festzulegen, welche Teammitglieder 1Password mit Microsoft entsperren, wähle eine der Optionen:

  • Niemand: Um „Mit Microsoft entsperren“ auszuschalten, wähle Niemand aus.
  • Nur von dir ausgewählte Gruppen: Nur die Teammitglieder der von dir gewählten Gruppen, melden sich bei Microsoft an. Erfahre mehr darüber, wie du angepasste Gruppen in 1Password Business verwendest.
  • Alle außer: Gruppen, die du ausschließt: Alle Teammitglieder, außer Eigentümer und von dir ausgeschlossene Gruppen, melden sich bei Microsoft an. Bestehende Nutzer in diesem Bereich werden aufgefordert, zu „Entsperren mit Microsoft“ zu wechseln. Neue Benutzer, außer denen in ausgeschlossenen Gruppen, verwenden ihren Microsoft-Nutzernamen und ihr Passwort, wenn sie sich bei 1Password anmelden. Eigentümer melden sich mit einem Kontopasswort und einem Geheimschlüssel an.
  • Alle außer: Gäste: Alle Teammitglieder, außer Eigentümer und Gäste, melden sich bei Microsoft an. Alle bestehenden Nutzer werden aufgefordert, zu „Entsperren mit Microsoft“ zu wechseln und alle neuen Nutzer verwenden ihren Microsoft-Nutzernamen und ihr Passwort, wenn sie 1Password beitreten. Gäste und Eigentümer melden sich mit einem Kontopasswort und einem Geheimschlüssel an.
  • Alle: Gäste und alle Teammitglieder, außer Eigentümern, melden sich bei Microsoft an. Alle bestehenden Nutzer werden aufgefordert, zu „Entsperren mit Microsoft“ zu wechseln und alle neuen Nutzer verwenden ihren Microsoft-Nutzernamen und ihr Passwort, wenn sie sich bei 1Password anmelden.

3.2: Eine Nachfrist festlegen

Teammitglieder, die bereits 1Password-Konten haben, müssen zu „Entsperren mit Microsoft“ wechseln. Gib die Anzahl der Tage an, bevor die Teammitglieder wechseln müssen. Beachte Folgendes, wenn du die Nachfrist festlegst:

  • Standardmäßig ist die Nachfrist auf 5 Tage festgelegt. Sie kann auf 1 bis 30 Tage festgelegt werden.
  • Die Nachfrist beginnt, wenn ein Administrator eine Gruppe hinzufügt, nachdem er die Option Nur von dir ausgewählte Gruppen ausgewählt hat, oder wenn ein Administrator „Entsperren mit Microsoft“ für alle im Team konfiguriert. Du siehst die Nachfrist neben jeder Gruppe, die für „Entsperren mit Microsoft“ konfiguriert ist.
  • Wenn ein Teammitglied zu mehr als einer Gruppe gehört, wird seine Nachfrist durch die erste mit SSO eingerichtete Gruppe bestimmt, auch wenn die Nachfristen für diese Gruppen unterschiedlich sind.
  • Wenn du ein Teammitglied, das Entsperren mit SSO nicht eingerichtet hat, einer Gruppe hinzufügst, deren Nachfrist abgelaufen ist, musst du oder muss ein anderer Administrator das Konto wiederherstellen, damit es sich erneut mit SSO anmelden kann.
  • Wenn du die Länge der Nachfrist bearbeitest, wird sie ab dem ursprünglichen Datum verlängert oder verkürzt, das du für das Entsperren der Gruppe mit SSO konfiguriert hast, .
  • Wenn du nach der Ersteinrichtung mehr Teammitglieder zum Entsperren mit Microsoft konfigurieren musst, erstelle eine neue angepasste Gruppe mit einer aktiven Nachfrist. So wird sichergestellt, dass neu zugewiesene Teammitglieder ihre Konten nicht wiederherstellen müssen.

