Microsoft починає впроваджувати підтримку ключів доступу для Microsoft Entra на пристроях під керуванням Windows. Нові можливості забезпечують автентифікацію без пароля, захищену від фішингу, за допомогою Windows Hello.
Етапи розгортання
Функція є добровільною і входить у відкритий превью з середини березня до кінця квітня 2026 року для глобальних тенантів. Хмарні середовища державного сектору (GCC, GCC High і DoD) отримують доступ до функції пізніше — з середини квітня до середини травня.
Важливо, що нова функція розширює безпарольну автентифікацію й на некеровані пристрої Windows. До цього особисті та спільні пристрої були змушені покладатися на традиційну автентифікацію з паролем, що істотно підвищувало ризики безпеки.
Як працюють ключі доступу в Entra
За поясненням Microsoft у центрі повідомлень Microsoft 365, оновлення дозволяє створювати прив’язані до пристрою ключі доступу, що зберігаються у контейнері Windows Hello. Для входу користувачі можуть використовувати розпізнавання обличчя, відбитків пальця або PIN-коду — ті самі методи, що вже сьогодні підтримуються Windows Hello.
Створені ключі доступу криптографічно прив’язані до пристрою і ніколи не передаються мережею. Це означає, що зловмисники не можуть викрасти їх під час фішингових атак чи через шкідливе ПЗ, щоб обійти багатофакторну автентифікацію.
Обмеження та умови використання
Microsoft уточнила: кожен обліковий запис Entra реєструє власний ключ доступу на кожному пристрої, а на одному пристрої можуть співіснувати кілька облікових записів. Проте ключі доступу прив’язані до конкретного пристрою і не синхронізуються між пристроями, тому при вході з нового пристрою потрібна окрема реєстрація.
Налаштування для IT-адміністраторів
Щоб долучитися до відкритого превью, IT-адміністратори мають виконати три кроки: увімкнути метод автентифікації «Ключі доступу (FIDO2)» у політиках автентифікації Entra, створити профіль ключів доступу з необхідними AAGUID Windows Hello, а також призначити його відповідним групам.
Ширша відмова від паролів: попередня історія
Microsoft послідовно розширює підхід «насамперед без пароля». У травні 2025 року компанія оголосила, що всі нові облікові записи Microsoft стануть «безпарольними за замовчуванням» — захист від фішингу, перебору паролів і атак з підбором облікових даних. Роком раніше, у 2024 році, автентифікація за допомогою ключів доступу з’явилася і для особистих облікових записів Microsoft — після того, як у Windows 11 22H2 було додано вбудований менеджер ключів доступу для Windows Hello.
