Passkey profily v Microsoft Entra ID postupně nahrazují původní FIDO2 / passkey ověřovací politiky. Tyto původní FIDO2 / passkey ověřovací politiky totiž měly jen velmi malé možnosti přizpůsobení. Hlavní omezení bylo, že mohlo existovat pouze jedno nastavení na celý tenant. Pokud jste tedy chtěli mít možnost nastavit různé požadavky pro různé skupiny uživatelů, tak to nebylo možné. A přesně tento problém řeší passkey profily.
Co jsou passkey profily v Microsoft Entra ID
Passkey profily umožňují detailní cílení různých požadavků na FIDO2 / passkey. Už není nutné mít jedno nastavení pro všechny uživatele, ale různí uživatelé mohou mít různá pravidla a omezení.
Typickým příkladem je například oddělení administrátorů a běžných uživatelů. U administrátorů pravděpodobně budete chtít přísnější požadavky, takže například budete vyžadovat pouze passkey vázané na konkrétní zařízení (device-bound) splňující atestaci. U běžných uživatelů pak umožníte třeba i synchronizované passkey bez atestace.
Synchronizované passkey
Druhou velkou novinkou, která přichází spolu s passkey profily, je již zmíněná možnost synchronizovaných passkey. Doteď bylo možné používat jen passkey vázaná na konkrétní zařízení (device-bound), což prakticky znamenalo pouze passkey v aplikaci Microsoft Authenticator. Nově již bude možné používat i synchronizované passkey v rámci aplikací třetích stran – typicky různí správci hesel jako Bitwarden, 1Password, iCloud Keychain, Google Password Manager apod.
Synchronizované passkey přináší významné usnadnění adopce passkey u běžných uživatelů, protože již nebude vyžadována aplikace Microsoft Authenticator. Synchronizované passkey lze navíc přenášet mezi zařízeními, takže jednou nastavený passkey je možné použít jak na mobilu tak i například na počítači nebo tabletu. A v případě výměny zařízení není nutné passkey znovu vytvářet.
Se synchronizací jsou ale spojena i rizika. Synchronizace typicky probíhá přes soukromý účet daného uživatele, nad kterým firemní IT nemá žádnou kontrolu. Veškerá ochrana daného passkey a tedy ochrana firemního účtu daného uživatele závisí na tom, jak dobře je zabezpečen daný soukromý účet, do kterého byl passkey uložen.
Dostupnost passkey profilů
Globální dostupnost passkey profilů je plánovaná na březen 2026. Do té doby jsou passkey profily v public preview.
V rámci globální dostupnosti Microsoft během dubna až května ve všech tenantech nahradí současnou konfiguraci FIDO2 / passkey novými passkey profily. V rámci public preview je možné si passkey profily aktivovat předem a tím se vyhnout následné automatické aktivaci ze strany Microsoftu.
Pokud si organizace neaktivuje passkey profily sama, Microsoft počínaje dubnem 2026 převede současnou FIDO2 / passkey konfiguraci do nového výchozího passkey profilu.
Pokud organizace v tuto chvíli má vynucenou atestaci, v novém výchozím passkey profilu bude atestace také vynucená, což znamená, že synchronizované passkey nebudou uživatelům k dispozici. Pokud organizace v současné konfiguraci atestaci vynucenou nemá, nový výchozí passkey profil umožní uživatelům nastavit a používat i synchronizované passkey, což může být nežádoucí změna.
Změny v registrační kampani
Další důležitou změnou, která se k tomu váže, je změna ve fungování registrační kampaně.
Pokud povolíte synchronizované passkey a MFA registrační kampaň je nastavená na Microsoft-managed, uživatelé mohou být vyzváni k registraci passkey. V takovém případě se změní požadovaná metoda v rámci registrační kampaně z Microsoft Authenticator na passkey pro všechny uživatele, kteří mají registrovanou nějakou MFA metodu.
| Nastavení | Původní hodnota | Nová hodnota |
|---|---|---|
| Cílová ověřovací metoda | Microsoft Authenticator | Passkey |
| Cílení uživatelé | Uživatelé s MFA přes SMS nebo telefonní hovor | Všichni uživatelé s libovolnou MFA metodou |
| Odložení registrace | Konfigurovatelné | Neomezené možnosti odložení s denním připomínáním |
