10 Minutės
Microsoft keičia įmonių autentifikacijos valdymą – Microsoft Entra ID pereina prie profilio pagrįstos passkey (prisijungimo raktų) sistemos, kuri įtrauks sinchronizuojamus raktus ir naują passkeyType parametrą. Šis atnaujinimas žada detalesnį administravimo valdymą, didesnį lankstumą ir sklandesnį perėjimą nuo tradicinių slaptažodžių prie modernesnių, atsparių phishing atakoms autentifikacijos metodų.
Kas keičiasi: naujas profilio modelis ir passkeyType
Nuo 2026 m. kovo Microsoft Entra ID pereis prie naujos schemos, kuri natūraliai palaiko passkey profilius. Tai reiškia, kad autentifikacijos nustatymai nebebus valdomi vien tenant lygiu vienu bendru nustatymu, o galės būti priskiriami skirtingiems profiliams pagal grupes, komandų poreikius ar saugumo reikalavimus. Pagrindinis atnaujinimo elementas – speciali passkeyType savybė, kuri leis administratoriams aiškiai nurodyti, ar leisti tik įrenginiui pririštus (device-bound) raktus, tik sinchronizuojamus raktus arba abu variantus vienu metu.
Esamos FIDO2 konfigūracijos nebus tiesiog pašalintos – jos bus perkelti į naują numatytąjį profilį, kad būtų užtikrinta tęstinumas. Tai reiškia, kad organizacijos neteks staigiai pakeisti visų savo autentifikacijos politikų; vietoje to konfigūracijos bus adaptuotos prie naujos profilio architektūros, o IT komandos galės laipsniškai perplanuoti politiką ir testuoti naujus nustatymus.
Techniniu požiūriu, passkey profiliai dažniausiai remiasi viešojo rakto infrastruktūra (public-key cryptography) ir saugiu autentifikacijos saugyklų mechanizmu, integruotu į platformos autentifikatorius arba naršyklių saugyklas. Sinchronizuojami raktai leidžia vartotojams turėti prieigą prie savo passkey skirtinguose įrenginiuose per patikimą debesies sinchronizaciją (pvz., per Microsoft Authenticator ar platformos paslaugas), tuo tarpu įrenginiui pririšti raktai išlieka lokaliai konkrečiame įrenginyje ir nereplikuojami debesyje.
Ką reiškia "device-bound" ir "synced" raktai
Device-bound (įrenginiui pririšti) raktai – tai autentifikavimo raktai, kurie yra saugomi ir veikia tik konkrečiame fiziniame ar virtualiame įrenginyje. Jie paprastai yra gludinami per įrenginio saugyklą (pvz., TPM arba saugi saugykla mobiliajame įrenginyje) ir reikalauja vietinės autentifikacijos (PIN, biometrika) prieš naudodami privatųjį raktą. Tokie raktai yra itin saugūs prieš nuotolines atakas, tačiau prarandant įrenginį naudotojas gali prarasti prieigą iki tol, kol nėra suplanuotos atkūrimo procedūros.
Synced (sinchronizuojami) raktai yra patogesni vartotojui – juos galima atkurti ir naudoti keliuose įrenginiuose per patikimą debesies sinchronizaciją. Tai palengvina vartotojų senario, kai darbuotojas dirba su keliais įrenginiais (darbalaukis, nešiojamas kompiuteris, telefonas, planšetė). Tačiau sinchronizacija reikalauja kruopštaus debesies saugumo ir privilegijų valdymo, kad sinchronizuojamų raktų kopijos nebūtų pažeidžiamos arba netinkamai panaudotos.
PasskeyType nustatymo įdiegimas leidžia organizacijoms pritaikyti politiką pagal skirtingas rizikas: greičiausiai griežtesnės sektoriaus dalys (pvz., finansai, sveikatos apsauga arba gynyba) pasirinks device-bound raktus su privaloma atestacija, o platesnės vartotojų grupės – leisti sinchronizuojamus raktus dėl patogumo ir mažesnės administravimo naštos.
Administratorių sąsajos ir API pokyčiai
Nors Microsoft dar turi paskelbti visus techninius API pakeitimus, tikėtina, kad profilio modelis bus pasiekiamas per Microsoft Admin Center ir Microsoft Graph API. Administratoriai galės valdyti passkey profilius, nustatyti passkeyType ir pritaikyti politiką grupėms ar skirtingiems organizacijos vienetams. Tokia integracija suteiks galimybę automatizuoti politikos diegimą, auditoriją ir ataskaitų teikimą bei derinti passkey nustatymus su esamomis sąlyginio prieigos (Conditional Access) taisyklėmis ir SSO (Single Sign-On) scenarijais.
