top of page
Search

Passkeys blir standard i Microsoft. Hva betyr det egentlig for din tenant?

  • Writer: Bjørnar Aassveen
    Bjørnar Aassveen
  • 12 minutes ago
  • 2 min read

Microsoft har lenge vært tydelige på hvor de vil: bort fra passord og over på phishing‑resistent autentisering. I mars 2026 tar de et stort steg videre.

Passkeys blir automatisk aktivert i alle Microsoft Entra ID‑tenanter, enten du er klar for det eller ikke.


I dette ser jeg på:

  • Hva passkeys faktisk er

  • Hva Microsoft egentlig skrur på

  • Forskjellen mellom en ny tenant og en etablert tenant med historikk

  • De forskjellige godkjente autentiserings metodene


Hva er en passkey?

En passkey er en phishing‑resistent autentiseringsmetode.I stedet for et passord (en delt hemmelighet), bruker passkeys et offentlig/privat nøkkelpar:

  • Den private nøkkelen lagres sikkert på brukerens enhet (PC, mobil, sikkerhetsnøkkel)

  • Den offentlige nøkkelen lagres i Microsoft Entra ID

  • Pålogging skjer ved at brukeren låser opp den private nøkkelen med biometrikk eller PIN

To typer passkeys du må vite om

Når Microsoft nå ruller ut passkey‑profiler, introduseres et viktig skille:

Device‑bound passkeys

  • Private nøkkel blir på én fysisk enhet

  • Ny registrering per enhet

  • Høyest kontroll

  • Tilsvarer klassisk FIDO2‑bruk

Synced passkeys

  • Private nøkkel synkroniseres via plattform (iCloud Keychain, Google Password Manager)

  • Registrer én gang – bruk på flere enheter

  • Mye enklere for sluttbruker

  • Mindre kontroll hvis du ikke styrer enhetskrav



Hva er det Microsoft faktisk skrur på?

Fra mars 2026:

  • Passkey profiles blir Global available (GA)

  • Tenanter som ikke aktivt har valgt å konfigurere dette, blir automatisk enablet.

  • Eksisterende FIDO2‑oppsett flyttes inn i en Default passkey profile

  • passkeyType settes basert på nåværende attestation‑status

I praksis betyr dette:

  • Har du ikke enforce attestation i dag?

    → Da blir synced passkeys tillatt som standard

  • Microsoft styrte registration campaigns begynner å oppfordre brukere til å registrere passkeys (Altså med mindre du har endret dette oppsettet selv)


Ny tenant vs. etablert tenant, stor forskjell i praksis


Nyopprettet tenant

En ny tenant uten historikk har ofte:

  • få eller ingen legacy MFA‑metoder

  • lite policy‑drift

  • enklere Conditional Access


Her kan passkeys:

  • innføres tidlig

  • styres via grupper

  • bygges riktig fra dag én

Dette er “drømmescenarioet” Microsoft ofte dokumenterer.


Etablert tenant med mange brukere

Her ser bildet ofte annerledes ut:

  • SMS‑MFA lever fortsatt

  • gamle unntak i Conditional Access

  • “MFA er på” betyr ofte bare Authenticator eller SMS

Problemet:

Hvis en konto allerede er kompromittert, og brukeren har lov til å registrere passkeys, kan angriperen registrere sin egen passkey.



At Microsoft nå skrur på passkeys som standard er i utgangspunktet en veldig god nyhet, men som med mye annet i Entra ID:

Default ≠ riktig for alle.

Passkeys er kommet for å bli. Spørsmålet er ikke om du skal ta dem i bruk, men hvordan.

Tar du kontroll nå, kan dette bli et av de største sikkerhetsløftene tenant en din har fått på lenge.



En komplett oversikt over godkjente autentiseringsmetoder i Microsoft: Microsoft Entra Authentication Overview - Microsoft Entra ID | Microsoft Learn


Oppdelt i phising resistent og ikke resistent.

  • Phishing‑resistente metoder

    • FIDO2 security keys / passkeys

    • Windows Hello for Business

    • Certificate‑based authentication (CBA)

  • Ikke phishing‑resistente metoder

    • SMS

    • Voice call

    • OTP (TOTP)

    • Push notifications i Authenticator


Ønsker du å dykke ned i teknikaliteter og oppsett? Anbefaler blogg postene fra Per Torben i AGDERINTHE.Cloud



Bjørnar&AI

 
 
 
bottom of page