Microsoft Entra ID terá passkeys como autenticação padrão a partir de setembro
14 de Julho de 2026

A Microsoft anunciou que as passkeys se tornarão o método padrão de autenticação do serviço corporativo Entra ID a partir de setembro de 2026.

As passkeys serão habilitadas automaticamente para usuários do Entra ID que hoje usam autenticação por SMS e por voz via telefone, recursos que serão desativados em fevereiro de 2027 em todos os tenants.

Já os usuários que fazem login com passkeys, Windows Hello for Business, chaves de segurança FIDO2, cartões inteligentes ou qualquer outro método resistente a phishing poderão continuar usando essas opções.

“À medida que a implementação alcançar cada organização, os usuários habilitados para autenticação por SMS ou voz serão automaticamente habilitados para passkeys e, na próxima vez em que realizarem autenticação multifator, serão convidados a registrar uma passkey”, informou a Microsoft.

“Após essa transição, em 1º de fevereiro de 2027, a Microsoft encerrará a entrega de SMS e voz por meio de sua infraestrutura de telecomunicações e deixará de oferecer SMS e voz como capacidade nativa do Microsoft Entra.”

Antes dessa data, a recomendação é que as organizações garantam que todos os usuários estejam usando um método resistente a phishing para evitar interrupções no acesso, já que SMS e voz deixarão de estar disponíveis para concluir a autenticação multifator e entrar nas contas.

Administradores com as funções de leitor global, administrador de política de autenticação ou leitor de segurança podem identificar usuários de autenticação por SMS ou voz executando o script Entra SMS/Voice Policy Scanner em PowerShell.

As organizações que ainda precisarem usar autenticação por telefone terão de configurar provedores de telecomunicações de terceiros por meio do Microsoft Security Store.

A Microsoft também disponibiliza um guia passo a passo, em uma página de documentação dedicada, para implantação e gerenciamento da autenticação sem senha do Entra ID, resistente a phishing.

A orientação é que os usuários migrem de métodos de autenticação baseados em telefonia para bloquear ataques de identidade e fortalecer a segurança das contas.

Segundo a empresa, threat actors, incluindo a gangue de extorsão ShinyHunters, têm mirado com intensidade contas do Microsoft Entra com SSO em uma recente onda de ataques de roubo de dados em SaaS usando credenciais roubadas.

“A Microsoft Threat Intelligence observou campanhas de phishing habilitadas por IA alcançando taxas de clique de até 54%, em comparação com cerca de 12% em campanhas mais tradicionais, o que torna senhas roubadas e segundos fatores suscetíveis a phishing um risco urgente”, acrescentou a Microsoft.

“Ao tornar as passkeys a experiência padrão de autenticação, as organizações reduzem a dependência de métodos suscetíveis a phishing e reforçam a proteção contra roubo de credenciais e phishing.”

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...