10 Minuty
Microsoft mění způsob, jakým podniky spravují autentizaci, přechodem Microsoft Entra ID na profilový systém passkey. Tento model zavádí synchronizované passkey a nové nastavení passkeyType, které slibuje jemnější kontrolu nad metodami přihlášení a plynulejší cestu od tradičních hesel k moderním bezheslovým metodám autentizace.
Co se mění: nový profilový model a passkeyType
Od března 2026 přejde Microsoft Entra ID na nové schéma, které nativně podporuje profilové passkey. Aktualizace zavádí dedikovanou vlastnost passkeyType, která administrátorům umožní explicitně povolit pouze zařízení-vázané passkey, pouze synchronizované passkey nebo obě varianty současně. Stávající konfigurace FIDO2 nezmizí; budou migrovány do nového výchozího profilu, aby byla zajištěna kontinuita provozu a kompatibilita s existujícími nastaveními identit a přístupu.
Nový profilový model rozšiřuje možnosti řízení identity tím, že dává IT týmům jemnější nástroje pro cílení politiky na skupiny, organizace nebo jednotlivé uživatele. Místo jediného nastavení platného pro celý tenant lze nyní definovat více profilů s různými parametry nasazení, úrovněmi bezpečnosti a možnostmi levnější správy na úrovni oddělení. To přináší flexibilitu při uplatňování bezpečnostních zásad, při plánování pilotních programů a při postupném přechodu uživatelů na nové bezheslové metody autentizace.
Technicky řečeno, passkeyType funguje jako explicitní parametr v rámci profilu spravovaného v Entra ID. Device-bound passkey znamenají klíče vázané na konkrétní zařízení nebo bezpečnostní modul zařízení, což často zahrnuje podporu hardwarového úložiště klíčů nebo bezpečného prvku. Synchronizované passkey využívají cloudovou synchronizaci, která umožňuje přihlášení z více zařízení bez nutnosti opětovné registrace na každém z nich. Volba mezi těmito módy má přímý vliv na uživatelskou zkušenost, nároky na infrastrukturu i regulační a bezpečnostní požadavky organizace.
V praxi budou existující FIDO2 politiky převedeny do výchozího profilu, čímž se minimalizuje riziko přerušení služeb. Administrátoři získají přístup k detailním možnostem konfigurace, jako je nastavení attestation, správa certifikátů, omezení typů klíčů a integrace s dalšími bezpečnostními mechanismy, např. podmíněným přístupem (Conditional Access) nebo identity governance řešeními.
Proč je to důležité pro administrátory
Profilový přístup nahrazuje starší, tenantově-orientovaná nastavení FIDO2 flexibilnějším řešením, které lze cílit na konkrétní skupiny uživatelů, oddělení nebo scénáře použití. To je zásadní při velkých organizacích s různorodými bezpečnostními požadavky, kdy jednotné nastavení často neodpovídá realitě různých týmů a pracovních postupů.
Pro organizace, které dnes vyžadují attestation, bude výchozím režimem device-bound passkey. To znamená, že passkey budou primárně vázané na konkrétní hardware uživatele, což zvyšuje úroveň jistoty, že identita je chráněna v zařízení se splněnými bezpečnostními parametry. Naopak tenantům bez vynucené attestation bude povoleno používat buď device-bound, nebo synchronizované passkey, což přináší větší pohodlí uživatelům, kteří pracují napříč více zařízeními.
Během migrace budou zachovány současné omezení klíčů a politiky zaměřené na uživatele, takže stávající pravidla týkající se registrace, povolených typů klíčů, revokace a dalších bezpečnostních limitů zůstanou platná. To snižuje riziko nepředvídaných výpadků a umožní administrátorům provést přechod plánovaně: nejprve testování v pilotních skupinách, následované postupným rozšířením na širší uživatelskou základnu.
Další praktické dopady pro správce identit zahrnují integraci s auditními logy a reportingem. Profilový model podporuje podrobnější sledování používání passkey, chyb při registraci a autentizačních událostí, což je užitečné při forenzní analýze, plnění bezpečnostních standardů nebo při monitorování adopce nové technologie v rámci organizace. Administrátoři by měli také revidovat své procedury správy incidentů a obnovy účtů, protože přechod na passkey mění některé scénáře podpory, například obnovení přístupu uživatelů bez přístupu k původnímu zařízení.
