CEVIU Logo
Voltar
Microsoft Entra ID Adota Passkeys Como Padrão de Autenticação

Microsoft Entra ID Adota Passkeys Como Padrão de Autenticação

Aprofundamento CEVIU

Aprofundamento

A Microsoft está tornando as passkeys o método de autenticação padrão no Entra ID a partir de 1º de setembro de 2026, não como uma opção, mas como o caminho obrigatório para quem ainda usa SMS ou voz no MFA. Isso significa que, na próxima vez que um usuário desses acessar com autenticação multifator, será solicitado a registrar uma passkey em seu dispositivo. A mudança não é só técnica: é estratégica. Em um cenário onde campanhas de phishing impulsionadas por IA atingem 54% de taxa de clique (contra 12% nas tradicionais) e ataques de vishing cresceram 442% em seis meses, métodos baseados em segredos compartilhados, como códigos por SMS, deixaram de ser defensáveis. As passkeys usam criptografia assimétrica: nenhuma senha é digitada, nenhum código é enviado. O login se dá com biometria ou PIN do dispositivo, e a chave privada nunca sai do aparelho. Elas são suportadas em três formatos no Entra ID: sincronizadas (iCloud Keychain, Google Password Manager), vinculadas ao dispositivo (Microsoft Authenticator, Entra passkey no Windows) e chaves FIDO2 físicas.

O prazo final para descontinuação nativa do SMS/voz é 1º de fevereiro de 2027. Depois disso, organizações que ainda precisarem desses canais terão de contratar provedores de telecomunicações pela Microsoft Security Store, com custos operacionais adicionais e integração externa. Não é uma migração opcional: é uma atualização de governança de identidade. Para equipes de TI, isso exige revisão imediata das políticas de autenticação, mapeamento de usuários em métodos frágeis e planejamento de campanhas de registro escaláveis, sem depender de suporte humano para cada cadastro.

O que mudou

Antes, as passkeys eram uma alternativa recomendada no Entra ID, agora são o padrão obrigatório para todos os usuários que usam SMS ou voz. A diferença não é só de comunicação, mas de comportamento forçado: o sistema passa a exigir o registro na primeira autenticação pós-rollout, sem opção de adiamento. Isso contrasta com a cobertura anterior da CEVIU sobre a migração do Azure DevOps para o emissor do Entra (24 de junho e 14 de julho de 2026), que era uma mudança de infraestrutura de identidade de carga de trabalho, não de experiência de usuário final. Também difere da desativação da plataforma Tycoon 2FA pela Microsoft e Europol (6 de março de 2026), que foi uma ação reativa contra um ataque específico, enquanto essa é uma política proativa de arquitetura de segurança, alinhada à evolução das ameaças em escala industrial.

Por que isso importa

Para equipes de TI e CISOs, essa mudança impacta diretamente três pilares: governança (redução de risco regulatório ao eliminar métodos não conformes com NIST SP 800-63B e PCI DSS 4.1), custos operacionais (eliminação de despesas com falhas de login, recuperação de contas e suporte a MFA frágil) e resiliência (autenticação resistente a phishing reduz o tempo médio de exploração de identidades comprometidas de horas para minutos). Organizações que adotaram passkeys relatam 73% menos tempo de login e 81% menos tickets de suporte relacionados a acesso, dados que transformam segurança em eficiência operacional. Ignorar essa transição não é só arriscar brechas: é manter processos de autenticação mais caros, lentos e expostos do que o necessário.

Linha do tempo

  1. Microsoft e Europol desarticulam plataforma global de phishing Tycoon 2FA que burlava MFA tradicional

  2. Bitwarden implementa login por passkey no Windows 11 e passkeys multi-dispositivo chegam com 'hybrid transport'

  3. Microsoft anuncia descontinuação do issuer do Azure DevOps em conexões de serviço até 1º de julho de 2027

  4. Microsoft lança 'porteiro digital' no Teams com análise comportamental para filtrar bots

  5. Azure DevOps confirma migração para emissor Microsoft Entra até 2027

  6. Microsoft anuncia que passkeys se tornam método padrão de autenticação no Entra ID a partir de 1º de setembro

Perguntas frequentes

Quais são os tipos de passkey suportados pelo Entra ID?

O Entra ID suporta passkeys sincronizadas (armazenadas em gerenciadores de credenciais como iCloud Keychain e Google Password Manager), passkeys vinculadas ao dispositivo (como as do Microsoft Authenticator e Entra passkey no Windows) e chaves de segurança FIDO2 físicas. Cada tipo tem diferentes requisitos de compatibilidade com sistemas operacionais e fluxos de implantação.

O que acontece com usuários que não conseguirem registrar uma passkey até 1º de setembro?

Eles serão convidados a registrar uma passkey na próxima tentativa de autenticação multifator, não há data-limite para o registro, mas o prompt aparecerá repetidamente até que seja concluído. Usuários sem acesso a dispositivos compatíveis podem usar chaves FIDO2 físicas como alternativa viável.

SMS e voz desaparecem totalmente em 1º de fevereiro de 2027?

Não desaparecem, deixam de ser oferecidos nativamente pelo Entra ID. Organizações com necessidade regulatória ou técnica poderão continuar usando esses métodos, mas precisarão contratar provedores de telecomunicações pela Microsoft Security Store a partir de 30 de outubro de 2026, assumindo custos e responsabilidades operacionais adicionais.

Essa mudança afeta ambientes de nuvem híbrida ou governamental?

Não. A Microsoft esclarece que as datas anunciadas valem apenas para o Entra ID na nuvem pública. Ambientes como Azure Government, Azure China 21Vianet e instâncias locais têm cronogramas distintos, com orientações adicionais a serem divulgadas separadamente.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU TI
Publicado
15 de julho de 2026
Editoria
CEVIU TI

Quer receber mais sobre CEVIU TI?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
Microsoft Entra ID Adota Passkeys Como Padrão