Op 1 februari 2027 zet Microsoft de sms- en voice-code als tweede factor uit in Entra ID. Wie tegen die tijd geen passkeys heeft uitgerold, kijkt niet naar een beveiligingsadvies maar naar medewerkers die op maandagochtend niet meer kunnen inloggen. Passkeys aanzetten is een kwestie van een paar klikken. Ze zo uitrollen dat je hele team meekomt, je beheerders extra beschermd zijn en een aanvaller er niet zelf een registreert, is het echte werk. Deze gids loopt dat werk stap voor stap met je door.
Een passkey is een inlogsleutel op basis van publieke-sleutelcryptografie: je apparaat bewaart een privesleutel die het nooit afstaat, de dienst kent alleen de bijbehorende publieke sleutel. Er valt dus geen code of wachtwoord te onderscheppen of af te troggelen, en een passkey werkt alleen op het echte domein, waardoor een nagemaakte inlogpagina niet werkt.
De urgentie komt niet alleen van de deadline. Het aantal gekaapte accounts bij de Autoriteit Persoonsgegevens ging in een jaar van ruim 600 naar ruim 1.700 meldingen, en die aanval draait bijna altijd op een echte inlog in plaats van een gekraakt wachtwoord. Passkeys halen precies het zwakste deel weg: de code die iemand je kan aftroggelen. Microsoft trekt dezelfde conclusie en maakt passkeys de standaard in Entra ID terwijl sms en voice verdwijnen. De reden is hard: volgens Microsoft Threat Intelligence halen AI-gedreven phishingcampagnes doorklikpercentages tot 54 procent, tegen ongeveer 12 procent bij traditionele campagnes.
Wat je nodig hebt
Voordat je iets aanzet, leg je dit klaar. Het scheelt later terugbladeren en voorkomt dat je halverwege vastloopt op een recht dat je niet had.
Een aparte investering vraagt alleen de laag boven je gewone gebruikers. Voor beheerders en gevoelige functies wil je hardwaresleutels of een strak profiel, en dan reken je op zo'n 50 tot 70 euro per fysieke sleutel (prijsorde juli 2026), plus een tweede als reserve. Voor de rest van je team zijn passkeys in Microsoft Authenticator of Windows Hello gratis: ze zitten in het apparaat dat de medewerker toch al gebruikt.
Het migratiepad in stappen
De uitrol van passkeys verloopt niet van links naar rechts door een instellingenscherm, maar in een vaste volgorde: eerst weten wie er nog op de oude methode zit, dan per rol het juiste type kiezen, het registratiemoment dichttimmeren, gecontroleerd uitrollen, en pas als laatste de oude factor uitzetten. Sla je een stap over, dan zet je of te vroeg de deur op slot, of je laat het gat open dat aanvallers nu juist gebruiken.
1. Breng in kaart wie nog op sms of voice zit. Open in het Entra-beheercentrum onder Authentication methods het activiteitenrapport en filter op wie nog een telefooncode gebruikt. Microsoft levert daarnaast een Entra SMS/Voice Policy Scanner, een PowerShell-script dat precies de accounts opsomt die op de oude methode leunen. Dit is de saaie stap die iedereen wil overslaan, en juist de stap waar de uitrol later op strandt: gedeelde postbussen, dienstaccounts en die ene directielid dat nooit een app installeerde.
2. Kies per rol het passkey-type, niet een tenant-brede knop. Sinds de introductie van passkey-profielen stel je per groep verschillende regels in. In een profiel dwing je attestatie af en beperk je via de AAGUID welke fabrikaten en modellen zijn toegestaan. Praktisch: je beheerders en finance krijgen een profiel met attestatie aan en een beperkte lijst goedgekeurde sleutels, je overige medewerkers een ruimer profiel. Hoe je die keuze maakt, staat verderop in het beslis-kader.
3. Zet passkeys aan in het authenticatiemethodenbeleid. Ga naar Entra ID, Security, Authentication methods, Policies en selecteer Passkey (FIDO2). Opt-in op passkey-profielen (let op: dat kun je daarna niet meer terugdraaien), zet Allow self-service set up op Yes, en configureer je Default- en groepsprofielen. Zonder die self-service-schakelaar kan niemand zelf een passkey registreren via de beveiligingsinfopagina, ook al staat de methode aan.