V rámci identity a přístupu bude důležité zvážit, jak nový profilový model ovlivní stávající politiky Conditional Access, role-based access control (RBAC) a integrace s externími IAM nástroji. Doporučeným postupem je vytvoření kontrolovaných profilů pro testování a sledování vlivu na závislé služby, poté postupné rozšiřování povolení pro synchronizované passkey tam, kde to bezpečnostní kontext dovolí.
Registrační kampaně a zjednodušené výzvy
Microsoftem řízené registrační kampaně se přesunou od preferenční propagace Microsoft Authenticator k aktivnímu podporování passkey tam, kde je povolena synchronizace passkey. To znamená, že v tenantech s povolenými synchronizovanými passkey budou uživatelé dostávat cílené výzvy k registraci passkey, což má za cíl urychlit adopci a snížit závislost na tradičních MFA metodách založených na SMS nebo aplikacích. Výchozí publikum těchto kampaní se rozšiřuje tak, aby zahrnovalo všechny uživatele schopné používat vícefaktorovou autentizaci, čímž se zvýší dosah a potenciál pro masivní přijetí bezheslových metod v celé organizaci.
Součástí aktualizace je také zjednodušení administrátorských možností pro výzvy k registraci. Microsoft odstraňuje volby pro omezený počet odložení a počet dní, po které lze výzvu odložit; místo toho přechází na jeden model, který povoluje neomezená odložení s připomínkou každý den. Cílem je zjednodušit rozhodnutí správců a zároveň zajistit opakované a konzistentní připomínky uživatelům, což může zvýšit míru dokončených registrací bez nadměrného nastavování parametrů kampaní.
Pro provozovatele IT to znamená přehodnocení komunikačních strategií. Doporučuje se předem informovat uživatele o změně metod autentizace, vysvětlit výhody passkey v oblasti bezpečnosti a použitelnosti, a zajistit dostupnost podpory během přechodného období. Vhodné je vytvořit dokumentaci a krátké video návody, které ukážou, jak provést registraci passkey na různých platformách a jak funguje synchronizace mezi zařízeními.
Metody měření úspěšnosti kampaní zahrnují sledování míry registrací, chybovosti při registraci, počtu požadavků na podporu spojených s registrací a změn v počtu incidentů souvisejících s kompromitací účtů. Tyto metriky pomohou odhalit, kde je potřeba upravit komunikaci, školení nebo technické kroky, aby byla adopce plynulejší a bezpečnější.
Časování a detaily nasazení
- Všeobecná dostupnost (globální rollout) začíná na začátku března 2026.
- Automatické povolení pro tenanta, kteří se nedeklarují, je naplánováno na duben 2026.
- Vládní cloudové prostředí (GCC, GCC High, DoD) mají oddálené časování s automatickou migrací plánovanou na červen 2026.
Administrátoři najdou další podrobnosti v Microsoft Admin Center pod Message ID MC1221452. Doporučené kroky před nasazením zahrnují vyčlenění pilotních skupin, vytvoření plánů komunikace, kontrolu kompatibility aplikací třetích stran a revizi interních postupů pro obnovu přístupu uživatelů.
Praktický plán nasazení může vypadat následovně: nejprve vyčlenit pilotní skupinu zahrnující zástupce různých oddělení a typických uživatelských profilů, provést testování UX a kompatibility na hlavních platformách (Windows, macOS, iOS, Android), vyhodnotit analytiku a telemetrii, a teprve poté postupně rozšířit aktivaci na celou organizaci. Pro velké podniky je vhodné udělat několik vln nasazení a obsáhnout případné problémy s podpůrnými týmy dříve, než nastane globální migrace.
V případě vládních cloudů a regulovaných prostředí je třeba brát v úvahu dodatečné bezpečnostní a smluvní požadavky. V těchto prostředích může být nutné provést doplňkové audity, certifikace a revize nastavení attestation či správy klíčů, aby bylo možné splnit specifické regulační normative a smluvní povinnosti.
