De data die Microsoft al heeft vastgelegd

Microsoft publiceerde de wijziging op 13 juli in een bericht op het securityblog dat leest als een routinematige identiteitsupdate en dat vier data bevat. Vanaf 1 september 2026 wordt elke Entra ID-gebruiker die vandaag is ingeschakeld voor sms of spraak automatisch geactiveerd voor passkeys en bij de volgende meervoudige verificatie gevraagd er een te registreren. Op 18 september zegt Microsoft de ondersteunde telecomaanbieders te zullen noemen, met hun prijzen en commerciële voorwaarden in de Microsoft Security Store. Vanaf 30 oktober kunnen beheerders er een kiezen en inrichten.

De datum die de discussie beëindigt is 1 februari 2027. Op die dag stopt Microsoft met het bezorgen van sms en spraakoproepen als native functie van Entra ID. Tenants die dan geen eigen telecomaanbieder onder contract hebben, kunnen een code per bericht of per oproep helemaal niet meer als tweede factor gebruiken, en wie daarvan afhing moet eerst een passkey registreren voordat aanmelden lukt. Microsoft schrijft het onomwonden: na die datum is er geen opt-out meer.

De deadline komt eerder dan de prijs

Lees de data op volgorde en de volgorde is het nieuws. Het einde ligt vast op 1 februari 2027. De prijs van de enige ondersteunde manier om sms en spraak te behouden verschijnt pas op 18 september 2026 en is pas vanaf 30 oktober in te richten. Een organisatie moet dus beslissen hoe zij tienduizenden aanmeldingen verplaatst voordat zij het alternatief voor verplaatsen kan beprijzen.

Dit is geen veiligheidsbesluit vermomd als factuur. Het is allebei tegelijk. Een functie die in de Entra-licentie zat, wordt voor wie haar nog nodig heeft een contract met een externe operator via de marktplaats van Microsoft. De phishinggevoelige methode verdwijnt, wat verdedigbaar is, en de ondersteunde manier om haar te houden wordt een inkooptraject met leverancier, contract en een prijs die buiten Microsoft nog niemand kan noemen.

De accounts die breken hebben geen telefoon

Een passkey gaat ervan uit dat iemand een eigen apparaat heeft waarop hij zich met biometrie of een pincode kan identificeren. Kantoorpersoneel heeft dat meestal. De accounts die op een sms-code leunden zijn vaak juist de andere: magazijn en productie op gedeelde terminals, ploegendienst zonder zakelijke telefoon, seizoens- en inhuurkrachten, buitendienstmonteurs van wie de privételefoon nooit ergens is geregistreerd. Sms was de kleinste gemene deler juist omdat het geen registratie en geen beheerd apparaat vroeg.

Vervanging voor die mensen betekent iets uitgeven, een beheerde telefoon of een FIDO2-sleutel per persoon, en dat is een investeringspost en een logistieke klus, geen instelling. In Nederland dringt het NCSC al jaren aan op phishingbestendige methoden, dus de richting verrast niemand. De rekening voor de laatste loodjes wel. En dat is geen afweging die een identiteitsbeheerder in de laatste week van januari 2027 alleen kan maken.

Wat vóór 1 augustus geregeld moet zijn

De bruikbare deadline is niet februari. De eigen documentatie van Microsoft legt de tijdelijke opt-out voor het venster van september tot februari, en de interface die daarvoor nodig is, op 1 augustus 2026. Dat is over ongeveer twee weken, en het is het moment waarop een organisatie antwoord moet hebben op één vraag: laten we de passkey-uitrol op 1 september beginnen, of houden we hem tegen zolang onduidelijk is wie niet geregistreerd kan worden?

Daarvoor is een telling nodig, geen mening. Trek de lijst van accounts waarvan sms of spraak de enige geregistreerde methode is, splits die in mensen met en zonder registreerbaar apparaat, en zet een prijs op de tweede groep. Is het getal klein, neem de uitrol dan mee en wees vroeg klaar. Is het dat niet, gebruik dan in augustus de opt-out, koop in het najaar sleutels of telefoons, en beschouw 18 september als de dag waarop u hoort wat de terugvaloptie zou hebben gekost.