微软近日宣布了Microsoft Entra ID身份服务的重大更新计划,将在2026年3月启动通行密钥的全面推广。
这一决策反映了全球信息安全领域从传统密码认证向新型验证方式转变的大势所趋。
从现状看,传统密码认证存在多方面风险。
用户往往在不同平台重复使用相同密码,一旦某个平台数据泄露,其他账户随之陷入危险。
同时,密码容易成为网络钓鱼攻击的突破口。
通行密钥技术通过生物识别或设备绑定等方式进行身份验证,从根本上消除了这些隐患,大幅提升了账户安全性。
微软此次更新的核心在于架构创新。
新体系引入了passkeyType属性,使管理员能够区分两种通行密钥类型:设备绑定通行密钥和同步通行密钥。
前者仅存储在特定设备上,安全性更高但便携性受限;后者可在云端同步,便于用户跨设备使用。
这种分类设计满足了不同组织的差异化需求。
在管理机制上,新架构实现了从租户级统一策略向用户组级精细管控的转变。
管理员可根据不同部门或用户群体的安全需求,灵活配置认证规则,既保证了安全性,又提高了用户体验的灵活性。
对于已启用强制认证的租户,系统将默认使用设备绑定通行密钥;对于未强制执行的租户,则允许两种类型并存。
值得注意的是,微软简化了注册提醒机制。
原有的"有限推迟次数"和"允许推迟天数"设置将被取消,转而采用无限推迟加每日提醒的标准模型。
这一改变既保护了用户的自主选择权,又通过持续提醒确保最终完成迁移,体现了人性化设计理念。
在迁移过程中,微软充分考虑了平稳过渡的需要。
现有的FIDO2身份验证配置将被自动转移至新的默认配置文件,确保服务连续性不受影响。
对于已有的密钥限制和用户目标设置,系统将予以保留,最大程度降低迁移风险。
从行业前景看,微软的这一举措将加速全球范围内的无密码化进程。
作为云计算和身份管理领域的领军企业,微软的政策导向往往引领行业发展方向。
其他云服务提供商和企业级应用开发者很可能跟进类似举措,推动通行密钥成为身份认证的新标准。
同时,这一转变也对用户和组织提出了新的适应要求。
用户需要熟悉新的认证方式,组织需要更新安全管理流程。
但从长期看,这种转变将显著降低安全事件风险,减少密码管理的复杂性,为数字生态的安全升级奠定基础。
从密码到通行密钥的变化,不只是一次登录方式的更新,更是企业安全理念从“依赖用户记忆”向“依赖密码学与治理体系”转变的缩影。
技术方案可以降低被钓鱼、被撞库的风险,但真正决定成效的仍是组织的制度建设、终端管理与人员培训。
把迁移视为一次身份治理的系统工程,稳步推进、分层落地、可审计可恢复,才能在提升安全水平的同时,守住业务连续性与用户体验的底线。