Další technické poznámky pro administrátory: při plánování migrace zvažte integraci s existujícími nástroji pro správu zařízení (MDM), protože device-bound passkey mohou vyžadovat součinnost s politikami zařízení. U synchronizovaných passkey je důležité zkontrolovat, jak poskytovatel synchronizace (např. platformní služby od výrobce OS) zpracovává šifrování a ochranu klíčů v cloudu.
Kde to zapadá do širšího trendu zabezpečení
Tento krok odráží širší průmyslový posun od hesel k passkey, což jsou pověření odolná proti phishingu a nepřenositelná mezi různými weby. Passkey vycházejí z modelu veřejného klíče, kde je soukromý klíč uložen bezpečně v zařízení uživatele nebo šifrovaném cloudovém úložišti, a server ukládá pouze veřejný klíč. To zásadně snižuje riziko, že útočník získá heslo a použije ho na jiných stránkách.
Namísto úplného nahrazení všech stávajících metod autentizace se passkey objevují jako silnější alternativa v rámci spotřebitelského i podnikového ekosystému. Jsou navrženy tak, aby splňovaly moderní požadavky na bezpečnost a použití: eliminují repetitivní zadávání hesel, snižují náklady na helpdesk spojené s resetováním hesel a poskytují lepší ochranu vůči phishingovým kampaním, které zneužívají lidský faktor.
Microsoftův profilový přístup usnadňuje škálovatelné nasazení passkey v komplexních organizacích s různými bezpečnostními nároky. Umožňuje kombinovat device-bound passkey tam, kde je priorita na maximalizaci bezpečnosti, a synchronizované passkey tam, kde je důraz kladen na uživatelský komfort a mobilitu. Tento kompromis pomáhá organizacím přecházet postupně, kontrolovaně a s možností rychlého přizpůsobení politiky v reálném čase.
Z technického hlediska jsou passkey kompatibilní s průmyslovými standardy jako FIDO2 a WebAuthn, což podporuje interoperabilitu mezi prohlížeči a platformami. To znamená, že investice do nasazení passkey je z dlouhodobého hlediska budoucím řešením, které může snížit závislost na proprietárních MFA produktech a zlepšit soulad s otevřenými standardy zabezpečení.
Při rozhodování o konkrétním modelu nasazení je dobré zvážit i aspekty jako ochrana osobních údajů, společné bezpečnostní scénáře a incident response procesy. Například v některých prostředích mohou zákonné nebo smluvní požadavky vyžadovat, aby privátní klíče byly uloženy pouze na lokálních zařízeních bez cloudové synchronizace, zatímco jiné organizace mohou preferovat pohodlí a dostupnost synchronizovaných passkey pro zaměstnance pracující vzdáleně a na více zařízeních.
Představa zavedení moderní, proti phishingu odolné autentizace současně se zachováním stávajících politik a cílení uživatelů je jedním z hlavních přínosů migrace Entra ID na profilové passkey. Organizace tím získává nástroj, jak efektivně zvýšit bezpečnost a současně zlepšit uživatelskou zkušenost bez radikálních změn v infrastruktuře.
Z hlediska dlouhodobé strategie identity a přístupu je přechod k passkey součástí transformace k modelu bezheslové autentizace a zero-trust bezpečnosti. Implementace profilových passkey umožní firmám lépe kontrolovat rizika, zjednodušit správu identit a postupně snižovat závislost na heslech, která jsou stále jedním z nejčastějších vstupních bodů kybernetických útoků.
Pro IT oddělení to představuje příležitost předvést hodnotu moderní správy identit: nižší náklady na zabezpečení, lepší uživatelský komfort a především významné snížení vektoru útoku spojeného s kompromitovanými hesly. Doporučení pro administrátory zahrnují plánování pilotů, revizi politik obnovy přístupu, integraci s existujícími IAM a MDM nástroji a školení uživatelů a podpůrných týmů.
Celkově lze říci, že přechod Microsoft Entra ID na profilové passkey je dalším logickým krokem v evoluci firemního zabezpečení a správy identit. Je navržen tak, aby organizacím poskytoval větší flexibilitu, lepší ochranu proti phishingu a snazší cestu k modernímu bezheslovému přihlášení bez toho, aby došlo k narušení existujících politik a provozních postupů.
Zdroj: neowin
Zanechte komentář