6 Minutit
Microsoft muudab ettevõtete autentimise haldamist, viies Microsoft Entra ID profiilipõhisele passkey-süsteemile, mis toob kaasa sünkroonitud passkeyd ja uue passkeyType seade. See uuendus lubab administraatoritel saada peenemat kontrolli autentimisressursside üle ning pakub sujuvamat teed traditsioonilistest paroolidest eemaldumiseks. Uuenduse eesmärk on hõlbustada paroolivaba autentimist, parandada ettevõtte turvapoliitikaid ning toetada skaleeritavat juurutamist suuremates IT-keskkondades.
Mis muutub: uus profiilimudel ja passkeyType
Alates 2026. aasta märtsist liigub Microsoft Entra ID uuele skeemile, mis toetab natiivset passkey-profiilide haldust. See uuendus lisab pühendatud passkeyType atribuudi, mille kaudu saavad administraatorid selgelt määrata, kas lubatakse seadusega seotud passkeyd (device-bound), sünkroonitud passkeyd (synced) või mõlemad. Selle muudatuse eesmärk on anda organisatsioonidele täpsem kontroll autentimisobjektide üle, tagades samal ajal tagasivõetavuse ja koostalitluse olemasolevate sätetega.
Oluline on märkida, et olemasolevad FIDO2 konfiguratsioonid ei kao: need migreritakse uude vaikimisi profiili, et säilitada järjepidevus ja minimeerida operatiivset katkestust. See migreerimisprotsess on kavandatud nii, et võtmetingimused, piirangud ja kasutajapõhised reeglid jäävad alles, võimaldades administraatoritel hiljem vajadusel profiile ja passkeyType seadeid täpsustada. Lisaks toetab uus arhitektuur grupipõhist sihtimist, mis annab võimaluse rakendada erinevaid passkey poliitikaid eraldi ärivaldkondadele, meeskondadele või kasutajarollidele.
Miks see administraatorite jaoks oluline on
Profiilipõhine lähenemine asendab varasema, kogu tenantile kehtinud FIDO2 seadistuse paindlikumate ja grupi-sihitavate kontrollidega. See tähendab, et ettevõtted saavad rakendada autentimise konfigureerimist täpsemalt, vaikimisi sätted võivad erineda sõltuvalt nõuetest nagu atesteerimise nõudmine. Näiteks organisatsioonid, mis praegu nõuavad atesteerimist, seatakse vaikimisi kasutama seadmega seotud passkeysid, mis ei liigu seadmete vahel ning pakuvad kõrgetasemelist kompromissivastast kaitset.
Samal ajal tenantidel, kus atesteerimist ei rakendata, võimaldatakse nii seadme-põhiseid kui ka sünkroonitud passkey-sid, et toetada kasutusmugavust ja mitmeseadmelist tööd. Migreerimise käigus säilitatakse kõik olemasolevad võtmepiirangud ja kasutajapõhised poliitikad, mis vähendab ülemineku ajal tekkida võivaid katkestusi autentimisel või juurdepääsuhalduses. See võimaldab turva- ja IT-meeskondadel planeerida järkjärgulist üleminekut, testida erinevaid profiile pilootgruppides ning üle minna laiapõhjalisele juurutusele siis, kui organisatsioon on valmis.
Registreerimise kampaaniad ja lihtsustatud meeldetuletused
Microsofti haldatavad registreerimiskampaaniad liiguvad fookusest, mis seni prioriseeris Microsoft Authenticatorit, suunatumalt passkeyde propageerimise juurde tenantides, kus on lubatud sünkroonitud passkeyd. See muutus tõstab passkey kasutuselevõttu, kuna kampaaniad laienevad nüüd vaikimisi kõigile kasutajatele, kes on võimelised kasutama mitmetasemelist autentimist (MFA). Laiem sihtrühm tähendab, et ettevõtte tasandil saab passkey kasutuselevõtt toimuda kiiremini ja laiemalt, mis omakorda toetab paroolivaba strateegiat.
Administraatori kontrollid registreerimispromptide osas muutuvad samuti lihtsamaks. Microsoft eemaldas varasemad parameetrid, nagu piiratud ärkvelolekute arv ja ärkveloleku kuupäevade lubamine, ning liikus ühe mudeli poole, mis lubab piiramatuid ärkvelolekuid koos ööpäevase meeldetuletussagedusega. See muudatus on mõeldud haldusotsuste lihtsustamiseks, hoides samas kasutajatele järjepidevat meeldetuletust registreerumise soodustamiseks.
