Updated March 18, 2026: We have updated the timeline. Thank you for your patience. 

[Introduction]

We’re introducing Microsoft Entra passkeys on Windows to enable phishing-resistant sign-in to Entra-protected resources. This update allows users to create device‑bound passkeys stored in the Windows Hello container and authenticate using Windows Hello methods (face, fingerprint, or PIN). It also expands passwordless authentication to Windows devices that aren’t Entra‑joined or registered, helping organizations strengthen security and reduce reliance on passwords.

[When this will happen]

• Public preview: 
  
  • Worldwide: Late March 2026 to late April 2026
  • GCC: Late April 2026 to late May 2026
  • GCC High: Late April 2026 to late May 2026
  • DoD: Late April 2026 to late May 2026

[How this affects your organization]

Who is affected

• Organizations using Microsoft Entra ID whose users sign in from Windows devices, including corporate‑managed, personal, and shared PCs.

What will happen

• There is no impact to your organization unless you opt in.
• Microsoft Entra passkeys on Windows will be available as a phishing‑resistant, passwordless sign‑in option for Entra‑protected cloud resources.
• Users will authenticate with Windows Hello (face, fingerprint, or PIN).
• Users can use passkeys on Windows devices that are not Entra‑joined or registered, enabling use on personal, shared, and unmanaged PCs.
• Users can sign-in to multiple Entra accounts on the same Windows device, with each account registering its own passkey.
• Passkeys on Windows are device‑bound and do not sync across devices; each device requires separate registration per Entra account.
• Windows Hello for Business remains recommended for managed, Entra‑joined or registered devices; passkeys supplement unmanaged device scenarios and do not support device sign‑in.
• Existing Conditional Access and authentication strength policies continue to apply with no required configuration changes unless you choose to enable passkeys.
• Users can’t register a passkey on Windows if a Windows Hello for Business credential already exists for the same account and container. This block may not apply once the user exceeds 50 total credentials across passkeys (FIDO2), Windows Hello for Business, and Mac Platform Credentials.  

[What you can do to prepare]

If you want to enable Entra passkeys on Windows during public preview:

• Enable the Passkeys (FIDO2) authentication method in Authentication Methods policies.
• Create a passkey profile and configure:
  • Attestation enforcement: Disabled
  • Key restrictions: Enabled
  • Allowed AAGUIDs (required during preview):
    • Windows Hello Hardware Authenticator: 08987058-cadc-4b81-b6e1-30de50dcbe96
    • Windows Hello VBS Hardware Authenticator: 9ddd1817-af5a-4672-a2b9-3e3dd95000a9
    • Windows Hello Software Authenticator: 6028b017-b1d4-4c02-b4b3-afcdafc96bb2
    • Note: During Public Preview, you must explicitly add these Windows Hello AAGUIDs to the allowed list.
• Assign the passkey profile to appropriate groups.
• Validate Conditional Access and authentication strengths policies to ensure they support passkey authentication.
• Communicate with pilot users about supported scenarios and enrollment steps.
• Update internal documentation if your organization tracks approved authentication methods.

If you do not plan to participate in the public preview, no action is required.

Learn more: How to enable passkey (FIDO2) profiles in Microsoft Entra ID (preview) | Authentication | Microsoft Entra ID | Microsoft Learn

[Compliance considerations]

No compliance considerations identified, review as appropriate for your organization.

2026年3月18日更新:タイムラインを更新しました。ご辛抱いただきありがとうございます。 

[はじめに]

Windows でMicrosoft Entraパスキー を導入し、Entraで保護されたリソースへのフィッシング耐性サインインを可能にします。このアップデートにより、ユーザーは Windows Helloコンテナ に保存されたデバイスバウンドパスキーを作成し、Windows Helloの方法(顔、指紋、またはPIN)を使って認証できるようになります。また、Entrajoinや登録されていないWindowsデバイスにもパスワードレス認証を拡大し、組織のセキュリティ強化とパスワード依存の軽減を支援します。

[いつ起こるか]

• 公開プレビュー: 
  
  • 世界:2026年3月下旬から4月下旬まで
  • GCC:2026年4月下旬から5月下旬まで
  • GCCハイ:2026年4月下旬から5月下旬まで
  • 国防総省:2026年4月下旬から5月下旬まで

[これがあなたの組織に与える影響]

影響を受ける人物

• Microsoft Entra IDを利用し、ユーザーが企業管理、個人、共有PCを含むWindowsデバイスからサインインする組織。

何が起こるのか

• オプトインしない限り、組織には影響はありません。
• Windows版のMicrosoft Entraパスキーは、Entraで保護されたクラウドリソースに対して、フィッシングに強いパスワード不要のサインインオプションとして利用可能です。
• ユーザーはWindows Hello(顔認証、指紋認証、またはPIN認証)で認証します。
• ユーザーはEntrajoinや登録されていないWindowsデバイスでパスキーを使用でき、個人、共有、管理されていないPCでも使用可能です。
• ユーザーは同じWindowsデバイス上で複数のEntraアカウントにサインインでき、それぞれのアカウントが独自のパスキーを登録します。
• Windowsのパスキーはデバイスに割り当てられ、デバイス間で同期されません。各デバイスはEntraアカウントごとに別々の登録が必要です。
• Windows Hello for Businessは、管理型、Entrajoin、または登録型デバイスに引き続き推奨されています。パスキーは管理されていないデバイスシナリオを補完するものであり、デバイスのサインインをサポートしません。
• 既存の条件付きアクセスおよび認証強度ポリシーは、パスキーを有効にしない限り設定変更は不要に適用されます。
• 同じアカウントとコンテナに対してすでにWindows Hello for Businessの認証情報が存在する場合、ユーザーはWindows上でパスキーを登録できません。このブロックは、ユーザーがパスキー(FIDO2)、Windows Hello for Business、Macプラットフォームの各認証情報合計で50を超えると適用されない場合があります。  

【準備のためにできること】

Windowsのパブリックプレビュー中にEntraパスキーを有効にしたい場合は:

• 認証方法ポリシーで パスキー(FIDO2) 認証方法を有効にしてください。
• パスキープロファイルを作成し、以下を設定します:
  • 認証執行: 無効化
  • 主な制限: 有効
  • 許可されているAAGUID(プレビュー中は必要):
    • Windows Helloハードウェア認証器: 08987058-cadc-4b81-b6e1-30de50dcbe96
    • Windows Hello VBSハードウェア認証器: 9ddd1817-af5a-4672-a2b9-3e3dd95000a9
    • Windows Helloソフトウェア認証器: 6028b017-b1d4-4c02-b4b3-afcdafc96bb2
    • 注: パブリックプレビュー中は、これらのWindows Hello AAGUIDを明示的に許可リストに追加する必要があります。
• パスキープロファイルを適切なグループに割り当てます。
• 条件付きアクセスと認証の検証は、パスキー認証をサポートするポリシーを強化します。
• パイロットユーザーとサポートシナリオや登録ステップについてコミュニケーションを取りましょう。
• 組織が承認された認証方法を追跡している場合は、内部文書を更新してください。

公開プレビューに参加する予定がない場合は、何の対応も必要ありません。

詳しくはこちら: Microsoft Entra IDでパスキー(FIDO2)プロファイルを有効にする方法(プレビュー) |認証 |Microsoft Entra ID |Microsoft Learn

[コンプライアンスの考慮事項]

コンプライアンス上の懸念事項は特定されず、組織に応じてレビューしてください。