Teams und Unternehmen

Entsperren von 1Password mit Microsoft Entra ID konfigurieren

Erfahre mehr darüber, wie du 1Password einrichtest, um es mit Microsoft Entra ID zu entsperren

Mit 1Password Business kannst du deinen Teammitgliedern die Single Sign-On-Authentifizierung (SSO) ermöglichen, indem du Microsoft Entra ID (früher Azure AD) mit 1Password über „Entsperren mit SSO“ verbindest.

Unlock with SSO doesn’t include automated provisioning. If you want to create users and groups, manage access, and suspend 1Password users with your identity provider, learn how to automate provisioning.

This guide will help you set up a private client, which supports Conditional Access policies.

Before you begin

Bevor du beginnst, überprüfe die Überlegungen und Anforderungen für das Entsperren mit SSO. Du benötigst außerdem Folgendes:

  • Du hast Berechtigungen als Anwendungsadministrator und Gruppenadministrator in Microsoft Entra ID.
  • Du hast einen Entra-ID-Plan, der SSO beinhaltet.

These steps were updated in March 2026 and may have changed since. Refer to the Microsoft documentation  for the most up-to-date steps.

Schritt 1: Füge die 1Password-Anwendung zu Entra ID hinzu

To get started, sign in to your account on the Microsoft Azure portal, then follow these steps.

1.1: Eine Unternehmensanwendung erstellen

If you already use automated provisioning with Entra ID, search for the existing enterprise application in the Microsoft Azure portal, then follow step 1.2.

If you don’t use automated provisioning, follow the steps below to add 1Password as an enterprise application in Entra ID. Then you can set up automated provisioning later.

  1. Select Microsoft Entra ID, then select Enterprise applications  in the sidebar.
  2. Wähle Neue Anwendung aus, wähle dann Deine eigene Anwendung erstellen aus.
  3. Gib „1Password EPM“ als Namen der App ein und wähle Alle anderen Anwendungen integrieren, die du nicht in der Galerie findest (Nicht-Galerie) aus. Anschließend wählst du Erstellen aus.

Du siehst nun die Details der soeben erstellten Anwendung. Fahre mit dem nächsten Abschnitt fort, um sie zu konfigurieren.

1.2: Configure the app registration for 1Password

  1. Go to the app registrations page and select All applications, then select 1Password EPM.
  2. Copy the Application ID to a temporary file in a text editor. You’ll need it for step 2.1.
  3. Wähle in der Seitenleiste Zertifikate und Geheimnisse aus.
  4. Wähle Neues Client-Geheimnis aus. Gib dem Geheimnis einen Namen, wie zum Beispiel „1Password SSO“.
  5. Choose an expiration date. When the secret expires, you’ll need to update it.
  6. Select Add. Leave this page open for when you need the application secret value in step 2.1.

Wichtig

To make sure your team can continue to sign in with Microsoft, create a new secret and update it in your 1Password settings at least a few days before the current secret expires. Set reminders to rotate your secret to make sure you don’t get locked out of your account.

1.3: (Optional) Add a logo to the application

You can add the 1Password logo to the 1Password application to visually identify it. From the app registration page:

  1. Select Branding & properties in the sidebar.
  2. Select Select a file beside “Upload new logo”.
  3. Select the logo, upload it, and select Save.

Schritt 2: Entsperren mit SSO konfigurieren

Wichtig

Die Änderungen, die du unten vornimmst, werden erst gespeichert, wenn du dich erfolgreich bei Microsoft authentifiziert hast. Dies verhindert, dass du den Zugriff auf 1Password verlierst.

