9 Minute
Microsoft schimbă modul în care companiile gestionează autentificarea, migrând Microsoft Entra ID către un sistem bazat pe profiluri pentru passkey-uri, care va introduce chei de autentificare sincronizate și o nouă setare passkeyType. Actualizarea promite un control mai granular, o gestionare mai flexibilă a politicilor de autentificare și o tranziție mai lină de la parolele tradiționale către soluții de autentificare fără parolă, sporind astfel securitatea identității în mediile enterprise.
Ce se schimbă: un nou model de profil și passkeyType
Începând din martie 2026, Microsoft Entra ID va trece la un nou schema care suportă nativ profiluri pentru passkey-uri. Upgrade-ul introduce o proprietate dedicată passkeyType pentru a permite administratorilor să specifice explicit dacă sunt permise chei legate de dispozitiv (device-bound passkeys), chei sincronizate (synced passkeys) sau ambele tipuri. Această claritate la nivel de proprietate face politica de autentificare mai predictibilă și mai ușor de administrat în scenarii complexe de guvernanță a identității.
Configurațiile existente FIDO2 nu vor dispărea: ele vor fi migrate într-un profil implicit nou pentru a păstra continuitatea operațională. Migrarea păstrează setările critice, restricțiile de cheie și politicile targetate pe utilizatori pentru a minimiza timpul de nefuncționare și riscul de perturbare în procesele de autentificare enterprise.
Pe lângă schimbarea structurii de stocare, noul model de profil oferă opțiuni mai bune pentru audit, raportare și integrarea cu politici de identitate și acces (IAM), incluzând scenarii de conformitate și cerințe pentru atestare. De asemenea, arhitectura profilelor facilitează versionarea setărilor și testarea controlată în grupuri pilot înainte de un deployment la scară largă.
De ce contează acest lucru pentru administratori
Abordarea bazată pe profiluri înlocuiește setările FIDO2 vechi, aplicate la nivel de tenant, cu controale mai flexibile care pot fi direcționate către grupuri specifice sau profiluri de utilizatori. Acest lucru înseamnă că organizațiile pot aplica politici diferite pentru departamente, roluri sau categorii de utilizatori, creând un echilibru între securitate și experiența utilizatorului. Administratorii au astfel posibilitatea de a implementa politici de acces adaptative și de a combina autentificarea fără parolă cu politici de Multi-Factor Authentication (MFA) și acces condițional.
Organizațiile care aplică în prezent cerința de atestare vor migra implicit spre passkey-uri legate de dispozitiv, deoarece aceste passkey-uri sunt corelate cu asigurarea că hardware-ul sau modulul de securitate oferă garanții suplimentare (de exemplu, TPM sau echivalent). În schimb, tenant-ii care nu impun atestarea vor permite atât passkey-uri legate de dispozitiv, cât și passkey-uri sincronizate, oferind flexibilitate suplimentară pentru utilizatorii care vor să acceseze conturile de pe mai multe dispozitive personale.
Toate restricțiile de chei curente, politicile vizate pe utilizatori și setările de compatibilitate vor fi păstrate în timpul migrării, reducând astfel riscul de incidente sau de blocare accidentală a conturilor. Pentru echipele de securitate, aceasta înseamnă că se pot planifica teste, controale post-migrare și audituri fără a sacrifica continuitatea serviciului.
Campanii de înregistrare și mesaje de înscriere simplificate
Campaniile de înregistrare gestionate de Microsoft vor trece de la prioritizarea Microsoft Authenticator la promovarea passkey-urilor în tenant-ii unde cheile sincronizate sunt activate. Obiectivul este creșterea adoptării autentificării fără parolă prin informarea și ghidarea utilizatorilor în registrarea cheilor de autentificare, inclusiv a celor sincronizate, care permit utilizarea aceluiași credential pe mai multe dispozitive autorizate.
Audiența implicită a acestor campanii se extinde pentru a include toți utilizatorii care pot folosi autentificarea multifactor (MFA), ceea ce crește acoperirea și potențialul de adoptare în organizații mari. Aceasta implică mesaje targetate, notificări în portalul de acces și ghiduri de implementare care încurajează migrarea către metode rezistente la phishing.
Controalele administrative pentru mesajele de înregistrare au fost și ele simplificate. Microsoft elimină opțiunile pentru un 'număr limitat de amânări' și 'zile permise pentru amânare' și trece la un model unic care permite amânări nelimitate, cu o frecvență de reamintire la fiecare o zi. Această schimbare urmărește reducerea complexității decizionale pentru administratori, menținând în același timp o frecvență suficientă a notificărilor pentru a încuraja înregistrarea.
Modelul de notificări unificat e conceput pentru a echilibra presiunea de adoptare (prin reamintiri constante) cu flexibilitatea pentru utilizatorii care sunt temporar indisponibili. Totodată, echipele IT pot aplica politici complementare, cum ar fi blocarea treptată a accesului pentru utilizatorii care nu își înregistrează metodele de autentificare în termene stabilite, în funcție de cerințele interne de securitate.
