Microsoft maakt passkeys vanaf 1 september 2026 de standaard inlogmethode in Entra ID en schrapt sms- en voice-MFA per 1 februari 2027, meldt het bedrijf op zijn Security Blog. Vanaf de startdatum worden gebruikers die nu nog een code per sms of telefoon ontvangen automatisch aangezet voor passkeys en bij hun volgende inlog gevraagd er een te registreren.
Voor elke Nederlandse organisatie met een Microsoft 365- of Entra-omgeving is dit een harde deadline, geen suggestie. Leunt je tenant nog op sms- of voice-MFA, dan lopen medewerkers vanaf september tegen registratieprompts aan, en na 1 februari 2027 kan niemand meer inloggen zonder eerst een passkey te hebben ingesteld. Wie nu niets voorbereidt, riskeert dus verstoorde inlogs precies op het moment dat mensen willen werken.
De data die tellen
De uitrol verloopt in stappen, alleen voor Entra ID in de publieke cloud. Andere cloudomgevingen volgen een eigen tijdlijn.
- 1 september 2026: passkeys worden de standaardmethode. Gebruikers op sms of voice worden automatisch ingeschakeld en gevraagd te registreren.
- 18 september 2026: Microsoft maakt bekend welke telecomproviders het ondersteunt en tegen welke prijs, via de Security Store.
- 30 oktober 2026: beheerders kunnen externe telecomproviders instellen voor wie tóch sms of voice wil blijven gebruiken.
- 1 februari 2027: Microsoft stopt met de eigen sms- en voice-authenticatie. Daarna moet elke gebruiker eerst een passkey registreren om te kunnen inloggen, zonder opt-out.
Wie al werkt met passkeys, Windows Hello for Business, FIDO2-sleutels, smartcards of een andere phishing-bestendige methode merkt niets van de omschakeling en kan gewoon doorgaan.
Waarom Microsoft sms en voice loslaat
De kern van de wijziging is dat sms en voice als tweede factor te makkelijk te onderscheppen zijn. Volgens Microsoft Threat Intelligence halen AI-gedreven phishingcampagnes inmiddels doorklikpercentages tot 54 procent, tegen ongeveer 12 procent bij traditionele campagnes, en worden sim-swapping en het omzeilen van MFA steeds toegankelijker voor aanvallers.
Dat is geen theorie. Eerder deze maand voerden aanvallers 81 miljoen inlogpogingen op Microsoft 365 uit waarbij ze MFA omzeilden via een verouderde Azure CLI-route. En de registratie van passkeys is zelf al doelwit: een vishingcampagne verleidde Microsoft 365-gebruikers tot het aanmaken van een frauduleuze Entra-passkey, waarmee de aanvaller blijvend toegang houdt. Passkeys gebruiken publieke-sleutelcryptografie in plaats van een gedeeld geheim, waardoor er niets te onderscheppen valt. Maar de manier waaróp je ze uitrolt, bepaalt of die belofte ook waargemaakt wordt.

Wat er van beheerders wordt verwacht
Microsoft vraagt beheerders om vóór februari 2027 iedereen op een phishing-bestendige methode te hebben. In de praktijk komt dat neer op: in kaart brengen wie nu nog sms of voice gebruikt, passkeys aanzetten (gesynchroniseerd of apparaatgebonden), registratiecampagnes uitzetten en medewerkers op tijd informeren. Microsoft levert daarvoor een Policy Scanner die opspoort welke accounts nog op sms of voice leunen. Blijft telefonische authenticatie voor een deel echt nodig, dan moet je vanaf 30 oktober 2026 zelf een externe telecomprovider koppelen.
Voor een klein team met een handvol accounts is dat een middagje werk. Voor een organisatie met honderden gebruikers, gedeelde postbussen en dienstaccounts is het een project dat je beter nu kunt inplannen dan in januari 2027.
Waar dit heen wijst
Met deze stap dwingt Microsoft de verschuiving naar phishing-bestendige authenticatie af op zijn eigen identiteitsplatform, en niet vrijblijvend. Dat past in een breder beeld waarin MFA alleen geen sluitende strategie meer is en de aanval verschoof naar het kapen van je sessie. Passkeys halen het zwakste deel van je inlog weg: de code die iemand je kan aftroggelen. Wat overblijft is de vraag die elke tenant de komende maanden moet beantwoorden: wie zet de uitrol op, en gebeurt dat gecontroleerd, of pas als de eerste medewerker buitengesloten wordt.
Veelgestelde vragen
Je Microsoft 365 toekomstbestendig
Zo'n verplichte omschakeling raakt zelden alleen de inlog: je onboarding, je koppelingen en het werk eromheen moeten mee. Ik denk mee, ontwerp de aanpak en bouw en automatiseer het end-to-end, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
