[Introduction]

Microsoft Entra passkeys on Windows will soon be Generally Available, enabling phishing‑resistant, passwordless sign‑in to Microsoft Entra‑protected resources from Windows devices.

The Public Preview of this capability was previously announced in MC1247893.

Users can create device‑bound passkeys stored in the Windows Hello container and authenticate using Windows Hello methods (face, fingerprint, or PIN). This expands passwordless authentication support to Windows devices that aren’t Microsoft Entra‑joined or registered, helping organizations strengthen security and reduce reliance on passwords across corporate‑managed, personal, and shared device scenarios.

[When this will happen:]

• General Availability (Worldwide): We will begin rolling out in late April 2026 and expect to complete by mid‑June 2026.
• General Availability (GCC, GCC High, DoD): We will begin rolling out in early July 2026 and expect to complete by late July 2026.

How this affects your organization:

Who is affected:

Organizations using Microsoft Entra ID with passkeys enabled in the Authentication Methods policy whose users sign in from Windows devices, including:

• Corporate‑managed PCs
• Personal devices
• Shared devices

What will happen:

With this General Availability release:

• Microsoft Entra passkeys on Windows will no longer require explicit opt‑in through Windows Hello AAGUID allow‑listing in a passkey (FIDO2) profile.
• This represents a change from Public Preview behavior, where administrators were required to explicitly allow Windows Hello AAGUIDs in a passkey profile for Microsoft Entra passkeys on Windows to function.
• If your passkey profile allows device‑bound, non‑attested passkeys:
• Users scoped to that profile will now be able to register and use Microsoft Entra passkeys on Windows by default without additional administrator configuration.
• As a result:
  • Users in scope of passkey profiles that allow device‑bound, non‑attested passkeys may begin registering and using passkeys on Windows devices.
  • If Conditional Access policies allow:
    • Passkeys can be created and used on Windows devices that are not Microsoft Entra‑joined or registered, including personal or shared PCs.
• Each Windows device requires separate passkey registration per Entra account.
• Windows Hello for Business remains recommended for managed, Microsoft Entra‑joined or registered devices.
• Passkeys on Windows supplement unmanaged or shared device scenarios and do not support device sign‑in.
• Attestation is not currently supported for Microsoft Entra passkeys on Windows but is planned for a future update.

What you can do to prepare:

No action is required for most organizations.

If you do not want users to register or use Microsoft Entra passkeys on Windows:

• Update the relevant passkey (FIDO2) profile to block Windows Hello AAGUIDs.
• Review existing passkey profiles that allow device‑bound, non‑attested passkeys.
• Add Windows Hello AAGUIDs to the block list in passkey profiles where passkey usage on Windows devices should not be permitted.

Learn more: Enable Microsoft Entra passkey on Windows | Microsoft Learn (will be updated before GA rollout)

[Compliance considerations:]

[はじめに]

WindowsのMicrosoft Entraパスキー はまもなく一般公開され、フィッシングに強いパスワード不要のWindows デバイスからMicrosoft Entra保護リソースへのサインインが可能になります。

この機能のパブリックプレビューは MC1247893年に発表されていました。

ユーザーはWindows Helloコンテナに保存されたデバイスバウンドパスキーを作成し、Windows Helloの方法(顔、指紋、またはPINコード)で認証できます。これにより、Microsoft Entraに参加または登録されていないWindowsデバイスにもパスワードレス認証のサポートが拡大され、組織は企業管理、個人、共有デバイスなどでセキュリティを強化し、パスワードへの依存を減らすことができます。

[いつ起こるか:]

• 一般公開(世界):  2026年4月下旬 に展開を開始し、 2026年6月中旬までに完了する予定です。
• 一般稼働期間(GCC、GCC High、DoD):  2026年7月初 旬に展開を開始し、 7月下旬までに完了する予定です。

これがあなたの組織に与える影響:

影響を受ける人物:

認証 方法ポリシー でパスキーを有効にしたMicrosoft Entra IDを使用している組織で、Windowsデバイスからサインインするユーザーには以下が含まれます:

• 企業管理型PC
• 個人用デバイス
• 共有デバイス

今後の展開:

本一般公開リリースに伴い:

• Windows版のMicrosoft Entraパスキーは、パスキー(FIDO2)プロファイル内のWindows Hello AAGUID許可リストによる明示的なオプトインを必要としなくなります。
• これは、Microsoft Entraパスキーの動作を許可するために、管理者がパスキープロファイル内のWindows Hello AAGUIDを明示的に許可する必要があったパブリックプレビューの挙動からの変更です。
• もしパスキープロファイルが デバイスバウンドで認証されていないパスキーを許可している場合:
• そのプロファイルにスコープされたユーザーは、追加の管理者設定なしでWindows上でMicrosoft Entraパスキーを登録・使用できるようになります。
• その結果、
  • デバイスバウンドの認証されていないパスキーを許可するパスキープロファイルの範囲内のユーザーは、Windowsデバイスでパスキーの登録や使用を始めることができます。
  • 条件付きアクセスポリシーが許可する場合:
    • パスキーは、Microsoft Entraに加入または登録されていないWindowsデバイス、個人または共有PCでも作成・使用可能です。
• WindowsデバイスごとにEntraアカウントごとに別々のパスキー登録が必要です。
• Windows Hello for Business は、管理型、Microsoft Entraに加入または登録されたデバイスに引き続き推奨されています。
• Windowsのパスキーは、管理されていないデバイスや共有デバイスシナリオを補完するものであり、デバイスサインインはサポートしません。
• 現在、WindowsのMicrosoft Entraパスキーでは認証はサポートされていませんが、将来的なアップデートで予定されています。

準備のためにできること:

ほとんどの組織では、何らかの行動は必要ありません。

WindowsでMicrosoft Entraのパスキーを登録または使用して ほしくない 場合:

• 関連するパスキー(FIDO2)プロファイルを更新して Windows HelloのAAGUIDをブロックしてください。
• デバイスにバウンドされ、認証されていないパスキーを許可する既存のパスキープロファイルを確認してください。
• Windows HelloのAAGUIDをパスキープロファイルのブロックリストに追加し、Windowsデバイスでのパスキー使用を許可しない場所で行います。

詳しくはこちら: WindowsでMicrosoft Entraパスキーを有効にする |Microsoft Learn (GA展開前に更新予定)

[コンプライアンス上の考慮事項:]