Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft rozpoczął wdrażanie obsługi Microsoft Entra Passkeys na urządzeniach z Windows, rozszerzając strategię uwierzytelniania bezhasłowego o natywną integrację z Windows Hello. Nowa funkcja umożliwia tworzenie kluczy dostępu powiązanych z urządzeniem i wykorzystywanie ich do logowania do zasobów chronionych przez Microsoft Entra ID bez użycia tradycyjnych haseł.
Z perspektywy cyberbezpieczeństwa to istotna zmiana, ponieważ model passkey ogranicza ryzyko związane z phishingiem, kradzieżą poświadczeń i ponownym wykorzystaniem przejętych danych logowania. Zamiast przesyłania sekretu przez sieć użytkownik potwierdza tożsamość lokalnie, za pomocą biometrii lub kodu PIN.
W skrócie
- Microsoft wdraża obsługę Entra Passkeys na Windows od końca kwietnia 2026 roku.
- Pełna dostępność rozwiązania ma zostać osiągnięta do połowy czerwca 2026 roku.
- Klucze są przechowywane lokalnie w kontenerze Windows Hello i powiązane z urządzeniem.
- Funkcja działa także w scenariuszach obejmujących urządzenia prywatne, współdzielone oraz niezarejestrowane w Entra.
- Administratorzy mogą kontrolować użycie mechanizmu przez polityki metod uwierzytelniania i Conditional Access.
Kontekst / historia
Microsoft od kilku lat rozwija strategię passwordless, promując uwierzytelnianie odporne na phishing jako docelowy standard ochrony tożsamości. Jest to odpowiedź na utrzymującą się skalę ataków wykorzystujących wykradzione hasła, credential stuffing, kampanie reverse proxy phishing oraz nadużycia dotyczące kont chmurowych i federowanych.
Dotychczas najsilniejsze scenariusze bezhasłowe w ekosystemie Microsoft były kojarzone przede wszystkim z Windows Hello for Business i fizycznymi kluczami bezpieczeństwa FIDO2. W praktyce część organizacji nadal musiała polegać na hasłach w środowiskach mieszanych, zwłaszcza tam, gdzie użytkownicy korzystali z urządzeń prywatnych, współdzielonych lub niezarządzanych.
Wdrożenie Entra Passkeys na Windows ma zlikwidować tę lukę operacyjną. Rozwiązanie rozszerza wykorzystanie standardu FIDO2 na kolejne scenariusze biznesowe i upraszcza wdrażanie silnego uwierzytelniania w środowiskach hybrydowych oraz modelach BYOD.
Analiza techniczna
Technicznie mechanizm opiera się na kluczach dostępu FIDO2 tworzonych lokalnie na urządzeniu i przechowywanych w bezpiecznym kontenerze Windows Hello. Prywatny materiał kryptograficzny pozostaje na endpointcie, a podczas logowania do usługi przekazywany jest jedynie dowód kryptograficzny potwierdzający tożsamość użytkownika.
Uwierzytelnienie odbywa się przez lokalny gest, taki jak rozpoznawanie twarzy, odcisk palca lub kod PIN Windows Hello. Takie podejście znacząco różni się od klasycznego logowania hasłem, w którym użytkownik przekazuje sekret podatny na przechwycenie przez fałszywą stronę, złośliwe oprogramowanie lub infrastrukturę pośredniczącą w ataku.
Warto odróżnić Entra Passkeys na Windows od Windows Hello for Business. Oba rozwiązania korzystają z Windows Hello jako lokalnego mechanizmu potwierdzenia tożsamości, ale pełnią inną rolę operacyjną. Entra Passkeys służą do logowania do zasobów chronionych przez Microsoft Entra ID przy użyciu klucza FIDO2 związanego z urządzeniem, natomiast Windows Hello for Business może obejmować również logowanie do samego systemu i szersze scenariusze jednokrotnego logowania.
Nowe rozwiązanie ma również istotny wymiar administracyjny. Organizacje mogą kontrolować możliwość rejestracji i użycia passkeys za pomocą polityk metod uwierzytelniania oraz reguł Conditional Access. Ułatwia to wdrożenia etapowe, ograniczanie dostępu do wybranych grup i łączenie nowej metody z politykami ryzyka, zgodności urządzeń oraz kontekstu logowania.
Konsekwencje / ryzyko
Najważniejszą korzyścią jest ograniczenie zależności od haseł, które nadal pozostają jednym z głównych wektorów kompromitacji tożsamości. Passkeys utrudniają phishing, ponieważ użytkownik nie wpisuje sekretu, który mógłby zostać przechwycony i ponownie użyty przez atakującego.