Praktiliselt tähendab see, et IT-administraatorid ei pea enam keerukalt häälestama erinevaid snooze-ajad või piiranguid igale kasutajarühmale — ühtlane lähenemine vähendab valesti konfigureerimise riski ja tagab, et kasutajate meeldetuletused registreerimiseks jäävad piisavalt sagedaseks, ilma et see muutuks häirivaks. Samuti annab see identiteedi- ja juurdepääsuhaldusele (IAM) parema aluse mõõdikute kogumiseks ja kampaaniate edukuse hindamiseks, näiteks kui palju kasutajaid on lisanud passkeyd, millal ja millistes geograafilistes piirkondades vastuvõtt kõige kiiremini toimub.
Ajakava ja juurutuse detailid
- General Availability ehk globaalne juurutus algab 2026. aasta märtsi alguses.
- Automaatne lubamine tenantidele, kes ei vali eelnevalt käsitsi osalemist, on planeeritud alates 2026. aasta aprillist.
- Valitsuse pilvekeskkonnad (GCC, GCC High, DoD) järgnevad viivitatud graafikule, kus automaatne migratsioon on plaanitud 2026. aasta juuniks.
Administraatorid leiavad täpsemat teavet Microsoft Admin Centerist, sõnumi ID MC1221452 alt. Soovitatav on, et IT- ja turvameeskonnad loeksid läbi täpse teavituse ja migratsiooni juhised, planeeriksid testkeskkondades kontrollitud üleminekuid ning määratleksid taastamis- ja komunikatsiooniplaanid kasutajatele. Lisaks tuleks uuendada siseprotseduure, koolitusmaterjale ja tugidokumentatsiooni, et toetada lõppkasutajate sujuvat üleminekut passkey autentimisele.
Kus see sobitub laiemasse turvatrendi
See samm peegeldab laiemat tööstuse suundumust paroolidest eemaldumise poole, suunates organisatsioonid paroolivaba autentimise ja passkey lahenduste poole. Passkeyd on võtmekomponent paroolivabas autentimises: need on kalduvuseta õngitsemise suhtes (phishing-resistant) ning ei pea füüsiliselt või digitaalselt jagama sama võtme kasutamist mitmete veebilehtede vahel, mis vähendab korduvkasutuse ja volitamata ligipääsu riske. Passkeyd võivad olla kas seadmega seotud või sünkroonitud pilves, sõltuvalt organisatsiooni turvanõuetest ja kasutusjuhtudest.
Oluline on rõhutada, et passkeyd ei pruugi asendada kõiki olemasolevaid autentimismeetodeid kohe ega üheselt; pigem kujunevad need tugevamaks alternatiiviks nii tarbijate kui ettevõtete keskkondades. Microsofti profiilipõhine arhitektuur püüab muuta passkeyde juurutamise skaleeritavamaks ja kohandatavamaks keerukate organisatsioonipoliitikate puhul, pakkudes samal ajal tööriistu migreerimise haldamiseks ja kasutuselevõtu kiirendamiseks.
Kujutlege, et organisatsioon saab juurutada kaasaegset, õngitsemiskindlat autentimist, säilitades samal ajal olemasolevad poliitikad ja kasutajate sihtrühmad — see on lubadus, mida Entra ID profiilipõhised passkeyd püüavad täita. Lisaks turvavõtmetele on oluline planeerida ka haldus- ja auditivõimekused: logimine, jälgitavus, integratsioon SIEM-süsteemidega ning vastavus nõuetele nagu CCPA, GDPR või riikide spetsiifilised turvallisusstandardid.
Tehnilisi detaile arvestades on tõenäoline, et administraatorid soovivad kontrollida järgmisi aspekte enne laiemat üleminekut: kuidas passkeyd integreeruvad olemasolevate SSO (single sign-on) lahendustega, kuidas lahendatakse taastamine ja juurdepääs kadunud seadme korral, millised on nõuded atesteerimise ja võtmete ohutuks säilitamiseks ning kuidas hallata eri profiile ja nende prioriteete organisatsiooni sees. Enamikul juhtudel tasub planeerida pilootprojekti, määrata KPI-d nagu registreerimisprotsent, autentimise latentsus ja tugipiletite arv, ning jälgida kasutajate tagasisidet ja probleemide mustreid.
Lõpuks tuleb arvestada, et passkeyde ja profiilide edukas juurutus nõuab koostööd turbe-, identiteedi- ning lõppkasutaja tugimeeskondade vahel. Korralik kommunikatsiooniplaan, selged juhendid ning kasutajatoe ressursid aitavad vähendada segadust ja kiirendada migratsiooni, muutes selle nii turvalisemaks kui ka kasutajasõbralikumaks.
Allikas: neowin
Jäta kommentaar