Wichtig

Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit Microsoft“ wechselt, kann es sich nicht auf seinen Geräten bei seinem Konto anmelden und muss einen Administrator kontaktieren, um sein Konto wiederherzustellen. Das Teammitglied wechselt zu „Entsperren mit Microsoft“ während des Wiederherstellungsvorgangs.

Optional: Füge 1Password zur Microsoft My Apps-Seite hinzu

Du kannst 1Password zur Seite Meine Apps hinzufügen, damit dein Team schnell eure Anmeldeadresse von dort aus öffnen kann:

  1. Melde dich im Microsoft Azure-Portal an. 
  2. Select Microsoft Entra ID, then select Enterprise applications in the sidebar.
  3. Select the 1Password EPM enterprise application.
  4. Select Single sign-on in the sidebar.
  5. Wähle Verknüpft für die Single Sign-On-Methode.
  6. Gib die Anmeldeadresse deines Teams in das Feld „Sign-on-URL“ ein.
  7. Wähle Speichern aus.

Manage settings

Um deine Einstellungen zu verwalten, melde dich bei deinem Konto auf 1Password.com an, wähle dann Richtlinien in der Seitenleiste aus und wähle Verwalten unter Identitätsanbieter konfigurieren aus.

Konfiguration

Um deine Konfiguration bei Microsoft zu ändern, wähle Konfiguration bearbeiten und folge dann den Anweisungen auf dem Bildschirm, um „Entsperren mit SSO“ einzurichten. Du kannst nur einen Identitätsanbieter für „Entsperren mit SSO“ einrichten.

Du kannst eine Identitätsanbieterkonfiguration erst speichern, nachdem du die Verbindung erfolgreich getestet hast. Änderungen werden nicht gespeichert, wenn du dich nicht erfolgreich bei Microsoft authentifizieren kannst. Dies verhindert, dass du den Zugriff auf 1Password verlierst.

Personenzuweisungen und Biometrie

Wähle Bearbeiten unten auf der Einstellungsseite aus, um zu ändern, welche Nutzer zum Entsperren von 1Password mit Microsoft zugewiesen sind.

  • Um anzugeben, welche Teammitglieder 1Password mit Microsoft entsperren, wähle eine Option im Abschnitt Wer 1Password mit einem Identitätsanbieter entsperren kann aus.

    Empfohlen wird „Nur von dir ausgewählte Gruppen“. Erfahre mehr darüber, wie du angepasste Gruppen in 1Password Business verwendest. Um „Entsperren with SSO“ auszuschalten, wähle Niemand aus.

  • Gib die Anzahl der Tage an, bevor Teammitglieder zum Entsperren mit Microsoft wechseln müssen.

    Die Standard-Nachfrist beträgt 5 Tage. Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit Microsoft “migriert, muss es seinen Administrator kontaktieren, um sein Konto wiederherzustellen.

  • Um Teammitgliedern das Entsperren mit Touch ID, Face ID, Windows Hello und anderen biometrischen Merkmalen zu ermöglichen, wähle die Option Zulassen, dass Personen 1Password mit biometrischen Merkmalen entsperren. Gib die Anzahl der Tage oder Wochen an, bevor du erneut aufgefordert wirst, dich bei Microsoft anzumelden.

    Wenn biometrisches Entsperren eingeschaltet ist, haben deine Teammitglieder bis zum angegebenen Zeitraum offline Zugriff auf 1Password. Nach Ablauf des Zeitraums ist der Zugriff auf den Tresor nur noch online möglich.

Wähle Änderungen überprüfen aus, um deine Auswahl zu verifizieren und wähle dann Speichern aus.

Next steps

Um „Entsperren mit Microsoft“ selbst zu verwenden, starte mit 1Password mit Microsoft entsperren als Teammitglied.

Erfahre mehr darüber, wie du 1Password mit Microsoft entsperren auf allen deinen Geräten verwendest und über verknüpfen von zusätzlichen Apps und Browsern mit deinem Konto.

