Microsoft добавит passkeys для Entra на Windows в конце апреля
Microsoft начнёт развёртывание поддержки passkeys для Microsoft Entra на Windows-устройствах в конце апреля 2026 года. Новая функция позволит использовать фишинг-устойчивую беспарольную аутентификацию для доступа к ресурсам, защищённым Microsoft Entra.
Общая доступность функции ожидается к середине июня 2026 года. Важное изменение в том, что passkeys будут работать не только на корпоративных устройствах, но и на личных, общих и неуправляемых Windows-компьютерах.
Пользователи смогут создавать device-bound passkeys, которые хранятся в контейнере Windows Hello. Для входа будут использоваться методы Windows Hello: распознавание лица, отпечаток пальца или PIN-код.
Администраторы смогут управлять новой возможностью через Conditional Access и Authentication Methods policies. Функция будет доступна организациям, где включён параметр Microsoft Entra ID with passkeys в Authentication Methods policy, а политики Conditional Access разрешают такой сценарий.
Microsoft уточняет, что passkeys можно будет использовать на Windows-устройствах, которые не присоединены и не зарегистрированы в Microsoft Entra. Это касается корпоративных, личных и общих устройств, если соответствующий доступ разрешён политиками организации.
Технически речь идёт о FIDO2 passkeys, которые сохраняются в защищённом локальном контейнере учётных данных. Эти ключи можно использовать только для аутентификации в Microsoft Entra ID через Windows Hello.
Это отличает новую функцию от Windows Hello for Business: она не предназначена для входа в само Windows-устройство, а работает именно как механизм аутентификации к Microsoft Entra ID.
Passkeys криптографически привязаны к конкретному устройству и не передаются по сети. Поэтому их нельзя просто перехватить при фишинговой атаке или украсть с помощью вредоносного ПО для обхода многофакторной аутентификации.
Изменение закрывает заметный пробел в защите Microsoft Entra. Ранее личные и общие Windows-устройства чаще оставались зависимыми от парольной аутентификации, что повышало риск компрометации учётных записей.
Контекст для этого решения важен: в последние месяцы злоумышленники активно атаковали Microsoft Entra SSO-аккаунты и использовали украденные учётные данные в SaaS-атаках с кражей данных. Microsoft также продолжает усиливать защиту Entra: в октябре 2024 года компания сообщила, что сделает регистрацию MFA обязательной при включённых security defaults.
Ранее Microsoft объявила и более широкий переход к беспарольной модели: с мая 2025 года новые Microsoft accounts должны создаваться как passwordless by default для защиты от brute-force, credential stuffing и фишинга.
Источник: BleepingComputer
