随着网络钓鱼、撞库攻击等风险持续攀升,企业账号体系长期依赖“密码+二次验证”的模式正显露瓶颈:一方面,密码重复使用、弱口令、泄露后横向扩散等问题难以彻底解决;另一方面——安全策略越复杂——员工使用门槛越高,反而可能引发绕开流程的行为。如何可用性与安全性之间取得更好的平衡,成为身份与访问管理领域的关键议题。 ,微软宣布对其身份服务 Microsoft Entra ID 进行重要更新:自2026年3月起,系统将自动启用通行密钥配置文件,并支持通行密钥配置文件的在线同步。微软表示,此次调整意味着服务将迁移到新的架构模式,同时新增用于管理不同通行密钥类型的专用属性。即便组织未主动选择加入新体验,也将被自动迁移至通行密钥配置文件体系,以实现统一管理框架。 从动因看,此次变更既源于技术演进,也回应了安全治理的现实需求。通行密钥基于公钥加密等机制,可在登录过程中降低传统密码被窃取、被复用的风险,并对钓鱼攻击具备更强的抵抗力。近年来,国际主流平台与浏览器生态持续推动无密码登录标准落地,企业端身份体系也在加速向“减少共享秘密依赖、强化设备与用户绑定”的方向演进。微软将通行密钥纳入默认能力,并通过自动启用扩大覆盖面,意在降低组织迁移成本,同时提升整体安全基线的一致性。 从具体机制看,更新的关键点之一是引入名为 passkeyType 的属性,用于区分并管理通行密钥类型。管理员可选择仅允许设备绑定通行密钥、仅允许同步通行密钥,或两者同时允许。不同于以往常见的“全租户统一策略”,新机制支持按用户组细分策略,便于在不同岗位、风险等级与合规要求之间进行分层治理。微软也给出了默认策略方向:对“强制执行认证”的租户,将默认使用设备绑定通行密钥;对未强制执行的租户,则允许两种类型并存,以兼顾灵活性与安全性。同时,迁移过程中现有 FIDO2 身份验证配置将被转移至新的默认配置文件中;若租户已有密钥限制或用户目标设置,迁移期间将保持不变,以保障服务连续性与策略继承。 影响层面,此调整预计将对企业身份安全、运维管理与员工体验带来多上变化。其一,安全基线有望提升。通行密钥相较密码减少了可被窃取、可被复用的攻击面,有助于降低凭据泄露引发的连带风险。其二,策略治理更精细。按用户组控制通行密钥类型与启用范围,为“关键岗位更强约束、一般岗位逐步推广”提供了更可操作的管理手段。其三,注册引导机制将更统一。微软表示,对已启用同步通行密钥的租户,其管理的注册宣传将从某一认证应用的引导转向通行密钥本身;同时移除“有限推迟次数”“允许推迟天数”等配置,改为“可无限推迟、每天提醒一次”的统一模型。该变化降低了管理员的配置负担,但也意味着组织需要通过制度要求、培训与合规约束,更明确地推动员工完成注册并形成日常使用习惯。 对策方面,考虑到自动迁移与策略调整覆盖面较广,组织可时间窗口内提前做好四上准备:一是梳理现有认证体系与人群分层,明确哪些部门、哪些账号应优先采用设备绑定通行密钥,哪些可阶段性允许同步通行密钥;二是评估终端与设备管理能力,确保设备合规、丢失处置、账号恢复等流程与新登录方式匹配,避免因换机、人员流动导致访问中断;三是完善用户教育与支持机制,将通行密钥的注册、使用与常见故障处理纳入入职及日常培训,并建立工单与应急通道;四是同步更新安全审计与合规文档,明确通行密钥策略、例外机制与审批流程,确保技术调整与管理制度同步落地。 前景判断上,通行密钥将继续成为企业身份安全的重要方向,但落地效果取决于“技术能力、组织治理、用户习惯”的协同。未来一段时间,无密码认证可能呈现“分层推进、双轨并行”的特征:高价值资产与关键业务系统率先强化设备绑定与强制策略,通用办公与低风险场景借助同步能力提升便捷性,同时通过更成熟的设备与账号生命周期管理,化解“换机、离职、遗失”带来的可用性挑战。对云端身份服务提供商而言,围绕通行密钥的策略编排、可视化审计与跨平台兼容能力,也将成为竞争重点。
微软推进通行密钥的全面应用,反映了企业身份安全思路的转向;在网络威胁日益复杂的背景下,从依赖密码的传统认证走向基于密码学机制的现代认证,正成为保护用户与数据安全的关键路径。这不仅是技术升级,也关系到数字生态的安全底座建设。随着微软等头部企业持续推动,通行密钥有望逐步成为企业级应用的常用配置,并带动整体网络安全防护能力提升。