Datoerne, Microsoft allerede har fastlagt
Microsoft offentliggjorde ændringen den 13. juli i et indlæg på sikkerhedsbloggen, der læses som en rutinemæssig opdatering af identitet, og som indeholder fire datoer. Fra den 1. september 2026 bliver hver Entra ID-bruger, der i dag er aktiveret til sms eller opkald, automatisk slået til for passkeys og bedt om at registrere en ved næste flerfaktorgodkendelse. Den 18. september siger Microsoft, at selskabet vil navngive de understøttede teleudbydere med priser og kommercielle vilkår i Microsoft Security Store. Fra den 30. oktober kan administratorer vælge og opsætte en af dem.
Datoen, der afslutter diskussionen, er den 1. februar 2027. Den dag stopper Microsoft leveringen af sms og taleopkald som en indbygget funktion i Entra ID. Lejere, der ikke inden da har en aftale med en egen teleudbyder, kan slet ikke længere bruge en kode sendt pr. besked eller opkald som anden faktor, og de brugere, der var afhængige af den, skal registrere en passkey, før de kan logge ind. Microsoft skriver det lige ud: efter den dato findes der intet fravalg.
Fristen kommer før prisen
Læs datoerne i rækkefølge, og rækkefølgen er selve nyheden. Udfasningen ligger fast den 1. februar 2027. Prisen på den eneste understøttede vej til at beholde sms og opkald offentliggøres først den 18. september 2026 og kan først opsættes fra den 30. oktober. En virksomhed skal altså beslutte, hvordan den flytter titusindvis af godkendelser, før den kan sætte et tal på alternativet til at flytte dem.
Det er ikke en sikkerhedsbeslutning forklædt som en regning. Det er begge dele på én gang. En funktion, der lå inde i Entra-licensen, bliver for dem, der stadig har brug for den, et kontraktkøb hos en fremmed operatør gennem Microsofts markedsplads. Den phishing-sårbare metode forsvinder, hvilket er forsvarligt, og den understøttede måde at beholde den på bliver en indkøbsopgave med leverandør, kontrakt og en pris, som ingen uden for Microsoft endnu kan nævne.
De konti, der knækker, har ingen telefon
En passkey forudsætter, at personen har en enhed, hun råder over, og kan godkende sig på med biometri eller en pinkode. Det har kontorpersonale som regel. De konti, der hvilede på en sms-kode, er ofte de andre: lager og produktion ved fælles terminaler, skiftehold uden firmamobil, sæson- og kontraktansatte, teknikere i marken, hvis private telefon aldrig blev registreret noget sted. Sms var den mindste fællesnævner, netop fordi den hverken krævede registrering eller en administreret enhed.
At erstatte den for dem betyder at udlevere noget, enten en administreret telefon eller en FIDO2-nøgle pr. hoved, og det er en investeringspost og en logistikopgave, ikke en indstilling. I Danmark har Center for Cybersikkerhed i årevis anbefalet phishing-resistente metoder, så retningen overrasker ingen. Regningen for den sidste strækning gør. Og det er ikke en afgørelse, en identitetsadministrator kan træffe alene i den sidste uge af januar 2027.
Hvad der skal afklares inden den 1. august
Den brugbare frist er ikke februar. Microsofts egen dokumentation placerer det midlertidige fravalg for vinduet fra september til februar, og den grænseflade der skal bruges til det, den 1. august 2026. Det er cirka to uger væk, og det er det tidspunkt, hvor en virksomhed skal have svar på ét spørgsmål: lader vi udrulningen af passkeys begynde den 1. september, eller holder vi den tilbage, indtil vi ved, hvem der ikke kan registreres?
Det svar kræver en optælling, ikke en holdning. Træk listen over konti, hvis eneste registrerede metode er sms eller opkald, del den i dem med og dem uden en enhed, der kan registreres, og sæt pris på den anden gruppe. Er tallet lille, så tag udrulningen og bliv færdig tidligt. Er det ikke, så brug fravalget i august, brug efteråret på at købe nøgler eller telefoner, og betragt den 18. september som dagen, hvor I får at vide, hvad tilbagefaldsløsningen ville have kostet.
Læs videre: Udskift alle de hemmeligheder, Grok Build har set | En enkelt e-mail kan overdrage din Zimbra-postkasse