Dla organizacji korzystających z modelu BYOD zmiana ma szczególne znaczenie. Użytkownicy mogą uzyskać bezhasłowy dostęp do zasobów korporacyjnych bez konieczności pełnego dołączania urządzenia do środowiska zarządzanego. To poprawia wygodę pracy i jednocześnie zmniejsza ryzyko związane ze słabymi lub wielokrotnie wykorzystywanymi hasłami.
Nowy model nie eliminuje jednak wszystkich zagrożeń. Bezpieczeństwo nadal zależy od stanu endpointu, jakości polityk dostępu warunkowego, ochrony przed malware oraz właściwego zarządzania procesami odzyskiwania dostępu. W środowiskach współdzielonych pojawia się także konieczność kontrolowania cyklu życia kluczy i usuwania zbędnych poświadczeń.
Ryzyko ma również wymiar operacyjny. Organizacje mogą napotkać problemy związane z gotowością zespołów wsparcia, niejednoznacznymi procedurami awaryjnymi, przestarzałymi politykami uwierzytelniania lub konfliktami z istniejącymi wymaganiami zgodności. W efekcie powodzenie wdrożenia zależy nie tylko od technologii, lecz także od jakości governance i procesów.
Rekomendacje
Organizacje planujące wdrożenie powinny rozpocząć od przeglądu polityk uwierzytelniania w Microsoft Entra ID i wskazania grup, które najbardziej skorzystają z nowego mechanizmu. Dobrym kandydatem do pilotażu są użytkownicy mobilni, pracownicy korzystający z urządzeń prywatnych, administratorzy oraz zespoły wysokiego ryzyka.
Warto zweryfikować konfigurację Conditional Access, aby upewnić się, że passkeys są dopuszczone wyłącznie w akceptowalnych scenariuszach ryzyka. Najlepsze efekty przynosi połączenie tego modelu z oceną ryzyka logowania, politykami zgodności urządzeń i dodatkowymi sygnałami telemetrycznymi dotyczącymi tożsamości.
Kluczowe znaczenie mają procedury operacyjne. Organizacja powinna przygotować proces rejestracji passkeys, instrukcje dla użytkowników końcowych, zasady usuwania kluczy z urządzeń współdzielonych oraz scenariusze awaryjne na wypadek utraty urządzenia lub niedostępności biometrii. Niezbędne jest także przeszkolenie helpdesku, aby potrafił rozróżniać problemy wynikające z Windows Hello, polityk Entra i dostępu warunkowego.
Od strony defensywnej nie należy rezygnować z ochrony endpointów, monitorowania anomalii logowania i zasad least privilege. Passkeys podnoszą poziom bezpieczeństwa tożsamości, ale nie zastępują EDR, kontroli sesji ani segmentacji uprawnień.
Podsumowanie
Microsoft Entra Passkeys na Windows to ważny krok w kierunku szerszego wdrożenia uwierzytelniania odpornego na phishing w środowiskach firmowych. Rozwiązanie rozszerza bezhasłowy model logowania na urządzenia firmowe, prywatne i współdzielone, również poza klasycznym scenariuszem pełnego zarządzania endpointem.
Dla organizacji oznacza to możliwość realnego zmniejszenia powierzchni ataku związanej z hasłami i uproszczenia dostępu do zasobów chronionych przez Microsoft Entra ID. Skuteczność wdrożenia będzie jednak zależeć od właściwej konfiguracji polityk, przygotowania procesów operacyjnych oraz dojrzałości całego programu bezpieczeństwa tożsamości.
Źródła
- BleepingComputer — Microsoft to roll out Entra passkeys on Windows in late April — https://www.bleepingcomputer.com/news/microsoft/microsoft-to-roll-out-entra-passkeys-on-windows-in-late-april/
- Microsoft Learn — Enable Microsoft Entra passkey on Windows devices (preview) — https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-authentication-entra-passkeys-on-windows
- Microsoft Learn — Support for Passkeys in Windows — https://learn.microsoft.com/en-us/windows/security/identity-protection/passkeys
- Microsoft Learn — Plan a phishing-resistant passwordless authentication deployment in Microsoft Entra ID — https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-deploy-phishing-resistant-passwordless-authentication
- Microsoft Learn — How to enable passkeys (FIDO2) in Microsoft Entra ID — https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-authentication-passkey-profiles