🖥️Computerworld•最新收集於 17m
Microsoft 強制要求企業使用 Entra ID 通行密鑰

💡了解 Microsoft 如何透過強制推行通行密鑰,強化企業安全以抵禦 AI 自動化釣魚攻擊。
⚡ 30-Second TL;DR
有什麼變化
自 2026 年 9 月 1 日起,通行密鑰將成為 Entra ID 的預設驗證方式。
為什麼重要
此政策將迫使企業身份管理發生重大變革,要求組織全面升級其多因素驗證基礎架構。這將顯著降低 AI 驅動的社交工程威脅所帶來的攻擊面。
下一步行動
審查您目前的 Entra ID 驗證方式,並在 2026 年 9 月截止日期前規劃遷移至符合 FIDO2 標準的通行密鑰。
誰應關注:Enterprise & Security Teams
關鍵要點
- •自 2026 年 9 月 1 日起,通行密鑰將成為 Entra ID 的預設驗證方式。
- •Microsoft 提供的 SMS 與語音多因素驗證支援將於 2027 年 2 月 1 日正式終止。
- •若企業在截止日期後仍需使用 SMS 或語音驗證,必須透過 Microsoft Security Store 自行配置電信供應商。
- •此轉變是為了直接應對 AI 自動化釣魚攻擊與大規模憑證竊取威脅。
🧠 深度解析
AI-generated analysis for this event.
🔑 增強重點摘要
- •Microsoft 此次推動通行密鑰(Passkeys)是基於 FIDO2 標準,旨在消除對傳統密碼及易受攔截的 OTP(一次性密碼)的依賴。
- •企業管理員可透過 Microsoft Entra 管理中心內的『驗證方法原則』(Authentication methods policy)來監控並強制執行此過渡計畫。
- •此項變更特別針對『中間人攻擊』(AiTM, Adversary-in-the-Middle)進行防禦,因為通行密鑰綁定於特定裝置與網域,無法透過釣魚網站輕易竊取。
- •Microsoft 建議企業在過渡期間優先採用 Microsoft Authenticator 應用程式作為過渡方案,該應用程式已支援 FIDO2 通行密鑰標準。
- •針對無法立即汰換 SMS/語音驗證的特殊產業(如製造業或前線員工),Microsoft 提供了『臨時存取通行證』(Temporary Access Pass, TAP)作為過渡期的安全身分驗證機制。
📊 競品分析▸ Show
| 特色/比較項目 | Microsoft Entra ID | Okta Workforce Identity | Duo Security (Cisco) |
|---|---|---|---|
| 通行密鑰支援 | 原生深度整合 FIDO2 | 支援 FIDO2 與 WebAuthn | 支援 FIDO2 與裝置生物識別 |
| SMS/語音驗證策略 | 強制淘汰並轉向付費配置 | 允許企業自訂淘汰時程 | 逐步限制但保留彈性 |
| 生態系統整合 | Windows/Azure 深度綁定 | 跨雲端與第三方應用廣泛 | 專注於零信任存取控制 |
🛠️ 技術深入
- 通行密鑰基於非對稱加密技術,私鑰儲存於使用者的裝置安全晶片(如 TPM 或 Secure Enclave),公鑰則註冊於 Entra ID 伺服器。
- 驗證過程透過 WebAuthn API 進行,確保身分驗證請求與原始網域綁定,從根本上杜絕釣魚網站偽造登入頁面。
- 支援跨裝置同步(如透過 Microsoft 帳戶或 iCloud 鑰匙圈),解決了早期 FIDO2 硬體金鑰遺失導致無法存取的痛點。
- 針對 SMS 淘汰後的備援,Entra ID 引入了『臨時存取通行證』(TAP),這是一種限時、限次使用的密碼,用於引導使用者完成通行密鑰的首次註冊。
🔮 前景展望AI analysis grounded in cited sources
企業資安保險費率將與通行密鑰採用率掛鉤
隨著釣魚攻擊成本降低,保險公司將要求企業強制採用無密碼驗證以降低憑證外洩風險。
SMS 驗證將在 2028 年前於全球大型企業中絕跡
Microsoft 的強制政策將引發連鎖反應,迫使其他身分識別供應商跟進以維持市場競爭力與安全性標準。
⏳ 時間線
2021-05
Microsoft 宣布在 Azure AD(現為 Entra ID)中全面支援 FIDO2 安全金鑰。
2022-05
Microsoft 於 FIDO Alliance 會議中承諾推動無密碼未來,並開始整合通行密鑰技術。
2023-10
Microsoft Entra ID 正式支援在 Microsoft Authenticator 中使用通行密鑰進行身分驗證。
2025-03
Microsoft 發布針對企業環境的無密碼轉型指南,明確指出 SMS 驗證的安全性風險。
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: Computerworld ↗