Een hangslot op een laptop met lichtsporen op de achtergrond, symbool voor digitale beveiliging.
Nieuws14 juli · 16:154 min leestijd

Microsoft maakt passkeys standaard in Entra ID en schrapt sms-MFA

Microsoft maakt passkeys vanaf 1 september 2026 de standaard in Entra ID en stopt per 1 februari 2027 met sms- en voice-MFA. Elke Microsoft 365-tenant die nog op telefooncodes leunt, heeft nu een harde deadline om over te stappen.

Microsoft maakt passkeys vanaf 1 september 2026 de standaard inlogmethode in Entra ID en schrapt sms- en voice-MFA per 1 februari 2027, meldt het bedrijf op zijn Security Blog. Vanaf de startdatum worden gebruikers die nu nog een code per sms of telefoon ontvangen automatisch aangezet voor passkeys en bij hun volgende inlog gevraagd er een te registreren.

Voor elke Nederlandse organisatie met een Microsoft 365- of Entra-omgeving is dit een harde deadline, geen suggestie. Leunt je tenant nog op sms- of voice-MFA, dan lopen medewerkers vanaf september tegen registratieprompts aan, en na 1 februari 2027 kan niemand meer inloggen zonder eerst een passkey te hebben ingesteld. Wie nu niets voorbereidt, riskeert dus verstoorde inlogs precies op het moment dat mensen willen werken.

De data die tellen

De uitrol verloopt in stappen, alleen voor Entra ID in de publieke cloud. Andere cloudomgevingen volgen een eigen tijdlijn.

  • 1 september 2026: passkeys worden de standaardmethode. Gebruikers op sms of voice worden automatisch ingeschakeld en gevraagd te registreren.
  • 18 september 2026: Microsoft maakt bekend welke telecomproviders het ondersteunt en tegen welke prijs, via de Security Store.
  • 30 oktober 2026: beheerders kunnen externe telecomproviders instellen voor wie tóch sms of voice wil blijven gebruiken.
  • 1 februari 2027: Microsoft stopt met de eigen sms- en voice-authenticatie. Daarna moet elke gebruiker eerst een passkey registreren om te kunnen inloggen, zonder opt-out.

Wie al werkt met passkeys, Windows Hello for Business, FIDO2-sleutels, smartcards of een andere phishing-bestendige methode merkt niets van de omschakeling en kan gewoon doorgaan.

Waarom Microsoft sms en voice loslaat

De kern van de wijziging is dat sms en voice als tweede factor te makkelijk te onderscheppen zijn. Volgens Microsoft Threat Intelligence halen AI-gedreven phishingcampagnes inmiddels doorklikpercentages tot 54 procent, tegen ongeveer 12 procent bij traditionele campagnes, en worden sim-swapping en het omzeilen van MFA steeds toegankelijker voor aanvallers.

Dat is geen theorie. Eerder deze maand voerden aanvallers 81 miljoen inlogpogingen op Microsoft 365 uit waarbij ze MFA omzeilden via een verouderde Azure CLI-route. En de registratie van passkeys is zelf al doelwit: een vishingcampagne verleidde Microsoft 365-gebruikers tot het aanmaken van een frauduleuze Entra-passkey, waarmee de aanvaller blijvend toegang houdt. Passkeys gebruiken publieke-sleutelcryptografie in plaats van een gedeeld geheim, waardoor er niets te onderscheppen valt. Maar de manier waaróp je ze uitrolt, bepaalt of die belofte ook waargemaakt wordt.

