Microsoft werkt aan een nieuwe manier om gebruikers op Windows-apparaten aan te laten melden bij Microsoft Entra. Het bedrijf introduceert ondersteuning voor passkeys die samenwerken met Windows Hello, waardoor organisaties hun afhankelijkheid van traditionele wachtwoorden verder kunnen verminderen.
De nieuwe functionaliteit richt zich volgens BleepingComputer op het bieden van een aanmeldmethode die beter bestand is tegen phishingaanvallen.
De uitrol van de functie start als optionele public preview tussen half maart en eind april 2026 voor organisaties wereldwijd. Omgevingen binnen de overheidscloud, zoals GCC, GCC High en het Amerikaanse ministerie van Defensie, volgen later met een previewperiode van half april tot half mei. Beheerders moeten de functionaliteit zelf activeren voordat gebruikers ermee kunnen werken.
Met de introductie van passkeys kunnen medewerkers zich aanmelden bij Entra-beveiligde diensten via Windows Hello. Dat betekent dat authenticatie plaatsvindt met biometrische herkenning, zoals een vingerafdruk of gezichtsherkenning, of met een pincode. De bijbehorende sleutel wordt lokaal op het apparaat opgeslagen in de beveiligde omgeving van Windows Hello.
Volgens Microsoft biedt deze aanpak betere bescherming tegen phishing en andere vormen van accountmisbruik. De cryptografische sleutel die bij een passkey hoort verlaat het apparaat niet. Daardoor kan deze niet worden onderschept via een nepwebsite of gestolen door malware die probeert inloggegevens buit te maken.
Passkeys werken ook buiten Entra-beheerde systemen
Een belangrijk verschil met eerdere implementaties is dat de methode ook werkt op Windows-systemen die niet aan Entra zijn gekoppeld of daarin geregistreerd zijn. Daardoor kunnen medewerkers ook op persoonlijke of gedeelde apparaten zonder wachtwoord inloggen bij bedrijfsresources. Voor organisaties die veel met externe apparaten of bring-your-own-device-scenario’s werken, kan dit een belangrijke stap zijn richting volledig wachtwoordloze toegang.
Per apparaat wordt voor elk Entra-account een aparte passkey aangemaakt. Meerdere accounts kunnen dus op één systeem worden gebruikt, maar de sleutels blijven gekoppeld aan het specifieke apparaat waarop ze zijn aangemaakt. Synchronisatie tussen apparaten is niet mogelijk, waardoor gebruikers zich op elk nieuw systeem opnieuw moeten registreren.
Om de functionaliteit te gebruiken moeten beheerders de FIDO2-passkeymethode inschakelen binnen het authenticatiebeleid van Entra. Daarna kan een passkeyprofiel worden aangemaakt dat gekoppeld is aan Windows Hello. Vervolgens kan dit profiel aan gebruikers of groepen binnen de organisatie worden toegewezen.
De introductie past in Microsofts bredere strategie om wachtwoorden geleidelijk uit te faseren. Het bedrijf kondigde eerder aan dat nieuwe Microsoft-accounts standaard zonder wachtwoord worden ingericht. Daarmee wil Microsoft organisaties beter beschermen tegen phishing, brute-force-aanvallen en grootschalige misbruikpogingen met gelekte inloggegevens.