Microsoft Entra ID 安全更新:Passkey 成为 Entra ID 的默认身份验证方法

Microsoft Entra ID 安全更新:Passkey 成为 Entra ID 的默认身份验证方法

导语:Microsoft 宣布将 Passkey 设为 Microsoft Entra ID 的默认身份验证方法,并将于 2026 年 9 月 1 日起开始推广,2027 年 2 月 1 日停用 Microsoft 原生的 SMS 与语音电信传送服务。仍需 SMS 或语音的组织可通过 Microsoft Security Store 选择第三方电信合作伙伴。

随着 AI 时代身份攻击日益复杂化,组织需要更强大的身份验证方法来保护用户免受网络钓鱼、凭据窃取和社会工程攻击。为应对这些不断演变的威胁,Microsoft Entra ID 正在更新其身份验证体验,将 Passkey 设为默认的抗网络钓鱼身份验证方法,帮助客户减少对 SMS 和语音等可被钓鱼利用的验证方式的依赖。

自 2026 年 9 月 1 日起,Microsoft 将开始在 Microsoft Entra ID 中将 Passkey 推广为默认身份验证体验。随着推广覆盖到各个组织,已启用 SMS 或语音验证的用户将自动启用 Passkey,并在他们下次执行多重身份验证时被提示注册 Passkey。

原文配图

在此过渡之后,Microsoft 将于 2027 年 2 月 1 日停用由 Microsoft 提供的 SMS 和语音身份验证电信传送服务,并不再将 SMS 和语音作为 Microsoft Entra 的原生能力提供。仍然需要 SMS 或语音身份验证方法的组织,可通过 Microsoft Security Store 选择我们的电信合作伙伴之一。客户将负责承担电信合作伙伴收取的相关电信费用。

我们强烈建议尽快将用户迁移到 Passkey 或其他抗网络钓鱼的身份验证方法。使用 SMS 或语音的验证方法依赖于共享密钥或通道,攻击者越来越多地对它们进行拦截、钓鱼或操控。Passkey 使用公钥加密而非共享密钥,从设计上就具有抗网络钓鱼能力。它们还为用户提供了更快、更简单的登录体验。

原文配图

放弃 SMS 和语音的理由已不仅仅是攻击者会拦截或社会工程这些方法。威胁环境在速度、规模和复杂程度上都已发生变化。Microsoft Threat Intelligence 观察到,AI 驱动的网络钓鱼活动的点击率高达 54%,而传统活动约为 12%,这使得被盗密码和可被钓鱼利用的第二因素成为紧迫的风险。与此同时,SIM 卡交换和多重身份验证绕过等攻击手法也变得更加易于实施和重复。

由 AI 驱动的网络攻击可以利用被攻陷的身份来自动化执行发现、特权提升和横向移动,速度远超人工攻击者。这就是为什么抗网络钓鱼的身份验证方法如此重要。通过将 Passkey 设为默认身份验证体验,组织能够减少对可被钓鱼利用的验证方式的依赖,并加强对凭据窃取和网络钓鱼的保护。

原文配图

目前,Microsoft 在 Entra ID 中以原生方式提供 SMS 和语音身份验证背后的电信传送服务。作为此次过渡的一部分,我们将退出提供这种原生电信传送服务,以鼓励抗网络钓鱼方法成为所有人的标准。对于大多数组织来说,推荐的路径很简单:免费将用户迁移到 Passkey。

如果您出于法规、技术或业务要求需要保留 SMS 或语音,您可以通过 Microsoft Security Store(一个合作伙伴市场,您可在其中直接与受支持的运营商签订合同)选择、配置和管理第三方电信提供商。2026 年 9 月 18 日,我们将分享有关受支持提供商、部署指南和技术文档的信息,定价和商业条款可通过 Microsoft Security Store 获取。

原文配图

立即开始规划您的过渡,以便您可以选择最适合您组织的部署方法,并确保您的用户为即将到来的登录体验变化做好准备。有关规划、部署和管理 Passkey 的分步指南,请参阅我们的 Microsoft Learn 文档和 Passkey 部署指南。如果受监管、技术或运营场景仍然需要 SMS 或语音,可通过 Microsoft Security Store 选择第三方提供商。需要说明的是:本文所述日期仅适用于公共云中的 Microsoft Entra ID。其他云环境的支持将遵循独立的时间表,并将提前公布额外的指南和日期。

SMS 和语音很好地完成了它们的使命,为数十亿原本无法使用多重身份验证的用户带来了这一能力。但威胁环境已经超越了它们的能力范围,我们也需要随之进化。我们在 Entra ID 中将 Passkey 设为默认,是因为它们对用户体验更好,而对网络攻击者更不利。我们正努力通过明确的日期、迁移期间的回退选项,以及不再依赖可被钓鱼利用的凭据的恢复机制,使此次过渡尽可能可预测。


来源信息

来源:Microsoft Security Blog

原文链接:https://www.microsoft.com/en-us/security/blog/2026/07/13/microsoft-entra-id-security-updates-passkeys-are-the-default-authentication-method-in-entra-id/

作者:Nadim Abdo