Daty, które Microsoft już ustalił
Microsoft opublikował zmianę 13 lipca we wpisie na swoim blogu bezpieczeństwa, który czyta się jak rutynowa aktualizacja tożsamości, a zawiera cztery daty. Od 1 września 2026 roku każdy użytkownik Entra ID włączony dziś do SMS-a lub połączenia głosowego zostaje automatycznie aktywowany do passkeys i poproszony o zarejestrowanie klucza przy następnym uwierzytelnianiu wieloskładnikowym. 18 września Microsoft zapowiada wskazanie obsługiwanych operatorów telekomunikacyjnych wraz z cenami i warunkami handlowymi w Microsoft Security Store. Od 30 października administratorzy będą mogli wybrać i skonfigurować jednego z nich.
Datą, która kończy dyskusję, jest 1 lutego 2027 roku. Tego dnia Microsoft przestaje dostarczać SMS-y i połączenia głosowe jako natywną funkcję Entra ID. Dzierżawcy, którzy do tego czasu nie zakontraktują własnego operatora, w ogóle nie będą mogli używać kodu wysłanego wiadomością ani połączeniem jako drugiego składnika, a ci, którzy na nim polegali, będą musieli zarejestrować passkey, zanim się zalogują. Microsoft pisze to wprost: po tej dacie nie ma już żadnej rezygnacji.
Termin zapada wcześniej niż cena
Wystarczy przeczytać te daty po kolei, a kolejność okaże się właściwą wiadomością. Wycofanie jest ustalone na 1 lutego 2027 roku. Cena jedynej wspieranej drogi do zachowania SMS-a i połączenia zostanie opublikowana dopiero 18 września 2026 roku, a konfiguracja będzie możliwa od 30 października. Organizacja musi więc zdecydować, jak przeniesie dziesiątki tysięcy uwierzytelnień, zanim będzie mogła podać liczbę opisującą alternatywę dla przeniesienia.
To nie jest decyzja o bezpieczeństwie przebrana za rachunek. To jedno i drugie naraz. Funkcja, która mieściła się w licencji Entra, staje się dla tych, którzy nadal jej potrzebują, zakontraktowanym zakupem u zewnętrznego operatora poprzez rynek Microsoftu. Metoda podatna na phishing znika, co da się obronić, a wspierana droga do jej zachowania zamienia się w postępowanie zakupowe z dostawcą, umową i ceną, której poza Microsoftem nikt jeszcze nie potrafi podać.
Konta, które się psują, nie mają telefonu
Passkey zakłada, że człowiek ma własne urządzenie, na którym potwierdzi tożsamość biometrią albo kodem PIN. Pracownicy biurowi zwykle je mają. Konta, które opierały się na kodzie SMS, to najczęściej te pozostałe: magazyn i produkcja przy współdzielonych terminalach, pracownicy zmianowi bez telefonu służbowego, pracownicy sezonowi i kontraktowi, technicy w terenie, których prywatny telefon nigdy nigdzie nie został zarejestrowany. SMS był najmniejszym wspólnym mianownikiem właśnie dlatego, że nie wymagał ani rejestracji, ani zarządzanego urządzenia.
Zastąpienie go dla tych osób oznacza wydanie czegoś: zarządzanego telefonu albo klucza FIDO2 na głowę, a to pozycja inwestycyjna i zadanie logistyczne, nie ustawienie. W Polsce NASK i CERT Polska od lat zalecają metody odporne na phishing, więc kierunek nikogo nie zaskakuje. Rachunek za ostatni odcinek już tak. I nie jest to rozstrzygnięcie, które administrator tożsamości podejmie sam w ostatnim tygodniu stycznia 2027 roku.
Co trzeba rozstrzygnąć przed 1 sierpnia
Użyteczny termin to nie luty. Własna dokumentacja Microsoftu umieszcza tymczasową rezygnację dla okna od września do lutego, wraz z interfejsem potrzebnym do jej zastosowania, na 1 sierpnia 2026 roku. To około dwóch tygodni, i jest to moment, w którym organizacja musi mieć odpowiedź na jedno pytanie: pozwalamy, by wdrożenie passkeys ruszyło 1 września, czy wstrzymujemy je, dopóki nie ustalimy, kogo nie da się zarejestrować?
Odpowiedź wymaga policzenia, nie opinii. Proszę wyciągnąć listę kont, dla których jedyną zarejestrowaną metodą jest SMS lub połączenie, podzielić ją na osoby z urządzeniem możliwym do zarejestrowania i bez niego, a następnie wycenić drugą grupę. Jeśli liczba jest mała, warto przyjąć wdrożenie i skończyć wcześnie. Jeśli nie jest, trzeba w sierpniu skorzystać z rezygnacji, jesień przeznaczyć na zakup kluczy albo telefonów, a 18 września potraktować jako dzień, w którym poznają Państwo cenę rozwiązania zapasowego, z którego ostatecznie Państwo nie skorzystali.
Czytaj dalej: Wymieńcie każdy sekret, który widział Grok Build | Otwarcie jednego e-maila może oddać Twoją skrzynkę Zimbra