4. Beveilig het registratiemoment: dit is de kern. Een passkey is onkraakbaar op de inlog, maar het aanmaken ervan is het nieuwe doelwit. Met Conditional Access kun je het registreren van beveiligingsinformatie beperken tot een vertrouwd netwerk of een beheerd apparaat, via de user action "Register security information". Zet daarnaast een melding aan bij elke nieuwe passkey of MFA-factor, en spreek een vaste route af om te verifieren dat helpdeskcontact echt is. Waarom dit geen luxe is, lees je bij de valkuilen.
5. Rol gecontroleerd uit met een Temporary Access Pass en een registratiecampagne. Nieuwe medewerkers en mensen zonder bestaande sterke factor hebben een startpunt nodig. Een Temporary Access Pass is een tijdelijke code die standaard een uur geldig is en die je op eenmalig gebruik kunt zetten; daarmee logt iemand een keer in om zijn passkey te registreren. Voor de brede groep zet je een registratiecampagne aan die gebruikers na hun MFA naar een passkey nudget, met een uitstel dat je op maximaal veertien dagen zet. In de Microsoft-managed variant staat die nudge inmiddels standaard op passkeys.
6. Dwing phishing-bestendige inlog af op wat telt. Aanzetten is niet hetzelfde als afdwingen. Maak in Conditional Access een authenticatiesterkte-beleid met de ingebouwde sterkte Phishing-resistant MFA en hang die aan je beheerdersrollen en je gevoelige applicaties. Zo kan een admin niet terugvallen op een zwakkere methode, ook niet als die per ongeluk nog aanstaat.
7. Regel de herstel- en uitzonderingsscenario's voordat je sms uitzet. Een medewerker verliest een telefoon of sleutel: dan geef je een nieuwe Temporary Access Pass uit om opnieuw te registreren. Sluit je break-glass-accounts (je noodbeheerders) nadrukkelijk uit van je Conditional Access-beleid, anders sluit een verkeerde regel jezelf buiten. En pas als je inventaris uit stap 1 op nul staat, schakelt Microsoft op 1 februari 2027 de eigen sms- en voice-authenticatie helemaal uit; zet je die zelf eerder uit, doe het gefaseerd per groep.
Valkuilen
De meeste passkey-uitrollen mislukken niet op de techniek, maar op een handvol voorspelbare misstappen.
- Sms uitzetten voordat iedereen geregistreerd is. De deadline van 1 februari 2027 is hard: wie dan geen passkey heeft, kan niet meer inloggen. Draai stap 1 tot je inventaris echt leeg is, en houd de laatste stragglers actief in de gaten in plaats van te hopen dat ze de nudge oppakken.
- Het registratiemoment onbeveiligd laten. Dit is de gevaarlijkste. Een actieve vishingcampagne belt medewerkers en praat ze een frauduleuze Entra-passkey aan terwijl de aanvaller op de achtergrond zijn eigen sleutel koppelt. De passkey is onkraakbaar, het moment eromheen niet. Mitigatie: Conditional Access op de registratie, een melding bij elke nieuwe factor, en een vaste verificatie van helpdeskcontact.
- Synced passkeys zonder attestatie voor beheerders. Zonder afgedwongen attestatie accepteert Entra ID ook passkeys waarvan het merk en model niet te verifieren zijn, inclusief consumer-varianten die via een prive-iCloud of Google-account synchroniseren. Prima voor een gewone gebruiker, ongewenst voor iemand met de sleutels tot je tenant.
- Een AAGUID terugtrekken die mensen al gebruiken. Haal je een eerder toegestaan model uit je lijst, dan kunnen gebruikers die daarmee registreerden niet meer inloggen. Wijzig sleutelbeperkingen dus alleen met een overgangsplan.
- Het eenmalige TAP-venster onderschatten. Een eenmalige Temporary Access Pass moet je binnen tien minuten na inloggen gebruiken om een passkey te registreren. Duurt de apparaatinrichting langer, geef dan een tweede code uit of gebruik een meervoudig te gebruiken TAP.
- Gasten en gedeelde accounts vergeten. Gastgebruikers kunnen in jouw tenant geen passkey registreren, en gedeelde postbussen en dienstaccounts vallen buiten het normale patroon. Breng ze apart in kaart en geef ze een eigen oplossing.
Welk passkey-type past bij welke rol
Nu het eerlijke keuzewerk. Er is geen enkel beste type; er is een type dat past bij het risico van de rol. De vuistregel: hoe meer schade iemand kan aanrichten, hoe strakker het profiel.
