Microsoft udělal další zásadní krok k bezheslové budoucnosti. Od 1. září 2026 se passkeys stávají výchozí metodou vícefaktorového ověřování v Microsoft Entra ID – a nativní ověřování přes SMS a telefonní hovory míří do důchodu. Navazujeme tím na naši jarní novinku o příchodu passkeys a Passkey Profiles: tentokrát ale nejde jen o nový způsob správy, ale o změnu výchozího chování pro úplně každou organizaci. Co přesně Microsoft oznámil a jak se připravit, aby přechod proběhl hladce a bez zbytečného tlaku na váš IT tým?
Microsoft udělal další zásadní krok k bezheslové budoucnosti. Od 1. září 2026 se passkeys stávají výchozí metodou vícefaktorového ověřování v Microsoft Entra ID – a nativní ověřování přes SMS a telefonní hovory míří do důchodu. Navazujeme tím na naši jarní novinku o příchodu passkeys a Passkey Profiles: tentokrát ale nejde jen o nový způsob správy, ale o změnu výchozího chování pro úplně každou organizaci. Co přesně Microsoft oznámil a jak se připravit, aby přechod proběhl hladce a bez zbytečného tlaku na váš IT tým?
Co Microsoft oznámil?
Microsoft Entra ID mění výchozí přihlašovací zážitek tak, aby ve výchozím stavu upřednostňoval phishingu odolné passkeys a snižoval závislost na snadno zneužitelných metodách, jako jsou SMS a hlasové hovory.
Ve zkratce:
- Od 1. září 2026 se začnou passkeys postupně zapínat jako výchozí metoda. Uživatelé, kteří dnes používají SMS nebo hovor, budou automaticky povoleni i pro passkeys a při dalším vícefaktorovém přihlášení dostanou výzvu k registraci passkey.
- Od 1. února 2027 Microsoft ukončí vlastní (nativní) doručování SMS a hlasových hovorů pro ověřování. SMS a hovor tak už nebudou standardní funkcí přímo v Entra ID.
- Organizace, které SMS nebo hovor přesto potřebují, si budou moci vybrat některého z telekomunikačních partnerů Microsoftu prostřednictvím Microsoft Security Store – náklady za tyto služby ale ponesou samy.
Microsoft všem zákazníkům doporučuje přejít na passkeys (nebo jinou phishingu odolnou metodu) co nejdříve.
Proč Microsoft končí se SMS a hovory?
Ověřování přes SMS a hovor stálo na sdílených tajemstvích a kanálech, které dnes útočníci stále častěji odposlouchávají, phishují nebo obcházejí sociálním inženýrstvím. Hrozby navíc zásadně změnily svou rychlost, rozsah i sofistikovanost:
- Podle Microsoftu dosahují phishingové kampaně poháněné umělou inteligencí míry prokliku až 54 % – oproti zhruba 12 % u tradičních kampaní. (Zdroj: Microsoft Digital Defense Report 2025.)
- Techniky jako SIM swapping a obcházení vícefaktorového ověřování jsou dnes dostupnější a snáze opakovatelné.
- Útok využívající kompromitovanou identitu dokáže s pomocí AI automatizovat průzkum, eskalaci oprávnění i boční pohyb sítí mnohem rychleji než člověk.
Právě proto je klíčové přejít na metody, které jsou odolné vůči phishingu už ze svého principu.
Co jsou passkeys a jaké typy Entra ID podporuje?
Passkeys nahrazují hesla i SMS kódy pomocí asymetrické kryptografie (veřejný a soukromý klíč) místo sdílených tajemství. Díky tomu jsou odolné vůči phishingu už v základu a zároveň nabízejí rychlejší a jednodušší přihlášení.
Microsoft Entra ID podporuje dva typy:
- Synchronizované passkeys – uložené ve správcích přihlašovacích údajů, například v iCloud Keychain nebo Google Password Manageru.
- Passkeys vázané na zařízení (device-bound) – například passkeys v aplikaci Microsoft Authenticator, Entra passkey ve Windows a bezpečnostní klíče FIDO2.
Klíčové termíny, které si pohlídejte
- 1. září 2026 – Passkeys se stávají výchozí metodou. Uživatelé se SMS/hovorem jsou automaticky povoleni pro passkeys a při dalším MFA jsou vyzváni k registraci.
- 18. září 2026 – Microsoft zveřejní seznam podporovaných telekomunikačních partnerů včetně cen a obchodních podmínek (přes Microsoft Security Store).
- 30. října 2026 – Administrátoři mohou začít vybírat a konfigurovat podporovaného telco partnera přes Microsoft Security Store.
- 1. února 2027 – Microsoft ukončí vlastní doručování SMS a hlasových hovorů pro ověřování.
- Po 1. únoru 2027 – Uživatelé, kteří dosud používali SMS/hovor, se musí před přihlášením zaregistrovat passkey. Automatické výzvy k registraci budou vynuceny pro všechny uživatele ve všech tenantech – bez možnosti opt-out.
Pozor: Uvedené termíny platí pouze pro Microsoft Entra ID ve veřejném cloudu. Ostatní cloudová prostředí budou následovat podle samostatného harmonogramu, který Microsoft oznámí s předstihem.
Co když opravdu potřebujete SMS nebo hovory?
Pokud vám regulatorní, technické nebo provozní požadavky velí SMS či hovor zachovat:
- Identifikujte a zdokumentujte dotčené skupiny uživatelů.
- Od 30. října 2026 vyberte a nakonfigurujte podporovaného telekomunikačního partnera přes Microsoft Security Store.
- Otestujte nastavení na pilotní skupině dřív, než ho nasadíte plošně.
Počítejte s tím, že náklady za doručování SMS/hovorů přes partnera už ponese vaše organizace.
Jak se připravit?
Aby přechod proběhl hladce a pod vaší kontrolou, doporučujeme začít plánovat už teď:
- Zjistěte, kdo stále používá SMS nebo hovor. Projděte politiku ověřovacích metod a najděte uživatele či skupiny, kterých se změna dotkne.
- Naplánujte nasazení passkeys. Rozhodněte, které typy (synchronizované vs. device-bound / FIDO2) nejlépe odpovídají vašim zařízením a procesům.
- Využijte registrační kampaň. Entra ID umí uživatele hromadně vyzvat k registraci passkey přímo při přihlášení – využijte to k plošnému rozjezdu.
- Připravte komunikaci pro uživatele. Řekněte jim včas, co se mění, kdy uvidí výzvu k registraci a jak ji na svém zařízení dokončit.
- Nezapomeňte na privilegované účty a helpdesk – ať jsou na dotazy připravení.
Potřebujete s přechodem pomoci?
Pokud si nejste jistí, jak nastavit strategii přechodu na passkeys, které typy povolit, jak připravit registrační kampaň nebo komunikaci směrem k uživatelům, rádi vám pomůžeme.
V KPCS se dlouhodobě věnujeme identitě a zabezpečení v prostředí Microsoft cloudu a zajistíme, aby přechod na bezheslové přihlašování proběhl bezpečně, efektivně a bez komplikací. Ozvěte se nám a my se postaráme o vše potřebné.