As datas que a Microsoft já fixou

A Microsoft publicou a alteração a 13 de julho num artigo do seu blogue de segurança que se lê como uma atualização de identidade de rotina e que traz quatro datas. A partir de 1 de setembro de 2026, cada utilizador do Entra ID hoje ativado para SMS ou chamada fica automaticamente ativado para passkeys e é convidado a registar uma na verificação em vários fatores seguinte. A 18 de setembro, a Microsoft diz que vai indicar os operadores de telecomunicações suportados, os seus preços e as condições comerciais na Microsoft Security Store. A partir de 30 de outubro, os administradores poderão escolher e configurar um deles.

A data que encerra a discussão é 1 de fevereiro de 2027. Nesse dia a Microsoft deixa de entregar SMS e chamadas de voz como funcionalidade nativa do Entra ID. Os inquilinos que até lá não tenham contratado um operador próprio deixam de poder usar um código enviado por mensagem ou por chamada como segundo fator, e quem dependia dele terá de registar uma passkey antes de conseguir entrar. A Microsoft escreve-o sem rodeios: depois dessa data não há qualquer exclusão.

O prazo chega antes do preço

Leia as datas por ordem e a ordem é a notícia. A retirada está fixada em 1 de fevereiro de 2027. O preço da única via suportada para manter o SMS e a chamada só é publicado a 18 de setembro de 2026 e só é configurável a partir de 30 de outubro. Uma organização tem, portanto, de decidir como move dezenas de milhares de autenticações antes de conseguir pôr um número na alternativa a movê-las.

Isto não é uma decisão de segurança disfarçada de fatura. É as duas coisas ao mesmo tempo. Uma funcionalidade que vinha dentro da licença Entra passa a ser, para quem dela ainda precisa, uma compra contratada a um operador externo através do mercado da Microsoft. O método vulnerável ao phishing desaparece, o que é defensável, e o caminho suportado para o manter transforma-se num processo de compras com fornecedor, contrato e um preço que, fora da Microsoft, ninguém consegue ainda citar.

As contas que quebram não têm telemóvel

Uma passkey pressupõe que a pessoa tem um equipamento próprio no qual se pode autenticar com biometria ou com um PIN. O pessoal de escritório costuma ter. As contas que assentavam num código por SMS são muitas vezes as outras: armazém e produção em terminais partilhados, turnos sem telemóvel da empresa, sazonais e prestadores, técnicos no terreno cujo telefone pessoal nunca foi registado em lado nenhum. O SMS era o mínimo denominador comum precisamente porque não exigia registo nem equipamento gerido.

Substituí-lo para essas pessoas significa entregar alguma coisa, um telemóvel gerido ou uma chave FIDO2 por cabeça, e isso é uma rubrica de investimento e um trabalho de logística, não uma configuração. Em Portugal, o Centro Nacional de Cibersegurança recomenda há anos métodos resistentes ao phishing, pelo que a direção não surpreende ninguém. A conta do último quilómetro surpreende. E não é uma decisão que um administrador de identidades possa tomar sozinho na última semana de janeiro de 2027.

O que resolver antes de 1 de agosto

O prazo útil não é fevereiro. A própria documentação da Microsoft coloca a exclusão temporária para a janela de setembro a fevereiro, e a interface necessária para a aplicar, em 1 de agosto de 2026. Faltam cerca de duas semanas, e é o momento em que uma organização precisa de ter resposta a uma única pergunta: deixamos arrancar a implementação das passkeys a 1 de setembro, ou travamo-la enquanto apuramos quem não vamos conseguir registar?

Responder a isso exige uma contagem, não uma opinião. Tire a lista das contas cujo único método registado é SMS ou chamada, separe quem tem equipamento registável de quem não tem, e ponha preço no segundo grupo. Se o número for pequeno, avance com a implementação e termine cedo. Se não for, use a exclusão em agosto, dedique o outono a comprar chaves ou telemóveis e trate 18 de setembro como o dia em que fica a saber quanto teria custado o plano de recurso.