Hva er nytt
Microsoft oppdaterte Microsoft Entra What’s new-siden for juni 2026 med en nyttig identitetsendring: registreringskampanjer støtter nå passnøkler (FIDO2) som autentiseringsmetode.
Den praktiske betydningen er enkel. Administratorer kan bruke en registreringskampanje for å oppfordre brukere under innlogging til å registrere en passnøkkel, i stedet for å stole kun på e-postpåminnelser, brukerstøtteinstruksjoner eller engangskommunikasjon.
Microsoft beskriver dette som General Availability. Den første utrullingsopplevelsen er optimalisert for brukere som er i en passnøkkelprofil uten restriksjoner.
Hvorfor administratorer bør bry seg
Passnøkler er en av de renere veiene mot phishing-sikker autentisering i Microsoft Entra ID. Det vanskelige er ikke bare å aktivere metoden. Det vanskelige er å få faktiske brukere til å registrere seg i stor skala uten å gjøre utrullingen til manuell jakt.
Denne endringen flytter deler av adoptasjonsarbeidet inn i innloggingsflyten.
For mange Microsoft 365-miljøer er det nyttig fordi passnøkkelprosjekter ofte blir sittende fast mellom tre team:
- identitetsadministratorer aktiverer metoden
- endepunktteam håndterer plattformberedskap
- brukerstøtte håndterer veiledning og unntak
En registreringskampanje fjerner ikke behovet for planlegging, men den gir administratorer en mer kontrollert måte å presse adoptasjon på når forutsetningene er klare.
Hva jeg ville sjekket først
Jeg ville ikke slått dette på bredt før jeg sjekket grunnleggende ting.
Først, gå til Microsoft Entra admin center > Protection > Authentication methods og se gjennom passnøkkel-/FIDO2-konfigurasjonen. Bekreft hvem som er i scope, om restriksjoner er konfigurert, og om målgruppen faktisk er klar til å registrere seg.
Deretter sjekk registreringskampanjekonfigurasjonen under authentication methods-opplevelsen. Nøkkelspørsmålet er ikke bare «kan brukere registrere seg?». Det er «hvilke brukere bør oppfordres nå, og hvilke brukere trenger en annen vei?»
For en første utrulling ville jeg startet med en pilotgruppe som representerer vanlige brukere, delt-enhet-brukere hvis relevant, og noen supportansatte. Det gir bedre tilbakemelding enn å teste kun med administratorer.
Praktisk utrulling / valideringstrinn
Et trygt utrullingsmønster kan se slik ut:
- Bekreft at passnøkkel/FIDO2 er aktivert for en liten pilotgruppe.
- Bekreft at brukerne er i en passnøkkelprofil som samsvarer med Microsofts nåværende registreringskampanjeatferd.
- Aktiver registreringskampanjen for pilotgruppen.
- Be pilotbrukere logge inn normalt og dokumenter registreringsprompt-opplevelsen.
- Valider vellykket registrering i brukerens authentication methods.
- Gå gjennom innloggingslogger og støttebilletter for friksjon før du utvider.
- Utvid etter avdeling, sted eller brukertype i stedet for å aktivere for alle samtidig.
Det jeg liker med denne endringen, er at den støtter en målt utrulling. Den tvinger ikke administratorer til å gjøre passnøkler til et stort-bang-prosjekt.
Hva du bør passe på
Microsofts notat sier at den første utrullingsopplevelsen er optimalisert for brukere i en passnøkkelprofil uten restriksjoner. Hvis passnøkkelkonfigurasjonen din bruker restriksjoner, test nøye før du antar samme brukeropplevelse.
Registrering er heller ikke det samme som håndheving. En kampanje kan hjelpe brukere med å registrere passnøkler, men Conditional Access og authentication strength-policyer bestemmer fortsatt hvor phishing-sikker autentisering kreves.
Jeg ville også forberedt et kort notat til brukerstøtte før utvidelse. Brukere kan spørre hva en passnøkkel er, om de trenger en telefon, om Windows Hello er involvert og hva de skal gjøre hvis registrering mislykkes.