Vanaf april 2026 schakelt Microsoft Entra ID automatisch passkey-profielen in voor alle tenants. Een grote stap richting wachtwoordloos inloggen. Wat betekent dit voor jouw organisatie en wat moet je nu al regelen?
Microsoft maakt een van de meest ingrijpende veranderingen in enterprise-authenticatie in jaren. Vanaf april 2026 schakelt Microsoft Entra ID automatisch passkey-profielen in voor alle tenants die dit nog niet zelf hebben gedaan. Voor organisaties die niet proactief handelen, worden de instellingen automatisch toegepast.
Een passkey vervangt het wachtwoord volledig. Bij het aanmaken van een passkey worden twee cryptografische sleutels gegenereerd: een publieke sleutel die wordt opgeslagen bij Microsoft, en een privésleutel die op het apparaat van de gebruiker blijft. Bij het inloggen bewijst het apparaat dat het de bijbehorende privésleutel bezit, zonder dat de sleutel zelf ooit verstuurd wordt.
Voor de gebruiker is het simpel: inloggen met gezichtsherkenning, vingerafdruk of een pincode op hun vertrouwde apparaat. Er is geen wachtwoord om te onthouden, geen MFA-code te kopiëren. En cruciaal: passkeys kunnen niet worden onderschept via phishing, omdat de sleutel nooit het apparaat verlaat.
Microsoft maakt onderscheid tussen twee typen passkeys. Gesynchroniseerde passkeys worden opgeslagen in de cloud van de passkey-provider, zoals iCloud Keychain van Apple of Google Password Manager, en zijn automatisch beschikbaar op alle apparaten van de gebruiker. Dit is ideaal voor medewerkers die werken met meerdere apparaten.
Apparaat-gebonden passkeys blijven op één specifiek apparaat en kunnen niet worden gesynchroniseerd. Dit type biedt maximale beveiliging en is de standaard voor tenants die al attestatie afdwingen, zoals organisaties in de financiële sector of overheid.
Een van de meest praktische nieuwe functies is de ondersteuning voor groepsgebaseerde passkey-profielen. Admins kunnen nu passkey-beleid per gebruikersgroep instellen in plaats van een tenantbreed beleid. Dit maakt gefaseerde uitrolstrategieën mogelijk: begin met de IT-afdeling, breid dan uit naar management, en daarna naar alle medewerkers.
Ten eerste: opt-in vroegtijdig. Door nu al vrijwillig de passkey-profielen in te schakelen, behoud je controle over de configuratie en voorkom je verrassingen in april. Ga in het Entra-beheercentrum naar Beveiliging > Authenticatiemethoden > Passkey (FIDO2) en schakel het profiel in.
Ten tweede: bekijk bestaande FIDO2-instellingen. Bestaande FIDO2-configuraties worden automatisch gemigreerd naar een standaard passkey-profiel. Tenants die attestatie afdwingen, worden automatisch ingesteld op apparaat-gebonden passkeys. Controleer of dit overeenkomt met jouw beveiligingsvereisten.
Ten derde: communiceer met medewerkers. De overstap naar passkeys is voor eindgebruikers eenvoudig, maar vraagt wel een eenmalige registratie. Plan een registratiecampagne met duidelijke instructies voor iOS, Android en Windows Hello.
Passkeys zijn phishing-resistent en worden door Microsoft Entra herkend als sterke authenticatiemethode. Dit heeft directe gevolgen voor Conditional Access-beleid: inloggen met een passkey voldoet automatisch aan vereisten voor phishing-resistent MFA, waardoor extra prompts overbodig worden. Dit verbetert de gebruikerservaring aanzienlijk.
Wil je hulp bij het configureren van passkeys of het uitrollen van een wachtwoordloos beleid voor jouw organisatie? Neem contact op met Zarioh Digital Solutions.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
