Entra ID passkeyt oletus 2026 on muutos, johon Microsoft 365 -ympäristöjä käyttävien yritysten kannattaa varautua ajoissa. Microsoft alkaa 1.9.2026 ohjata Entra ID -käyttäjiä pois SMS- ja puhelupohjaisesta monivaiheisesta tunnistautumisesta kohti passkey-kirjautumista. Muutos koskee organisaatioita, joissa käyttäjät käyttävät tekstiviestiä tai puhelua MFA-menetelmänä.
Käytännössä kyse ei ole vain uudesta kirjautumistavasta, vaan identiteetinhallinnan suunnanmuutoksesta. Puhelinverkkoon perustuvat kertakoodit ovat olleet monelle yritykselle helppo tapa ottaa MFA käyttöön, mutta ne eivät enää riitä torjumaan nykyaikaisia kalastelu- ja tilikaappausyrityksiä yhtä hyvin kuin kalastelunkestävät menetelmät.
Mitä Microsoft muuttaa Entra ID:ssä?
Microsoft ottaa passkey-käyttöönoton oletuskokemukseksi niissä Entra ID -tenanteissa, joissa käyttäjillä on käytössä SMS- tai voice-tunnistautuminen. Kun käyttäjä kirjautuu ja kohtaa MFA-vaiheen kelpoisella laitteella, häntä voidaan ohjata rekisteröimään passkey tulevia kirjautumisia varten.
Käyttäjät, joilla on jo käytössä passkey, Windows Hello for Business, FIDO2-turva-avain tai muu kalastelunkestävä tunnistautumistapa, voivat jatkaa nykyisillä menetelmillään. Muutoksen painopiste on niissä käyttäjissä ja organisaatioissa, jotka nojaavat edelleen puhelinverkkoon perustuvaan MFA:han.
Toinen merkittävä päivämäärä on 1.2.2027. Sen jälkeen Microsoftin oma SMS- ja puheluvälitys poistuu Entra ID:stä. Jos käyttäjän ainoa MFA-menetelmä on tuolloin SMS tai puhelu, käyttäjän on rekisteröitävä passkey kirjautumisen yhteydessä jatkaakseen tilin käyttöä. Microsoftin dokumentaatiossa tätä kuvataan estävänä kehotteena, eli kirjautuminen ei etene normaalisti ilman uutta menetelmää.
Miksi SMS- ja puhelupohjainen MFA väistyy?
Tekstiviestiin tai puheluun perustuva MFA on parempi kuin pelkkä salasana, mutta se ei ole enää vahva tavoitetila yrityksen identiteetinhallinnassa. SMS-koodit voivat altistua SIM-vaihtohyökkäyksille, sosiaaliselle manipuloinnille, reaaliaikaisille kalastelusivustoille ja muille menetelmille, joissa käyttäjä houkutellaan luovuttamaan kirjautumistieto tai vahvistamaan väärä pyyntö.
Passkeyt toimivat eri tavalla. Ne perustuvat julkisen avaimen salaukseen, jossa palveluun ei lähetetä uudelleenkäytettävää salasanaa tai tekstiviestikoodia. Käyttäjä avaa kirjautumisen omalla laitteellaan esimerkiksi PIN-koodilla, biometrisellä tunnistuksella tai turva-avaimella. Tämä vähentää riskiä, että hyökkääjä voisi kopioida kirjautumistiedon kalastelusivulta ja käyttää sitä myöhemmin.
Yritykselle tämä tarkoittaa, että identiteetiturvan painopiste siirtyy yksittäisistä koodeista hallittuihin laitteisiin, tunnistusmenetelmiin ja pääsynhallinnan sääntöihin. Samalla korostuvat Entra ID:n Authentication Methods -käytännöt, Conditional Access -linjaukset sekä käyttäjäryhmien hallittu käyttöönotto.
Miksi muutos on pk-yrityksille käytännössä tärkeä?
Monessa suomalaisessa pk-yrityksessä Microsoft 365 on arjen keskeinen työympäristö. Sama tunnus avaa sähköpostin, Teamsin, SharePointin, OneDriven, taloushallinnon integraatioita ja usein myös muita pilvipalveluja. Jos tunnistautuminen ei toimi, vaikutus näkyy nopeasti työn keskeytymisinä ja tukipyyntöinä. Jos tunnistautuminen on liian heikkoa, riski tilikaappaukselle kasvaa.
