Microsoft внедряет поддержку ключей доступа (passkey) для Microsoft Entra на устройствах под управлением Windows, добавляя устойчивую к фишингу безпарольную аутентификацию через Windows Hello.
Эта функция является добровольной и войдет в общедоступную предварительную версию с середины марта по конец апреля 2026 года для клиентов по всему миру. Облачные среды для государственных учреждений (GCC, GCC High и DoD) последуют с периодом развертывания с середины апреля по середину мая.
Примечательно, что это также расширяет безпарольный вход на неуправляемые устройства Windows, устраняя пробел, из-за которого личные и общие устройства ранее полагались на аутентификацию на основе пароля.
“Мы представляем ключи доступа Microsoft Entra на Windows для обеспечения входа в защищенные Entra ресурсы, устойчивого к фишингу. Это обновление позволяет пользователям создавать ключи доступа, привязанные к устройству и хранящиеся в контейнере Windows Hello, и проходить аутентификацию с использованием методов Windows Hello (лицо, отпечаток пальца или ПИН-код)”, — объясняет Microsoft в центре сообщений Microsoft 365.
“Это также расширяет безпарольную аутентификацию на устройства Windows, которые не присоединены к Entra и не зарегистрированы в нем, помогая организациям усилить безопасность и снизить зависимость от паролей”.
Сгенерированные ключи доступа криптографически привязаны к устройству и никогда не передаются по сети, поэтому злоумышленники не могут украсть их при фишинговых атаках или атаках с использованием вредоносного ПО для обхода многофакторной аутентификации.
Microsoft добавила, что каждая учетная запись Entra будет регистрировать свой собственный ключ доступа на одно устройство, и на одной машине могут сосуществовать несколько учетных записей. Однако ключи доступа привязаны к устройству и не могут синхронизироваться между устройствами, поэтому для каждой учетной записи Entra потребуется отдельная регистрация.
Чтобы принять участие в общедоступной предварительной версии, ИТ-администраторам необходимо включить метод аутентификации Passkeys (FIDO2) в политиках методов аутентификации Entra, создать профиль ключа доступа с требуемыми AAGUIDs Windows Hello и назначить его соответствующим группам.
В мае 2025 года Microsoft объявила, что все новые учетные записи Microsoft будут “по умолчанию безпарольными” для защиты от фишинга, атак методом перебора и атак с использованием украденных учетных данных.
Годом ранее компания внедрила поддержку аутентификации по ключам доступа для личных учетных записей Microsoft после добавления встроенного менеджера ключей доступа для Windows Hello с обновлением функций Windows 11 22H2.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