Heeft deze medewerker beheerdersrechten of toegang tot gevoelige data?
Dezelfde afweging in een tabel, met de vier reele opties naast elkaar:
| Type | Phishing-bestendig | Attestatie mogelijk | Kosten | Beste voor |
|---|---|---|---|---|
| Hardwaresleutel (FIDO2, bijv. YubiKey) | Ja | Ja | ~50 tot 70 euro per sleutel | Beheerders, finance, directie |
| Passkey in Microsoft Authenticator | Ja | Ja (device-bound) | Gratis (telefoon) | De meeste medewerkers |
| Gesynchroniseerde passkey (iCloud, Google, 1Password) | Ja op de inlog | Nee | Gratis of bestaand | Gemak en eigen apparaten, niet voor admins |
| Windows Hello for Business | Ja | N.v.t. (platform) | Gratis (Windows) | Vaste, beheerde Windows-werkplekken |
Kant-en-klaar of maatwerk? De bouwstenen zijn kant-en-klaar en gratis: Entra ID kan dit allemaal zonder extra product. Voor een klein team met een handvol accounts is de hele uitrol een middag werk. Het maatwerk zit in de schaal en de randen: honderden gebruikers gefaseerd migreren, de registratie koppelen aan je onboarding en offboarding, meldingen op nieuwe factoren inrichten en iemand die daadwerkelijk naar die signalen kijkt. Dat is precies de laag die de vijf-lagen-basischeck voor het MKB benoemt maar niet uitwerkt, en waar de winst van een gecontroleerde uitrol zit.
Een uitgewerkt voorbeeld
Neem een adviesbureau met 80 medewerkers op Microsoft 365, waarvan 12 mensen in de directie, finance en IT gevoelige rechten hebben. Vandaag logt iedereen in met wachtwoord plus een sms-code.
Week 1 draaien ze de Policy Scanner: 71 accounts blijken nog op sms te zitten, plus drie gedeelde postbussen en twee dienstaccounts. Die laatste vijf worden apart gezet. Voor de 12 gevoelige rollen bestellen ze 24 hardwaresleutels (twee per persoon, een reserve), ordegrootte 1.400 euro, en maken ze een profiel met attestatie aan en de AAGUID van dat ene sleutelmodel toegestaan. De overige 68 medewerkers krijgen een profiel voor een passkey in Microsoft Authenticator.
Week 2 richten ze het registratiemoment in: een Conditional Access-beleid dat het registreren van beveiligingsinfo alleen toestaat vanaf een beheerd apparaat, een melding naar de IT-mailbox bij elke nieuwe passkey, en de twee break-glass-accounts uitgesloten van al het beleid. De pilotgroep van acht mensen loopt de flow door met een Temporary Access Pass van een uur.
Week 3 tot 5 zetten ze de registratiecampagne aan voor de brede groep, met een nudge naar passkeys en een uitstel van zeven dagen. De 12 admins registreren hun hardwaresleutels onder begeleiding. Tegen het einde van de maand staat de teller op twee achterblijvers, die persoonlijk een TAP krijgen. Pas dan hangen ze de ingebouwde sterkte Phishing-resistant MFA aan de beheerdersrollen en plannen ze het uitzetten van sms voor het eerste kwartaal van 2027, ruim voor de deadline. Totale doorlooptijd: vijf weken, grotendeels naast het gewone werk.
Van een schakelaar naar een gewoonte
Passkeys uitrollen voelt als een technisch project met een einddatum, maar de deadline van Microsoft is niet het echte einde. Wie de oude factor keurig vervangt door een nieuwe en verder niets verandert, heeft een sterker slot op dezelfde deur gezet, en kijkt nog steeds niet naar wie er binnenkomt. De verschuiving die ertoe doet is subtieler: van een inlog die je een keer instelt naar een registratie- en aanmeldproces dat je blijft bekijken. De sleutel is onkraakbaar geworden. De vraag die overblijft, is of iemand het merkt wanneer er een vreemde sleutel wordt aangemaakt, en die vraag beantwoord je niet met een instelling, maar met aandacht.
Veelgestelde vragen
Wie kijkt er naar nieuwe factoren?
De sleutel is onkraakbaar; de vraag die overblijft is of iemand het merkt wanneer er een vreemde bijkomt. Ik zet de meldingen op nieuwe passkeys en MFA-factoren om in een agent die meekijkt en aan de bel trekt, zodat het registratiemoment niet onbewaakt blijft.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
