🖥️最新收集於 17m

Microsoft 強制要求企業使用 Entra ID 通行密鑰

Microsoft 強制要求企業使用 Entra ID 通行密鑰
PostLinkedIn
🖥️閱讀原文: Computerworld

💡了解 Microsoft 如何透過強制推行通行密鑰,強化企業安全以抵禦 AI 自動化釣魚攻擊。

⚡ 30-Second TL;DR

有什麼變化

自 2026 年 9 月 1 日起,通行密鑰將成為 Entra ID 的預設驗證方式。

為什麼重要

此政策將迫使企業身份管理發生重大變革,要求組織全面升級其多因素驗證基礎架構。這將顯著降低 AI 驅動的社交工程威脅所帶來的攻擊面。

下一步行動

審查您目前的 Entra ID 驗證方式,並在 2026 年 9 月截止日期前規劃遷移至符合 FIDO2 標準的通行密鑰。

誰應關注:Enterprise & Security Teams

關鍵要點

  • 自 2026 年 9 月 1 日起,通行密鑰將成為 Entra ID 的預設驗證方式。
  • Microsoft 提供的 SMS 與語音多因素驗證支援將於 2027 年 2 月 1 日正式終止。
  • 若企業在截止日期後仍需使用 SMS 或語音驗證,必須透過 Microsoft Security Store 自行配置電信供應商。
  • 此轉變是為了直接應對 AI 自動化釣魚攻擊與大規模憑證竊取威脅。

🧠 深度解析

AI-generated analysis for this event.

🔑 增強重點摘要

  • Microsoft 此次推動通行密鑰(Passkeys)是基於 FIDO2 標準,旨在消除對傳統密碼及易受攔截的 OTP(一次性密碼)的依賴。
  • 企業管理員可透過 Microsoft Entra 管理中心內的『驗證方法原則』(Authentication methods policy)來監控並強制執行此過渡計畫。
  • 此項變更特別針對『中間人攻擊』(AiTM, Adversary-in-the-Middle)進行防禦,因為通行密鑰綁定於特定裝置與網域,無法透過釣魚網站輕易竊取。
  • Microsoft 建議企業在過渡期間優先採用 Microsoft Authenticator 應用程式作為過渡方案,該應用程式已支援 FIDO2 通行密鑰標準。
  • 針對無法立即汰換 SMS/語音驗證的特殊產業(如製造業或前線員工),Microsoft 提供了『臨時存取通行證』(Temporary Access Pass, TAP)作為過渡期的安全身分驗證機制。
📊 競品分析▸ Show
特色/比較項目Microsoft Entra IDOkta Workforce IdentityDuo Security (Cisco)
通行密鑰支援原生深度整合 FIDO2支援 FIDO2 與 WebAuthn支援 FIDO2 與裝置生物識別
SMS/語音驗證策略強制淘汰並轉向付費配置允許企業自訂淘汰時程逐步限制但保留彈性
生態系統整合Windows/Azure 深度綁定跨雲端與第三方應用廣泛專注於零信任存取控制

🛠️ 技術深入

  • 通行密鑰基於非對稱加密技術,私鑰儲存於使用者的裝置安全晶片(如 TPM 或 Secure Enclave),公鑰則註冊於 Entra ID 伺服器。
  • 驗證過程透過 WebAuthn API 進行,確保身分驗證請求與原始網域綁定,從根本上杜絕釣魚網站偽造登入頁面。
  • 支援跨裝置同步(如透過 Microsoft 帳戶或 iCloud 鑰匙圈),解決了早期 FIDO2 硬體金鑰遺失導致無法存取的痛點。
  • 針對 SMS 淘汰後的備援,Entra ID 引入了『臨時存取通行證』(TAP),這是一種限時、限次使用的密碼,用於引導使用者完成通行密鑰的首次註冊。

🔮 前景展望AI analysis grounded in cited sources

企業資安保險費率將與通行密鑰採用率掛鉤
隨著釣魚攻擊成本降低,保險公司將要求企業強制採用無密碼驗證以降低憑證外洩風險。
SMS 驗證將在 2028 年前於全球大型企業中絕跡
Microsoft 的強制政策將引發連鎖反應,迫使其他身分識別供應商跟進以維持市場競爭力與安全性標準。

時間線

2021-05
Microsoft 宣布在 Azure AD(現為 Entra ID)中全面支援 FIDO2 安全金鑰。
2022-05
Microsoft 於 FIDO Alliance 會議中承諾推動無密碼未來,並開始整合通行密鑰技術。
2023-10
Microsoft Entra ID 正式支援在 Microsoft Authenticator 中使用通行密鑰進行身分驗證。
2025-03
Microsoft 發布針對企業環境的無密碼轉型指南,明確指出 SMS 驗證的安全性風險。
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: Computerworld