Kodėl tai svarbu administratoriams
Profilio pagrindu veikiantis valdymas keičia seną praktiką, kai FIDO2 nustatymai buvo taikomi vienam tenantui visiems vartotojams. Naujas modelis suteikia didesnį lankstumą ir leidžia taikyti skirtingas autentifikacijos taisykles skirtingoms grupėms ar programoms, atsižvelgiant į riziką ir naudojimo scenarijus.
Organizacijos, kurios šiuo metu privalo vykdyti atestaciją (attestation), pagal numatytuosius nustatymus gaus device-bound raktų profilį. Tai reiškia, kad įmonės, turinčios aukštesnius saugumo reikalavimus, automatiškai išlaikys griežtesnę kontrolę. Priešingai, tenantai, kuriuose atestacija nėra privaloma, galės leisti abi passkey rūšis – tiek device-bound, tiek sinchronizuojamus raktus – taip palengvinant darbuotojų įsitraukimą ir priartinant be slaptažodžių autentifikaciją prie plačios vartotojų bazės.
Visos esamos raktų ribojimo taisyklės (key restrictions) ir vartotojams skirtos politikos bus išsaugotos migracijos metu. Tai sumažina trikdžių riziką ir leidžia IT administratoriui planuoti pereinamąjį laikotarpį be staigių pakeitimų. Praktinis patarimas – prieš masinę migraciją atlikti testavimą pilotiniuose profiliuose ir stebėti, ar sąveika su esamomis Conditional Access politikomis bei trečiųjų šalių SSO sprendimais vyksta sklandžiai.
Administratoriams rekomenduojama:
- Inventorizuoti esamas FIDO2 taisykles ir vartotojų grupes.
- Numatyti pilotinius profilius su skirtingais passkeyType nustatymais ir išbandyti juos su nedidelėmis vartotojų grupėmis.
- Peržiūrėti atestacijos (attestation) reikalavimus ir nuspręsti, kuriems vartotojams reikalingi įrenginiui pririšti raktai.
- Atnaujinti administravimo procedūras ir parengti dokumentaciją bei vartotojų pagalbos gaires apie passkey naudojimą ir atkūrimo scenarijus.
Registracijos kampanijos ir supaprastinti priminimai
Microsoft valdomos registracijos kampanijos keičia prioritetus: tenantuose, kuriuose įjungti sinchronizuojami raktai, pagrindinis propagavimo kanalas nebebus vien Microsoft Authenticator programėlė – kampanijos aktyviau skatins passkey naudojimą. Tai reiškia, kad vis populiaresnis taps be slaptažodžių (passwordless) autentifikacijos modelis, o organizacijos gaus platesnes galimybes pasiekti vartotojus ir didinti passkey priėmimą.
Numatytasis kampanijų auditorijos diapazonas taip pat plečiasi: vietoje riboto taikymo kampanijos bus rodomos visiems vartotojams, kuriems galima įjungti daugiafaktorinę autentifikaciją (MFA). Dėl to IT komandos turi pasiruošti didesniam registracijos srautui, iš anksto informuoti darbuotojus apie pokyčius, parengti mokomuosius resursus ir užtikrinti, kad vartotojų palaikymas būtų pasirengęs padėti pradiniame įnaudojimo etape.
Administratoriaus valdymas registracijos raginimams taip pat bus supaprastintas. Microsoft planuoja pašalinti parinktis „ribotas snooze kartų skaičius“ ir „dienų skaičius, kuriuos leidžiama snooze’inti“, ir pereiti prie vieningo modelio: neribotų atidėjimų (snooze) su vienos dienos priminimų dažnumu. Tokiu būdu administravimo sąsaja tampa paprastesnė, tačiau priminimai lieka nuoseklūs, kad vartotojai būtų nuolat skatinami užbaigti registraciją.
Tai turi dvi reikšmes praktikoje: administratoriui lengviau nustatyti ir palaikyti kampanijas, o vartotojui suteikiama daugiau laiko pasiruošti bei atlikti registraciją, be nuolatinio priverstinio primetimo. Vis tik rekomenduojama derinti tokius priminimus su vidaus komunikacijos strategija (el. laiškai, intranetas, mokymai), kad padidintumėte persiėmimą ir sumažintumėte vartotojų nusivylimą.
Kaip paruošti vartotojus
Įgyvendinant pasikeitimus verta parengti kelių lygių informavimo planą: trumpus pranešimus apie pokyčio datą, detalias instrukcijas, kaip registruoti passkey (ir kaip atkurti prieigą praradus įrenginį), bei DUK su atsakymais į dažniausiai užduodamus klausimus. Taip pat naudinga turėti parengtus eskalavimo kelius IT pagalbai, nes pirmosiomis savaitėmis gali kilti klausimų dėl įrenginių suderinamumo ir sinchronizacijos mechanizmo veikimo.
