Vanaf april 2026 schakelt Microsoft automatisch passkey-profielen in voor Entra ID-tenants die dit nog niet handmatig hebben gedaan. Organisaties die hun FIDO2-beleid niet tijdig controleren, kunnen voor verrassingen komen te staan. Wat verandert er precies en wat moet u nu doen?
Microsoft heeft aangekondigd dat passkey-profielen in Microsoft Entra ID vanaf begin april 2026 automatisch worden ingeschakeld voor alle tenants die dit nog niet zelf hebben gedaan. De volledige automatische migratie loopt door tot eind mei 2026. Dit klinkt misschien als een achtergrondwijziging, maar voor organisaties met specifieke authenticatiebeleidsregels kan het directe gevolgen hebben voor eindgebruikers.
Een passkey is een wachtwoordloze authenticatiemethode gebaseerd op de FIDO2/WebAuthn-standaard. In plaats van een wachtwoord gebruikt een passkey een cryptografisch sleutelpaar: de privésleutel blijft op het apparaat of in een wachtwoordbeheerder, de publieke sleutel is opgeslagen bij de identiteitsprovider. Authenticeren verloopt via biometrie (vingerafdruk, gezichtsherkenning) of een pincode op het apparaat.
Entra ID ondersteunt twee soorten passkeys. Device-bound passkeys zijn gekoppeld aan één specifiek apparaat, vergelijkbaar met een beveiligingssleutel zoals een YubiKey. Synced passkeys worden gesynchroniseerd via een wachtwoordbeheerder zoals Apple Keychain, Google Password Manager of 1Password, waardoor ze op meerdere apparaten beschikbaar zijn.
Microsoft voert een nieuwe passkeyType-eigenschap in waarmee beheerders per gebruikersgroep kunnen instellen welk type passkey is toegestaan: alleen device-bound, alleen synced, of beide. Bestaande FIDO2-authenticatieconfiguraties worden automatisch gemigreerd naar een standaard passkey-profiel op basis van de huidige instellingen.
De migratie verloopt als volgt. Als 'attestation afdwingen' momenteel is ingeschakeld in uw FIDO2-beleid, worden gebruikers beperkt tot device-bound passkeys. Als attestation niet is afgedwongen, mogen gebruikers zowel device-bound als synced passkeys registreren. Organisaties die synced passkeys willen blokkeren vanwege compliancevereisten, moeten hun beleid vóór april expliciet aanpassen.
Gebruikers die nog geen passkey hebben geregistreerd, zullen vaker registratieprompts zien. Microsoft heeft de registratiecampagne vereenvoudigd: de oude instellingen voor 'beperkt aantal herinneringen' en 'snoozedagen' zijn vervangen door onbeperkt uitstellen met een dagelijkse herinnering. Eindgebruikers kunnen de registratie dus blijven uitstellen, maar de prompts blijven terugkomen totdat ze een passkey hebben ingesteld.
Voor organisaties in gereguleerde sectoren (financiën, zorg, overheid) is het belangrijk na te gaan of synced passkeys in lijn zijn met hun beveiligingsbeleid en nalevingsvereisten. Synced passkeys zijn gebruiksvriendelijker, maar het feit dat de privésleutel gesynchroniseerd wordt via een externe dienst (Apple, Google) kan op gespannen voet staan met strikte gegevenssouvereiniteitsvereisten.
Log in op het Microsoft Entra-beheercentrum en navigeer naar Beveiliging, Authenticatiemethoden, Policies, FIDO2-beveiligingssleutels. Controleer daar de attestation-instelling en bepaal of u alleen device-bound passkeys, alleen synced passkeys of beide wilt toestaan. Stel vervolgens een passkey-profiel in dat aansluit bij uw beveiligingsbeleid voordat de automatische migratie van Microsoft dit voor u doet.
Zarioh Digital Solutions helpt organisaties bij het beoordelen en configureren van hun Entra ID-authenticatiebeleid, inclusief de overgang naar wachtwoordloze authenticatie. Neem contact op voor een snelle beleidscheck.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