Tipp

Wenn dein IT-Team eine Richtlinie hat, die Browserdaten beim Schließen eines Browsers löscht, schließe die Anmeldeadresse deines Teams von dieser Richtlinie aus, um sicherzustellen, dass deine Teammitglieder den Zugriff auf ihre verknüpften Browser nicht verlieren.

Du kannst dein Team auch dazu anregen, andere Apps und Browser mit ihren Konten zu verknüpfen, beispielsweise die 1Password-Desktop-App, nachdem sie sich registriert haben oder zum „Entsperren mit SSO“ wechseln.

Aktualisiere das Entra ID-Anwendungsgeheimnis

Bevor dein Entra ID-Anwendungsgeheimnis abläuft, musst du ein neues Geheimnis erstellen und es in deinen 1Password-Einstellungen aktualisieren. Wir empfehlen dir, das Geheimnis mindestens einige Tage vor dem Ablaufdatum zu rotieren, um sicherzustellen, dass dein Team weiterhin 1Password mit Entra ID entsperren kann.

  1. Öffne die Seite App-Registrierungen im Microsoft Azure-Portal.
  2. Wähle deine 1Password-App-Registrierung aus und wähle dann Zertifikate und Geheimnisse in der Seitenleiste aus.
  3. Choose New client secret, enter a name in the Description field, and select Add.
  4. Select the copy button beside the Value field to copy the new secret.
  5. Öffne eine neue Browser-Registerkarte oder ein neues Fenster und melde dich an, bei deinem Konto auf 1Password.com.
  6. Wähle in der Seitenleiste Richtlinien aus.
  7. Select Manage under Configure Identity Provider.
  8. Select Edit Configuration.
  9. Füge das neue Geheimnis in Entra ID in das Feld Anwendungsgeheimnis ein.
  10. Scrolle nach unten und wähle Testverbindung aus.

After you successfully connect to Microsoft, select Save Configuration. Then go back to the “Certificates & secrets” page in Entra ID and select the trash beside the old secret to delete it.

Set reminders to rotate secrets

You can set reminders to rotate secrets before they expire to help prevent lockouts and disruption to your workflows:

  • Store secrets and set expiry alerts in 1Password: Create an item in 1Password for your Entra ID client secret and configure built-in expiry alerts to remind you when a secret is going to expire.
  • Schedule calendar or project management reminders: Add a client secret rotation task to a shared calendar at least a few days before the secret expires, or track it in your project management system (like Jira or Asana) to prevent lockouts.

Unterstützung erhalten

Du kannst deine Anwendungs-ID und die URL des OpenID-Konfigurationsdokuments auf der Übersichtsseite der Anwendung finden, die du in Schritt 1 erstellt hast.

Wenn ein Teammitglied von einer Gruppe, die mit Microsoft entsperrt, zu einer wechselt, die dies nicht tut, wird es aufgefordert, ein Passwort für sein Konto zu erstellen und sein Emergency Kit herunterzuladen.

Wenn dein Team Schwierigkeiten mit Richtlinien für bedingten Zugriff hat und du eine öffentliche Anwendung in Entra ID verwendest, musst du deine Integration aktualisieren.

Wenn du oder einer deiner Nutzer die Meldung „400: Ungültiger Nutzerinformationen-Endpunkt oder -Anfrage“ siehst, wenn du die Verbindung zu Entra ID testest oder eine App oder einen Browser zum ersten Mal mit deinem 1Password-Konto verknüpfst, stelle sicher, dass der DisplayName, GivenName oder FamilyName des Nutzers in Entra ID keines der folgenden Zeichen enthält: <>%\"\\;[]{}

Unterstützung erhalten, wenn du zu einem neuen Identitätsanbieter wechseln musst, nachdem du „Entsperren mit SSO“ eingerichtet hast.

Mehr erfahren


Published: