这事儿终于要定下来了。微软这回是说,等到2026年,他们那个专门给企业管账号的服务Entra ID,马上就要彻底换成用Passkey了,以后大家登录企业账号,就真的不用再记密码了。 为啥非得搞成这样?其实现在大家上网都挺难的,黑客太猛,系统里的旧办法太老套。微软这回算是下了决心,要把企业身份认证这块给彻底革新一遍。他们的计划是,到了2026年3月,把现有的旧系统通通给关掉,都切换到新的通行密钥体系上。 这可不是小打小闹的更新,而是要把整个企业验证的基础都换个底朝天。官方给的路线图上写得明明白白,新体系的重点就是弄出个叫“通行密钥配置文件”的东西,以后这就成了Entra ID的默认设置。系统会自动帮那些还没来得及升级的老用户把账号给搬过去,保证业务不受影响。 为了让大家用得稳当,微软把以前基于FIDO2标准的安全密钥也给顺带给带上了。现在管理员的权限大了不少,多了个关键属性叫passkeyType。他们可以按照不同的安全要求或者部门的特点,来决定到底让用户用哪种类型的密钥。比如有的部门要求特别高,就只能用跟手机绑死的那种;有的部门业务比较灵活,也可以用那种能跨设备同步的;甚至还能两种都支持。 这就比以前好太多了,以前管个账号只能一刀切,现在能分着来管。对那种必须用密码登录的企业(也就是租户),系统会直接给套上那种最高级别的设备绑定模式;而对于不强制执行的企业,大家可以随便选一种用。 微软还优化了一下流程。以前大家注册通行密钥的时候,系统老是让去下一个叫Authenticator的软件来弄,现在改成更通用的设置流程了。以前管理员搞配置特别麻烦,“推迟几次”、“推迟多少天”这些乱七八糟的都得管,现在也没了。取而代之的是一个提醒模型:允许用户无限次临时推迟设置,但系统每天都会发个消息催你一下。 这变化其实挺多的。因为现在的FIDO联盟推的通行密钥标准确实好用,苹果、谷歌这些大公司在自家产品里早就用上了。相比起以前那种记一堆密码、容易被钓鱼或者撞库的老法子,新的通行密钥基于非对称加密,每次登录都是在本地电脑上完成的,根本不会在网上传秘密信息。 微软这回在企业服务里定好2026年的时间表并且自动启用策略,就是想把这个无密码认证的普及速度给拉满。这对全球企业的安全体系来说影响很大。以前大家都是被逼着换强密码、或者用验证码、生物识别这些方式来保护账号,现在微软算是带头进入了一个全新的阶段——正式迈入“无密码时代”。 这个变化背后其实反映了技术的发展和用户需求的变化。以后大家上网登录肯定会变得更安全、更方便、压力也更小。对于所有的企业组织来说,现在就开始关注怎么过渡到这种现代认证方式已经是个必须要考虑的战略问题了。