Detalii privind calendarul și implementarea
- Disponibilitatea Generală (global rollout) începe la începutul lunii martie 2026.
- Activarea automată pentru tenant-ii care nu optează explicit să rămână pe vechea configurație este programată să înceapă în aprilie 2026.
- Mediile cloud guvernamentale (GCC, GCC High, DoD) au un calendar decaladat; migrarea automată este planificată pentru iunie 2026.
Administratorii pot găsi detalii suplimentare în Microsoft Admin Center sub Message ID MC1221452. Acolo sunt disponibile ghiduri de migrare, scenarii recomandate pentru pilotare și liste de verificare pentru compatibilitate cu aplicațiile enterprise, inclusiv provocările comune și soluțiile sugerate pentru managementul cheilor FIDO2 versus passkey.
Planificarea rollout-ului ar trebui să includă etape de inventariere a aplicațiilor (pentru a identifica compatibilitatea FIDO2/passkey), comunicarea internă pentru utilizatori, pregătirea echipelor de suport și rularea unor piloturi controlate care să verifice interoperabilitatea cu SSO, aplicații legacy și fluxuri de autentificare personalizate. De asemenea, recomandăm aplicarea unei strategii pentru rollback în cazul în care anumite aplicații critice întâmpină probleme neașteptate.
Unde se încadrează această schimbare în tendințele de securitate
Această mișcare face parte dintr-o tendință largă a industriei de a migra de la parole către passkey-uri — credentiale rezistente la phishing care nu pot fi reutilizate pe site-uri diferite. Passkey-urile folosesc mecanisme criptografice moderne (chei publice/private) și sunt proiectate să ofere o experiență securizată și mai prietenoasă pentru utilizator. Implementarea lor în cadrul ecosistemelor consumer și enterprise reduce suprafața de atac legată de parole compromise, inginerie socială și phishing.
În multe organizații, passkey-urile nu vor înlocui imediat toate metodele de autentificare, ci vor coexista cu soluții existente, incluzând parolele protejate prin MFA, token-urile hardware și soluțiile SSO. Totuși, pe măsură ce infrastructura pentru chei sincronizate și pentru gestionarea profilelor devine mai matură, acestea pot deveni metoda preferată pentru accesul de zi cu zi, în special pentru utilizatorii mobili și pentru scenarii BYOD (Bring Your Own Device).
Arhitectura bazată pe profiluri a Microsoft își propune să facă implementarea passkey-urilor mai scalabilă și mai adaptabilă la nevoile organizațiilor complexe. Aceasta include suport pentru politici diferențiate pe departamente, raportare detaliată pentru conformitate și integrare cu sisteme de detectare a anomaliilor și răspuns la incidente (SIEM, XDR), astfel încât adoptarea nu compromite capabilitățile de monitorizare și control.
Gândiți-vă la scenariul în care o organizație poate rula o campanie pilot pentru passkey-uri sincronizate la un subset de angajați, poate ajusta politicile de atestare și poate extinde treptat funcționalitatea, menținând în același timp regulile existente pentru utilizatorii rămași pe FIDO2. Aceasta este promisiunea migrării Entra ID către profiluri pentru passkey-uri: autentificare modernă, rezistentă la phishing, păstrând în același timp politicile și țintele de utilizatori existente.
Din perspectiva securității cibernetice enterprise, introducerea unui model de profiluri și a proprietății passkeyType permite implementarea unor strategii de hardening mai nuanțate, cum ar fi obligația de atestare pentru anumite roluri privilegiate, permiterea cheilor sincronizate pe dispozitive personale pentru roluri non-critice și monitorizarea centralizată a utilizării cheilor pentru a detecta anomalii sau posibile compromiteri.
În practică, echipele de identitate ar trebui să evalueze interdependențele cu alte componente precum gestionarea dispozitivelor (MDM), gestionarea punctelor finale, politica de acces condițional, precum și cerințele de conservare și audit. Integrarea acestor elemente va determina succesul unei strategii de migrare la autentificare fără parolă și la adoptarea pe scară largă a passkey-urilor în cadrul organizației.
Pe lângă beneficiile de securitate, adoptarea passkey-urilor sincronizate poate îmbunătăți experiența utilizatorului final prin eliminarea necesității de a memora sau introduce parole complexe și prin reducerea întârzierilor cauzate de resetările de parolă. Aceasta reduce volumul de solicitări către echipa de suport IT și poate scădea costurile asociate cu managementul identității.
În concluzie, migrarea Entra ID la profile de passkey-uri reprezintă un pas important către o strategie modernă de autentificare fără parolă, oferind simultan flexibilitate administrativă, compatibilitate cu FIDO2 existent și un cadru pentru adoptarea pe termen lung a autentificării rezistente la phishing. Organizațiile ar trebui să pregătească o strategie de implementare care să includă evaluarea aplicațiilor, pilotarea, comunicarea internă și monitorizarea continuă pentru a valorifica pe deplin beneficiile acestei tranziții.
Sursa: neowin
Lasă un Comentariu