Muutos voi vaikuttaa erityisesti organisaatioihin, joilla on paljon etätyöntekijöitä, yhteiskäyttölaitteita, alihankkijoita, kausityöntekijöitä tai käyttäjiä, joilla ei ole passkey-yhteensopivaa laitetta. Myös puhelimen vaihtaminen, laitteen katoaminen ja sijaiskäytännöt on suunniteltava etukäteen, jotta tunnukset eivät lukkiudu arjen kiireissä.
Suomi Solutions auttaa Microsoft 365 -ympäristöjä käyttäviä organisaatioita selvittämään, ketkä käyttäjät ovat yhä SMS- tai puhelupohjaisen MFA:n varassa, mitä tunnistautumistapoja tenantissa sallitaan ja miten siirtymä passkeyihin voidaan tehdä ilman tarpeettomia kirjautumishäiriöitä. Käytännön työ voi sisältää esimerkiksi käyttäjäryhmien kartoituksen, pilottikäyttöönoton ja tukiprosessin suunnittelun.
Miten muutos näkyy yrityksen arjessa?
Käyttäjälle muutos voi näkyä kirjautumisen yhteydessä kehotteena rekisteröidä passkey. IT-tiimille se näkyy tarpeena hallita käyttöönottoa vaiheittain, seurata rekisteröintien etenemistä ja varmistaa, että poikkeustilanteille on selkeä toimintamalli.
Jos organisaatio jättää siirtymän viime tinkaan, ongelmat voivat kasaantua juuri määräajan lähestyessä. Tyypillisiä riskejä ovat käyttäjät, jotka eivät ymmärrä rekisteröintikehotetta, laitteet, jotka eivät tue haluttua menetelmää, vanhat Conditional Access -säännöt, jotka eivät huomioi uusia kirjautumistapoja, sekä ulkopuoliset käyttäjät, joiden vastuista ei ole sovittu.
Hyvin toteutettuna muutos voi kuitenkin parantaa sekä turvallisuutta että käyttökokemusta. Passkey tai Windows Hello for Business voi vähentää salasanojen ja kertakoodien tarvetta, nopeuttaa kirjautumista ja pienentää tukipyyntöjen määrää pitkällä aikavälillä.
Mitä yrityksen kannattaa tehdä nyt?
- Kartoita nykytila. Selvitä Entra ID:stä käyttäjät, jotka käyttävät aktiivisesti SMS- tai puhelupohjaista MFA:ta.
- Luokittele käyttäjäryhmät. Erottele normaalit käyttäjät, ylläpitäjät, ulkopuoliset käyttäjät, yhteiskäyttölaitteet ja poikkeusryhmät.
- Valitse ensisijaiset menetelmät. Päätä, käytetäänkö passkeytä, Windows Hello for Businessia, FIDO2-avaimia tai näiden yhdistelmää.
- Tee pilotti ennen laajaa käyttöönottoa. Testaa laitteet, selaimet, käyttöjärjestelmät ja käyttäjäohjeet pienellä ryhmällä.
- Päivitä Entra ID -käytännöt. Tarkista Authentication Methods -asetukset ja Conditional Access -säännöt.
- Suunnittele käyttäjätuki. Määritä, mitä tehdään, jos käyttäjä vaihtaa puhelinta, kadottaa laitteen tai ei saa passkeytä rekisteröityä.
- Seuraa määräpäiviä. Valmistaudu 1.9.2026 alkavaan oletuskäyttöönottoon ja 1.2.2027 tapahtuvaan Microsoftin natiivin SMS- ja voice-välityksen poistumiseen.
Jos yrityksellä on edelleen perusteltu tarve SMS- tai puhelupohjaiselle tunnistautumiselle vuoden 2027 jälkeen, vaihtoehdoksi tulee asiakashallittu teleoperaattori Microsoft Security Storen kautta. Microsoftin mukaan lisätietoja näistä palveluista julkaistaan 18.9.2026, joten asia kannattaa merkitä identiteetinhallinnan tiekarttaan jo nyt.
Käytännön varautuminen alkaa usein näkyvyydestä, päivityksistä ja vastuiden selkeydestä. Suomi Solutions voi auttaa arvioimaan Microsoft 365 – ja Entra ID -ympäristön nykyiset tunnistautumismenetelmät, suunnittelemaan passkey-käyttöönoton vaiheistuksen ja tukemaan käyttäjäviestintää niin, että muutos parantaa kyberturvaa eikä aiheuta tarpeettomia katkoksia liiketoiminnan jatkuvuuteen. Jos haluat varmistaa, että Entra ID -ympäristösi on valmiina ennen määräaikoja, tutustu Suomi Solutionsin käytännön IT- ja kyberturvapalveluihin osoitteessa https://suomisolutions.fi/.