2.1: Richte Unlock mit SSO ein

  1. Öffne eine neue Browser-Registerkarte oder ein neues Fenster und melde dich an, bei deinem Konto auf 1Password.com.
  2. Wähle in der Seitenleiste Richtlinien aus.
  3. Select Manage policies under Configure Identity Provider.
  4. Select Microsoft Entra ID, then select Next.
  5. Fülle die folgenden Felder aus:
    • Application ID: Paste the Application ID for the application you created in step 1.
    • OpenID configuration document URL: Leave this field blank for now. You’ll add it in the next step so you can keep the Certificates & secrets page open in Entra ID while you copy the application secret.
    • Client-Typ: Wähle Privater Client.
    • Application Secret: Copy and paste the value for the secret you created in step 1.2.
  6. Go to the browser tab with your Entra ID app registration. If you closed the tab, go to the app registrations page , select All applications, then select 1Password EPM.
  7. In the sidebar, select Overview, then select Endpoints and copy the OpenID Connect metadata document URL.
  8. Return to the Configure Identity Provider page in 1Password and paste the URL into the OpenID configuration document URL field.
  9. Select Next and copy the Redirect URI, then leave this page open and continue to step 2.2.

2.2: Konfiguriere die Entra ID-Anwendung

Go back to the browser tab you had open for step 1, then follow these steps:

  1. In the sidebar under Manage, select Authentication.
  2. Under “Platform configurations”, select Add a platform, then select Web and fill out the following fields:
    • Redirect URI: Paste the redirect URI from your Configure Identity Provider page you left open at the end of step 2.1.
    • Front-channel logout URL: Leave this field blank.
    • Implicit grant and hybrid flows: Select ID tokens.
  3. When you’re done, select Configure.

2.3: API-Berechtigungen konfigurieren

  1. Select API permissions in the sidebar.
  2. Select Add a permission.
  3. Select Microsoft Graph then Delegated permissions.
  4. Wähle unter „OpenId-Berechtigung“ email, openid und profile aus.
  5. Select Add permissions.
  6. Select Grant admin consent … to give tenant-wide consent for the 1Password application, then select Yes to confirm. 1Password asks only for read access to the permissions listed above.

2.4: Configure optional claims

Wichtig

Damit sich ein Nutzer mit Microsoft bei 1Password anmelden kann, muss die in Entra ID angegebene E-Mail mit der E-Mail übereinstimmen, die mit seinem 1Password-Konto verknüpft ist. Beachte, dass ihr Nutzer Principal Name unterschiedlich sein kann.

1Password erfordert die Ansprüche Betreff, Name und E-Mail von Entra ID. Standardmäßig stellt Entra ID einen Anspruch Betreff bereit, der die Nutzereigenschaften Name und E-Mail automatisch zuordnet. 1Password versucht, Nutzer mit der Eigenschaft Betreff in Entra ID abzugleichen. Wenn dies fehlschlägt, wird auf die Eigenschaft E-Mail zurückgegriffen.

Wenn deine Nutzer eine E-Mail-Eigenschaft haben, die sich von ihrem Nutzer Principal Name (UPN) unterscheidet, musst du einen optionalen upn -Anspruch für das OIDC-ID-Token erstellen. Auch nach dem Hinzufügen eines upn -Anspruchs ist noch ein E-Mail Anspruch erforderlich.

  1. Wähle die App-Registrierung aus, die du früher erstellt hast.
  2. Select Token configuration in the sidebar.
  3. Select Add optional claim.
  4. Select ID.
  5. Scroll down and check UPN, then select Add.

Erfahre mehr über das Bereitstellen optionaler Ansprüche in Entra ID.

2.5: Teste die Verbindung

Before you test the connection, assign users to the 1Password application in Entra ID to make sure the test will succeed.

Then go back to the Configure Identity Provider page you had open at the end of step 2.1 and follow these steps:

  1. Wähle Weiter aus.
  2. Select Test Connection. You’ll be directed to Entra ID to sign in, then returned to 1Password. This verifies connectivity between 1Password and Entra ID.
  3. Nachdem du die Verbindung getestet hast, wähle Speichern aus.