Een zwarte FIDO2-beveiligingssleutel met gouden contacten en een NFC-symbool, een fysieke vorm van een passkey. Bron: Yubinerd123 / Wikimedia Commons (CC BY-SA 4.0)
Een zwarte FIDO2-beveiligingssleutel met gouden contacten en een NFC-symbool, een fysieke vorm van een passkey. Bron: Yubinerd123 / Wikimedia Commons (CC BY-SA 4.0)

Wat er van beheerders wordt verwacht

Microsoft vraagt beheerders om vóór februari 2027 iedereen op een phishing-bestendige methode te hebben. In de praktijk komt dat neer op: in kaart brengen wie nu nog sms of voice gebruikt, passkeys aanzetten (gesynchroniseerd of apparaatgebonden), registratiecampagnes uitzetten en medewerkers op tijd informeren. Microsoft levert daarvoor een Policy Scanner die opspoort welke accounts nog op sms of voice leunen. Blijft telefonische authenticatie voor een deel echt nodig, dan moet je vanaf 30 oktober 2026 zelf een externe telecomprovider koppelen.

Voor een klein team met een handvol accounts is dat een middagje werk. Voor een organisatie met honderden gebruikers, gedeelde postbussen en dienstaccounts is het een project dat je beter nu kunt inplannen dan in januari 2027.

Waar dit heen wijst

Met deze stap dwingt Microsoft de verschuiving naar phishing-bestendige authenticatie af op zijn eigen identiteitsplatform, en niet vrijblijvend. Dat past in een breder beeld waarin MFA alleen geen sluitende strategie meer is en de aanval verschoof naar het kapen van je sessie. Passkeys halen het zwakste deel van je inlog weg: de code die iemand je kan aftroggelen. Wat overblijft is de vraag die elke tenant de komende maanden moet beantwoorden: wie zet de uitrol op, en gebeurt dat gecontroleerd, of pas als de eerste medewerker buitengesloten wordt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Je Microsoft 365 toekomstbestendig

Zo'n verplichte omschakeling raakt zelden alleen de inlog: je onboarding, je koppelingen en het werk eromheen moeten mee. Ik denk mee, ontwerp de aanpak en bouw en automatiseer het end-to-end, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie
Inzicht
6 minBijgewerkt om 16:50

14 jul 13:03

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie

Microsoft ziet CO2-uitstoot met 25 procent stijgen door AI-datacenters
Nieuws
4 min

11 jul 06:10

Microsoft ziet CO2-uitstoot met 25 procent stijgen door AI-datacenters

Microsofts eigen duurzaamheidsrapport bevestigt een kwart meer CO2-uitstoot in één jaar, tot 20 miljoen ton, door de bouw van datacenters voor AI. Voor bedrijven die Azure in hun CSRD-rapportage meenemen, groeit de eigen scope 3 mee.

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing
Nieuws
5 min

9 jul 20:22

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing

Een nieuwe afpersgroep, Helix, breekt in bij Microsoft 365 met valse telefoontjes en device-code phishing en trekt hele SharePoint-bibliotheken leeg. ReliaQuest ziet een bekend patroon. Dit betekent het voor je beveiliging.

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey
Nieuws
4 min

8 jul 20:11

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey

Aanvallers bellen medewerkers van bedrijven op Microsoft 365 en praten ze een frauduleuze Entra-passkey aan. Ze nemen intussen het account over en stelen data uit SharePoint en OneDrive. Dit betekent het voor je securitybeleid.

Microsoft bevestigt 4.800 ontslagen en splitst vier Xbox-studio's af
Nieuws
4

6 jul 16:09

Microsoft bevestigt 4.800 ontslagen en splitst vier Xbox-studio's af

Microsoft schrapt 4.800 banen in sales, consulting en Xbox en verzelfstandigt vier gamestudio's, terwijl het recordbedragen in AI-infrastructuur blijft steken. Wat betekent de omslag voor je Microsoft-accountteam?

81 miljoen inlogpogingen op Microsoft 365: aanvallers omzeilen MFA via verouderde Azure CLI-route
Nieuws
5 min

1 jul 21:08

81 miljoen inlogpogingen op Microsoft 365: aanvallers omzeilen MFA via verouderde Azure CLI-route

Een wachtwoordaanval deed in twee weken ruim 81 miljoen inlogpogingen op Microsoft 365 en omzeilde bij tientallen bedrijven de MFA via de verouderde ROPC-inlogroute van Azure CLI. Zo zet je die route dicht.