Från april börjar Microsoft inte bara erbjuda passkeys till dina användare, de börjar aktivt ”knuffa” dem till att registrera sig. Det är en liten förändring i hur Registration Campaigns fungerar, men den kan ha stor effekt på hur din organisation hanterar inloggning.

Vad är Registration Campaigns?

Registration Campaigns är mekanismen i Microsoft Entra ID som används för att uppmuntra användare att registrera starkare autentiseringsmetoder. Du har säkert sett det i praktiken: efter att en användare loggat in dyker det upp ett fönster som säger „Skydda ditt konto“ och en uppmaning att använda Microsoft Authenticator. Användaren kan snooza, skjuta upp det på framtiden, men inte hur länge som helst.

Hittills har det primärt handlat om att få folk att använda Authenticator-appen. Nu utökas funktionen till att också täcka passkeys (FIDO2).

Vad ändras i april?

Det beror på hur din tenant är konfigurerad.

Om du kör Microsoft-managed state, vilket många organisationer som inte aktivt ändrat inställningen gör, och dessutom har passkeys aktiverade utan specifika AAGUID-begränsningar, kommer saker att ändra sig automatiskt:

• Den utpekade autentiseringsmetoden byter från Microsoft Authenticator till Passkeys (FIDO2)
• Snooze-perioden kortas från tre dagar till en dag och går inte längre att konfigurera
• Inriktningen breddas till alla MFA-kapabla användare, inte bara de som använder röstsamtal eller SMS

Fler av dina användare kommer alltså att se nudges om passkeys, oftare, och med kortare möjlighet att skjuta upp.

Om du kör Enabled state kan du nu manuellt välja passkeys som målmetod i Registration Campaigns — men du måste göra det aktivt. Notera att systemet bara stöder en metod åt gången: antingen Authenticator eller passkeys, inte båda.

Vad behöver du göra?

Microsofts rekommendation är att gå igenom din konfiguration innan april. Konkret innebär det:

• Kolla vilket läge din Registration Campaign är i (Microsoft-managed eller Enabled)
• Kontrollera om passkeys (FIDO2) är aktiverade och om du har AAGUID-begränsningar
• Informera supporten om vad som kan komma att hända
• Bestäm om du vill fortsätta rikta mot Authenticator — i så fall behöver du verifiera den konfigurationen nu

En sak värd att notera: om du har AAGUID-begränsningar, alltså att bara vissa typer av passkeys tillåts, kan nudge-upplevelsen bli förvirrad. En användare som nudgas att registrera en passkey, men vars profil bara tillåter specifika AAGUID-bundna passkeys, kan mötas av ett felmeddelande. Det är inte en optimal supportupplevelse.

En rörelse i rätt riktning

Det här är en del av Microsofts större push mot lösenordsfri inloggning och nätfiskeresistenta autentiseringsmetoder. Passkeys är tekniken som står i centrum för det arbetet — och nu börjar de alltså dyka upp i det vardagliga inloggningsflödet för slutanvändare.

Om du är nyfiken på vad en passkey faktiskt är och hur tekniken fungerar under huven, läs gärna mitt inlägg om passkeys från januari — det ger den tekniska bakgrunden.

Gå igenom din konfiguration i god tid. Det är inte ett stort jobb, men det är ett du vill ha gjort innan nudgarna börjar dyka upp.