Schritt 3: Bestimme, welche Teammitglieder 1Password mit Microsoft entsperren werden, und setze eine Kulanzfrist

Wichtig

Vorhandene Teammitglieder müssen sich mit ihrem Kontopasswort und ihrem Geheimschlüssel bei 1Password anmelden, bevor sie zu „Entsperren mit SSO“ wechseln. Wenn dein Unternehmen Emergency Kits ausgeschaltet hat oder eine Richtlinie zum Löschen des Browser-Caches hat, könnte dies dazu führen, dass Massen- Wiederherstellungen für Nutzer erforderlich sind, die ihre Anmeldedaten nicht haben.

Team members will be prompted to sign in with SSO during the recovery process.

Nachdem du „Entsperren mit SSO“ konfiguriert hast, wirst du zur Einstellungsseite in deinem 1Password-Konto weitergeleitet. Bevor du deine Einstellungen konfigurierst, musst du Gruppen für die Teammitglieder erstellen, die 1Password mit Microsoft entsperren:

  1. Erstelle eine angepasste Gruppe.

    Gib der Gruppe zur Klarheit einen aussagekräftigen Namen wie „Microsoft SSO“.

  2. Füge Teammitglieder der Gruppe hinzu.

    Wenn du planst, weitere Teammitglieder einzuladen, um „Entsperren mit Microsoft“ zu einem späteren Zeitpunk zu testen, erstelle eine neue angepasste Gruppe für jede weitere Gruppe von Testern.

The group(s) you create don’t have to be permanent, and you can eventually set your whole team to unlock with SSO after some groups have successfully migrated.

3.1: Entscheide, wer mit Microsoft entsperrt

Wichtig

Nutzer in der Gruppe Eigentümer können nicht mit Microsoft entsperren und melden sich weiterhin mit ihrem Kontopasswort und ihrem Geheimschlüssel bei 1Password an. Das trägt dazu bei, sie davor zu schützen, ausgesperrt zu werden, falls sie keinen Zugriff auf ihre verknüpften Apps und Browser haben und niemand sie wiederherstellen kann.

Erfahre mehr über die Implementierung eines Wiederherstellungsplans für dein Team.

By default, “People unlocking 1Password with an identity provider” is set to “No one”. This allows you to gradually migrate your team to unlock with Microsoft. To specify which team members will unlock 1Password with Microsoft, select one of the options, depending on how you want to roll out unlock with SSO.

  • Niemand: Um „Mit Microsoft entsperren“ auszuschalten, wähle Niemand aus.
  • Only groups you select: Only the team members in groups you choose will sign in with Microsoft. Learn how to use custom groups in 1Password Business. If you use this option, keep in mind that:
    • New users who are in a selected group when they join 1Password will use their Microsoft username and password.
    • New users who aren’t in a selected group will create an account with an account password and Secret Key.
    • If you use automated provisioning, group membership can change before someone first signs in. Learn more about interactions between automated provisioning and SSO.
  • Everyone except: groups you exclude: All team members, except owners and groups you choose to exclude, will sign in with Microsoft. If you use this option, keep in mind that:
    • Existing users in this scope will be prompted to switch to Unlock with Microsoft.
    • New users, except those in excluded groups, will use their Microsoft username and password when joining 1Password.
    • Owners will sign in with an account password and Secret Key.
  • Everyone except: guests: All team members, except owners and guests, will sign in with Microsoft. All existing users will be prompted to switch to Unlock with Microsoft, and all new users will use their Microsoft username and password when joining 1Password. Guests and owners will sign in with an account password and Secret Key.
  • Alle: Gäste und alle Teammitglieder, außer Eigentümern, melden sich bei Microsoft an. Alle bestehenden Nutzer werden aufgefordert, zu „Entsperren mit Microsoft“ zu wechseln und alle neuen Nutzer verwenden ihren Microsoft-Nutzernamen und ihr Passwort, wenn sie sich bei 1Password anmelden.