Laikotarpis ir diegimo detalės
- Bendroji prieinamumas (globalus diegimas) prasideda 2026 m. kovo pradžioje.
- Automatinis įgalinimas tenantams, kurie nepasirinks aktyvaus įsijungimo (opt-in), turėtų prasidėti 2026 m. balandį.
- Vyriausybinių debesų aplinkos (GCC, GCC High, DoD) turi atidėtą grafiką, o automatinė migracija numatyta 2026 m. birželį.
Administratoriai papildomą informaciją ir oficialius pranešimus gali rasti Microsoft Admin Centre pranešimų skiltyje, žinutės ID MC1221452. Svarbu reguliariai tikrinti Admin Center, nes Microsoft dažnai skelbia papildomus techninius patikslinimus, pataisas ar laiko grafiko atnaujinimus.
Praktiniai pasirengimo žingsniai prieš numatytus laikotarpius:
- Atlikite rizikos ir suderinamumo auditą: įsitikinkite, kad kritinės programos palaiko passkey pagrindu veikiančią autentifikaciją arba paruoškite hibridinį sprendimą.
- Paruoškite pilotines vartotojų grupes, kad patikrintumėte passkey profilių veikimą skirtingose darbo aplinkose (nuotolinis darbas, kanceliarinis darbas, BYOD scenarijai).
- Sukurkite monitoringo ir audito mechanizmus: stebėkite registracijos normas, klaidų ataskaitas, sinchronizacijos sėkmės rodiklius ir vartotojų palaikymo užklausas.
- Atnaujinkite incidentų atkūrimo planus, ypač dėl įrenginio praradimo ar sinchronizacijos pažeidimų scenarijų.
Kur tai dera platesniame saugumo trende
Šis Microsoft žingsnis yra dalis platesnės pramonės tendencijos – judėjimo nuo tradicinių slaptažodžių link passkey ir kitų be slaptažodžių autentifikacijos metodų. Passkey pagrįstos sistemos pasižymi didesniu atsparumu phishing atakoms, nes jos naudoja viešojo rakto kriptografiją ir negali būti tiesiog perduodamos arba pakartotinai panaudojamos kituose tinklalapiuose ar paslaugose. Tai mažina riziką, susijusią su slaptažodžių nutekėjimu, prievartavimu ar socialinės inžinerijos atakomis.
Vis dėlto svarbu suprasti, kad šis perėjimas nėra visiškas ir momentinis „slaptažodžių išnaikinimas“ – tai strategiškai suplanuotas procesas, kuriame passkey tampa stipresne alternatyva arba papildomu sluoksniu vartotojo autentifikacijoje. Įmonės gali pasirinkti mišrios autentifikacijos strategijas: tam tikroms programoms ir vartotojams taikyti griežtesnes, įrenginiui pririštas autentifikacijas, o kitoms – patogesnius, sinchronizuojamus passkey sprendimus.
Microsoft profilio pagrindu sukurta architektūra yra orientuota į skalę ir pritaikomumą. Ji leidžia IT organizacijoms diegti passkey į dideles vartotojų grupes, palaikyti skirtingų saugumo poreikių vienu metu ir integruoti passkey su esamomis saugumo priemonėmis: Conditional Access, SSO, identiteto apsaugos politikomis ir auditavimo sprendimais. Toks požiūris mažina diegimo išlaidas ir sudėtingumą, nes leidžia centralizuotai valdyti profilius ir taikyti juos pagal organizacijos struktūrą.
Be to, ši migracija kalba apie platesnius industrinius standartus: FIDO2, WebAuthn ir passkey koncepcijos sulaukia vis didesnio palaikymo tiek įrenginių gamintojų, tiek naršyklių kūrėjų. Todėl daugelis vartotojų jau turi arba netrukus turės įrenginius, palaikančius passkey funkcijas, o tai dar labiau paskatins perėjimą prie saugesnių autentifikacijos praktikų.
Galvokite apie tai kaip apie galimybę įdiegti modernią, phishing atakoms atsparią autentifikaciją, išlaikant esamas politikos nuostatas ir vartotojų auditorijas. Entra ID migracija į passkey profilius suteikia platformą, kuri leidžia palaipsniui ir kontroliuojamai pereiti prie be slaptažodžių ateities, mažinant rizikas ir išlaikant veiklos tęstinumą.
Apibendrinant, svarbu planuoti, testuoti ir komunikuoti: techniniai sprendimai turi eiti kartu su aiškiomis politika, vartotojų mokymais ir palaikymo mechanizmais. Toks holistinis požiūris užtikrins, kad passkey diegimas taps ne tik saugesnis, bet ir priimtinesnis kasdienėje įmonės veikloje.
Šaltinis: neowin
Palikite komentarą