微软近日宣布了其身份验证系统的一项重大升级计划。
作为全球领先的云计算和企业软件提供商,微软将在2026年3月起对其核心身份服务Microsoft Entra ID进行全面改革,自动为用户启用通行密钥配置文件功能,并推出云端同步支持,标志着企业级身份认证方式的深刻变革。
这一决策反映了当前网络安全领域的现实挑战。
传统密码认证体系存在多方面的安全隐患。
用户往往在不同平台重复使用相同或相似的密码,一旦某个服务平台遭到数据泄露,攻击者就能利用这些凭证对用户的其他账户发起攻击。
此外,密码认证容易成为网络钓鱼的目标,黑客通过伪造登录页面等手段诱骗用户输入凭证。
相比之下,通行密钥基于公钥密码学原理,用户无需记忆复杂密码,认证信息与特定设备绑定,本质上更难被窃取和滥用,具有更强的抗钓鱼能力。
微软的新方案包含两种通行密钥类型。
一是设备绑定的通行密钥,认证凭证仅存储在用户的特定设备上,提供最高级别的安全性但便携性受限;二是同步通行密钥,可在用户授权的多个设备间进行云端同步,兼顾安全性与易用性。
这种双模式设计充分考虑了不同用户群体的实际需求。
值得注意的是,微软在实施过程中采取了循序渐进的策略。
未主动选择加入新体验的组织将被自动迁移至通行密钥配置文件体系,但现有的FIDO2身份验证配置将被转移至新的默认配置文件中,确保服务连续性不受影响。
这种"软着陆"方式降低了迁移风险。
在管理层面,微软引入了名为passkeyType的新属性,使IT管理员能够根据不同用户组的实际需求,灵活配置允许使用的通行密钥类型。
对于启用强制认证的租户,系统将默认使用设备绑定的通行密钥以确保最高安全性;对于未启用强制认证的租户,则允许两种类型并存。
这一差异化策略考虑到了不同组织的风险承受能力和业务特点。
与此同时,微软简化了管理员对用户注册提示的控制模式。
原有的"有限推迟次数"和"允许推迟天数"设置将被移除,取而代之的是标准模型,允许用户无限次推迟注册,但系统将每天提醒一次。
这种设计在尊重用户自主性和推进安全升级之间找到了平衡点。
对于已启用同步通行密钥的租户,微软管理的注册宣传活动也将相应调整。
系统将把推广重点从Microsoft Authenticator应用转向通行密钥本身,并将默认宣传受众扩大至所有能够进行多重身份验证的用户,进一步加速无密码认证的普及。
这一举措的影响范围广泛而深远。
对于企业用户而言,通行密钥的推广将显著提升其信息系统的整体安全水平,降低因密码泄露导致的数据安全事件风险。
对于个人用户而言,无需记忆复杂密码的认证方式将大幅改善用户体验。
从行业角度看,微软的这一决策将进一步推动整个云计算和互联网行业从密码认证向通行密钥认证的转变,形成示范效应。
值得关注的是,微软同步推出了对设备安全性的更严格要求。
微软Authenticator应用将在2026年2月起主动检测并禁止越狱或Root设备的使用,虽然暂时仅影响工作或学校账户,但这反映了微软在强化端到端安全链条的决心。
这两项举措相辅相成,共同构建更加安全可信的身份认证生态。
身份认证体系的演进,既是技术升级,也是治理能力的升级。
微软推动Entra ID自动启用通行密钥配置文件,释放出无密码化将从“可选项”走向“默认项”的信号。
对各类组织而言,把握迁移窗口、完善分层策略与用户引导,将决定这一轮转型能否真正实现“更安全、更便捷、更可持续”的目标。