Passkeys v Microsoft Entra ID nově podporují aplikace třetí strany

Passkeys v Microsoft Entra ID nově podporují aplikace třetí strany

Microsoft oznámil, že od listopadu budou v Public Preview nové možnosti v rámci passkey authentication policies v Microsoft Entra ID. Více přímo v Message Center.

Podpora passkeys v aplikacích třetí strany

Co tyto nové politiky znamenají v praxi? Na první pohled se může zdát, že nejde o žádnou velkou změnu. Opak je ale pravdou. Tato změna má zásadní dopady na passkeys v Microsoft Entra ID. Nově totiž budou podporované passkeys v aplikacích třetích stran. Včetně synchronizovaných passkeys.

Nové passkey politiky v Microsoft Entra ID
Nové passkey politiky v Microsoft Entra ID

Doteď passkeys fungovaly jen v aplikaci Microsoft Authenticator. Nově bude možné použít libovolnou aplikaci, která umí ukládat passkeys, takže třeba správce hesel typu 1Password, Bitwarden, Apple Hesla, Google Authenticator apod.

Jedná se tedy o velkou změnu, na kterou je vhodné se připravit.

Jak se připravit na nové passkey politiky v Microsoft Entra ID

Pokud máte vynucenou atestaci, nic moc se pro vás nemění. Nově budete moct mít různé politiky pro různé skupiny uživatelů, ale požadavek na atestaci blokuje různé externí aplikace a správce hesel.

Pokud ale atestaci vynucenou nemáte, s novými politikami a s tím související změnou schématu uživatelé budou nově moci používat passkeys v aplikacích třetích stran. Včetně synchronizovaných passkeys. To může být pro mnoho organizací nežádoucí a je tedy potřeba ověřit, v jakém stavu je passkey politika v tuto chvíli.

Synchronizované passkeys – ano nebo ne?

Je potřeba si položit otázku, jestli jsou aplikace třetí strany včetně potenciálně synchronizovaných passkeys dobrý nápad nebo ne.

Obecně synchronizované passkeys jsou pořád mnohem lepší než jakákoliv jiná metoda ověření. Synchronizované passkeys jsou totiž pořád phishing-resistant metoda ověření, která je bezheslová. To je mnohem lepší než jakékoliv běžně používané metody. Pokud tedy stojíte před rozhodnutím, jestli povolit uživatelům používat například jejich oblíbený správce hesel pro passkeys nebo zůstat u hesla s push notifikací v Microsoft Authenticator, tak bychom doporučili jít cestou synchronizovaných passkeys.

Pokud ale máte striktní požadavky na zabezpečení (tak jako my 🙂 ) a používáte jen fyzické FIDO2 klíče, případně device-bound passkeys v Microsoft Authenticator, tak to je výrazně bezpečnější metoda ověření než synchronizované passkeys v aplikaci třetí strany.

Chcete tuto novinku probrat do detailu včetně možností konfigurace? Ozvěte se nám!