3.2: Eine Nachfrist festlegen

Teammitglieder, die bereits 1Password-Konten haben, müssen zu „Entsperren mit Microsoft“ wechseln. Gib die Anzahl der Tage an, bevor die Teammitglieder wechseln müssen. Beachte Folgendes, wenn du die Nachfrist festlegst:

  • Standardmäßig ist die Nachfrist auf 5 Tage festgelegt. Sie kann auf 1 bis 30 Tage festgelegt werden.
  • The grace period begins as soon as you define the scope for Unlock with Microsoft. This includes when you add a group to the Only groups you select list or when you apply the requirement to everyone (including “Everyone except” options). You’ll see the grace period listed next to each group configured to unlock with Microsoft.
  • Wenn ein Teammitglied zu mehr als einer Gruppe gehört, wird seine Nachfrist durch die erste mit SSO eingerichtete Gruppe bestimmt, auch wenn die Nachfristen für diese Gruppen unterschiedlich sind.
  • If you add a team member who hasn’t set up unlock with SSO to a group with an expired grace period, you or another administrator will need to recover their account so they can sign in again using SSO.
  • Wenn du die Länge der Nachfrist bearbeitest, wird sie ab dem ursprünglichen Datum verlängert oder verkürzt, das du für das Entsperren der Gruppe mit SSO konfiguriert hast, .
  • Wenn du nach der Ersteinrichtung mehr Teammitglieder zum Entsperren mit Microsoft konfigurieren musst, erstelle eine neue angepasste Gruppe mit einer aktiven Nachfrist. So wird sichergestellt, dass neu zugewiesene Teammitglieder ihre Konten nicht wiederherstellen müssen.

Wichtig

Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit Microsoft“ wechselt, kann es sich nicht auf seinen Geräten bei seinem Konto anmelden und muss einen Administrator kontaktieren, um sein Konto wiederherzustellen. Das Teammitglied wechselt zu „Entsperren mit Microsoft“ während des Wiederherstellungsvorgangs.

Optional: Füge 1Password zur Microsoft My Apps-Seite hinzu

Du kannst 1Password zur Seite Meine Apps hinzufügen, damit dein Team schnell eure Anmeldeadresse von dort aus öffnen kann:

  1. Melde dich im Microsoft Azure-Portal an. 
  2. Select Microsoft Entra ID, then select Enterprise applications in the sidebar.
  3. Select the 1Password EPM enterprise application.
  4. Select Single sign-on in the sidebar.
  5. Wähle Verknüpft für die Single Sign-On-Methode.
  6. Gib die Anmeldeadresse deines Teams in das Feld „Sign-on-URL“ ein.
  7. Wähle Speichern aus.

Next steps

To use Unlock with Microsoft yourself, follow the steps to switch to Unlock with SSO. Share the following resources with your team members so they can set up their accounts:

Benutzerhandbuch

Tipp

Wenn dein IT-Team eine Richtlinie hat, die Browserdaten beim Schließen eines Browsers löscht, schließe die Anmeldeadresse deines Teams von dieser Richtlinie aus, um sicherzustellen, dass deine Teammitglieder den Zugriff auf ihre verknüpften Browser nicht verlieren.

You can also encourage your team to link other apps and browsers to their accounts, like the 1Password desktop app, after they sign up or switch to unlock with SSO.

Manage settings

To manage your settings, sign in to your account on 1Password.com, then select Manage policies under Configure Identity Provider.

Tipp

You can add the 1Password logo to the 1Password application in Microsoft to visually identify it.

Konfiguration

To change your configuration with Microsoft, select Edit Configuration, then follow the onscreen instructions to set up Unlock with SSO. You can only set up one identity provider to unlock with SSO. When you’ve finished making changes, select Review Changes, then select Save.

Du kannst eine Identitätsanbieterkonfiguration erst speichern, nachdem du die Verbindung erfolgreich getestet hast. Änderungen werden nicht gespeichert, wenn du dich nicht erfolgreich bei Microsoft authentifizieren kannst. Dies verhindert, dass du den Zugriff auf 1Password verlierst.

Personenzuweisungen und Biometrie

Select Edit at the bottom of the settings page to change which users are assigned to unlock 1Password with Microsoft. Learn more about best practices for biometrics and offline access

  • To edit who can unlock with Microsoft, choose an option in Who can unlock 1Password with an identity provider.

