Windows Hello krijgt passkey-ondersteuning voor Entra-accounts

In dit artikel:

Microsoft introduceert passkey-ondersteuning voor aanmelden bij Microsoft Entra via Windows Hello, waarmee organisaties minder afhankelijk worden van klassieke wachtwoorden. De nieuwe methode gebruikt lokale, cryptografische sleutels gekoppeld aan Windows Hello (vingerafdruk, gezichtsherkenning of pincode) zodat de authenticatie op het apparaat zelf plaatsvindt en de sleutel het toestel niet verlaat — wat bescherming biedt tegen phishing en diefstal van inloggegevens.

De functie komt als optionele public preview wereldwijd beschikbaar tussen half maart en eind april 2026. Omgevingen binnen de overheidscloud (GCC, GCC High en het Amerikaanse ministerie van Defensie) krijgen een aparte preview van half april tot half mei. Beheerders moeten de optie eerst inschakelen; pas dan kunnen gebruikers passkeys registreren en gebruiken.

Een belangrijk verschil met eerdere oplossingen is dat passkeys ook werken op Windows-machines die niet zijn gekoppeld aan of geregistreerd in Entra, waardoor medewerkers op persoonlijke of gedeelde apparaten zonder wachtwoord toegang tot bedrijfsresources kunnen krijgen — nuttig voor BYOD- en externe-workflowscenario’s. Voor elk Entra-account wordt per apparaat een unieke passkey aangemaakt; synchronisatie tussen apparaten is niet mogelijk, dus bij gebruik van een nieuw apparaat moet opnieuw geregistreerd worden.

Om te starten moeten beheerders de FIDO2-passkeymethode activeren in het Entra-authenticatiebeleid, een passkeyprofiel koppelen aan Windows Hello en dat profiel aan gebruikers of groepen toewijzen. Dit sluit aan bij Microsofts bredere strategie om wachtwoorden geleidelijk uit te faseren en de beveiliging tegen phishing en grootschalig accountmisbruik te versterken.