Datumen Microsoft redan har spikat
Microsoft publicerade förändringen den 13 juli i ett inlägg på sin säkerhetsblogg som läses som en rutinmässig identitetsuppdatering och som innehåller fyra datum. Från den 1 september 2026 aktiveras varje Entra ID-användare som i dag är påslagen för sms eller röstsamtal automatiskt för passkeys och uppmanas registrera en vid nästa flerfaktorkontroll. Den 18 september säger Microsoft att bolaget ska namnge de teleoperatörer som stöds, med priser och kommersiella villkor i Microsoft Security Store. Från den 30 oktober kan administratörer välja och konfigurera en av dem.
Datumet som avslutar diskussionen är den 1 februari 2027. Den dagen slutar Microsoft leverera sms och röstsamtal som en inbyggd funktion i Entra ID. Tenanter som inte då har avtal med en egen teleoperatör kan inte längre använda en kod som skickats via meddelande eller samtal som andra faktor alls, och den som förlitat sig på det måste registrera en passkey innan inloggning fungerar. Microsoft skriver det rakt ut: efter det datumet finns inget undantag.
Tidsfristen kommer före priset
Läs datumen i ordning, så är ordningen själva nyheten. Avvecklingen är fastlagd till den 1 februari 2027. Priset på den enda vägen som stöds för att behålla sms och röstsamtal publiceras inte förrän den 18 september 2026 och kan inte konfigureras förrän den 30 oktober. En organisation måste alltså bestämma hur den flyttar tiotusentals autentiseringar innan den kan sätta en siffra på alternativet till att flytta dem.
Det här är inte ett säkerhetsbeslut förklätt till en faktura. Det är bådadera samtidigt. En funktion som låg inne i Entra-licensen blir, för den som fortfarande behöver den, ett avtalat köp från en utomstående operatör via Microsofts marknadsplats. Den nätfiskekänsliga metoden försvinner, vilket är försvarbart, och den väg som stöds för att behålla den blir en upphandling med leverantör, avtal och ett pris som ingen utanför Microsoft ännu kan nämna.
Kontona som går sönder har ingen telefon
En passkey förutsätter att personen har en egen enhet där hon kan legitimera sig med biometri eller en pinkod. Kontorspersonal har oftast det. Kontona som vilade på en sms-kod är ofta de andra: lager och produktion vid delade terminaler, skiftlag utan tjänstemobil, säsongs- och inhyrd personal, fälttekniker vars privata telefon aldrig registrerats någonstans. Sms var minsta gemensamma nämnare just för att det varken krävde registrering eller en förvaltad enhet.
Att ersätta det för dem innebär att dela ut något, en förvaltad telefon eller en FIDO2-nyckel per person, och det är en investeringspost och ett logistikjobb, inte en inställning. I Sverige har MSB länge förordat nätfiskeresistenta metoder, så riktningen förvånar ingen. Räkningen för sista biten gör det. Och det är inte ett beslut en identitetsadministratör kan fatta ensam sista veckan i januari 2027.
Vad som måste avgöras före den 1 augusti
Den användbara tidsfristen är inte februari. Microsofts egen dokumentation lägger det tillfälliga undantaget för fönstret september till februari, och gränssnittet som krävs för att tillämpa det, till den 1 augusti 2026. Det är ungefär två veckor bort, och det är då en organisation måste ha svar på en enda fråga: låter vi utrullningen av passkeys börja den 1 september, eller håller vi tillbaka den tills vi vet vilka som inte kan registreras?
Att svara på det kräver en räkning, inte en åsikt. Ta fram listan över konton vars enda registrerade metod är sms eller röstsamtal, dela den mellan dem som har en enhet som går att registrera och dem som inte har det, och prissätt den andra gruppen. Är siffran liten, ta utrullningen och bli klar tidigt. Är den inte det, använd undantaget i augusti, lägg hösten på att köpa nycklar eller telefoner, och betrakta den 18 september som dagen då ni får veta vad reservlösningen skulle ha kostat.
Läs vidare: Byt ut varje hemlighet som Grok Build har sett | Att öppna ett enda mejl kan lämna ut hela din Zimbra-brevlåda