    For a comparison of scope options and rollout guidance, see Step 3.1 in this article. To turn off Unlock with Microsoft, select No one.

  • To edit the grace period, set the number of days before team members must switch to unlocking with Microsoft.

    For details about how grace periods work and what happens when they expire, see Step 3.2 in this article.

  • Um Teammitgliedern das Entsperren mit Touch ID, Face ID, Windows Hello und anderen biometrischen Merkmalen zu ermöglichen, wähle die Option Zulassen, dass Personen 1Password mit biometrischen Merkmalen entsperren. Gib die Anzahl der Tage oder Wochen an, bevor du erneut aufgefordert wirst, dich bei Microsoft anzumelden.

    Wenn biometrisches Entsperren eingeschaltet ist, haben deine Teammitglieder bis zum angegebenen Zeitraum offline Zugriff auf 1Password. Nach Ablauf des Zeitraums ist der Zugriff auf den Tresor nur noch online möglich.

Wähle Änderungen überprüfen aus, um deine Auswahl zu verifizieren und wähle dann Speichern aus.

Aktualisiere das Entra ID-Anwendungsgeheimnis

Bevor dein Entra ID-Anwendungsgeheimnis abläuft, musst du ein neues Geheimnis erstellen und es in deinen 1Password-Einstellungen aktualisieren. Wir empfehlen dir, das Geheimnis mindestens einige Tage vor dem Ablaufdatum zu rotieren, um sicherzustellen, dass dein Team weiterhin 1Password mit Entra ID entsperren kann.

  1. Open the App registrations page in the Microsoft Azure portal.
  2. Wähle deine 1Password-App-Registrierung aus und wähle dann Zertifikate und Geheimnisse in der Seitenleiste aus.
  3. Select New client secret, enter a name in the Description field, and select Add.
  4. Select the copy button beside the Value field to copy the new secret.
  5. Öffne eine neue Browser-Registerkarte oder ein neues Fenster und melde dich an, bei deinem Konto auf 1Password.com.
  6. Wähle in der Seitenleiste Richtlinien aus.
  7. Select Manage under Configure Identity Provider.
  8. Select Edit Configuration.
  9. Füge das neue Geheimnis in Entra ID in das Feld Anwendungsgeheimnis ein.
  10. Scrolle nach unten und wähle Testverbindung aus.
  11. After the test succeeds, select Save Configuration.
  12. Go back to the “Certificates & secrets” page in Entra ID and select the trash beside the old secret to delete it.

Set reminders to rotate secrets

You can set reminders to rotate secrets before they expire to help prevent lockouts and disruption to your workflows:

  • Store secrets and set expiry alerts in 1Password: Create an item in 1Password for your Entra ID client secret and configure built-in expiry alerts to remind you when a secret is going to expire.
  • Schedule calendar or project management reminders: Add a client secret rotation task to a shared calendar at least a few days before the secret expires, or track it in your project management system (like Jira or Asana) to prevent lockouts.

Unterstützung erhalten

If a team member is moved from a group that unlocks with Microsoft to one that doesn’t, their account will be taken through the recovery process. They’ll be prompted to create an account password and download their Emergency Kit, then you’ll need to complete their recovery.

If your team is having issues with Conditional Access policies and you’re using a public application in Entra ID, you’ll need to update your integration.

Wenn du oder einer deiner Nutzer die Meldung „400: Ungültiger Nutzerinformationen-Endpunkt oder -Anfrage“ siehst, wenn du die Verbindung zu Entra ID testest oder eine App oder einen Browser zum ersten Mal mit deinem 1Password-Konto verknüpfst, stelle sicher, dass der DisplayName, GivenName oder FamilyName des Nutzers in Entra ID keines der folgenden Zeichen enthält: <>%\"\\;[]{}

If you’re having trouble setting up Unlock with SSO for your organization, learn how to troubleshoot your configuration.

Unterstützung erhalten, wenn du zu einem neuen Identitätsanbieter wechseln musst, nachdem du „Entsperren mit SSO“ eingerichtet hast.

Mehr erfahren


Published: