Conditional Access authentication strengths in Microsoft Entra ID will be improved to support registration of device-bound passkeys (defined at passkeys.dev) stored on computers, security keys, and mobile devices. 

This message is associated with Microsoft 365 Roadmap ID 182056.

[When this will happen:]

Public Preview: We will begin rolling out early March 2024 and expect to complete by mid-March 2024.

Worldwide, GCC, GCC High, DoD: We will begin rolling out late April 2024 and expect to complete by early May 2024.

[How this will affect your organization:]

End user registration

Prior to this change, users who were in-scope for authentication strength enforcement who could not satisfy passkey (FIDO2) authentication requirements received an error message asking users to manually register the passkey (FIDO2) method.

With this rollout, in My Security Info, new registration options called Passkey (preview) and Passkey in Microsoft Authenticator (preview) will be shown to users who are interrupted to register a passkey (FIDO2) method to satisfy authentication strength requirements. Users that are required to register a passkey in Microsoft Authenticator will see a dedicated registration experience. Users whose organization requires specific passkeys from various vendors and manufacturers will be shown allowable AAGUIDS of the passkeys they can choose to register. No changes are expected to existing Conditional Access policies targeting security information registration.

Current:

New:

[What you need to do to prepare:]

For more information on changes to Microsoft Entra support for passkeys (FIDO2), please review our previous message center post MC690185: (Updated) Prepare for device-bound passkeys in Microsoft Entra ID (changes to FIDO2 and Windows Hello for Business), (November 2023).

No action is needed to prepare for this change. You may want to notify your users about this change and update any relevant documentation as appropriate.

Microsoft Entra ID の条件付きアクセス認証の強度が改善され、コンピューター、セキュリティ キー、モバイル デバイスに格納されているデバイスバインド パスキー (passkeys.dev で定義) の登録がサポートされます。 

このメッセージは、Microsoft 365 ロードマップ ID 182056に関連付けられ ています。

[これがいつ起こるか:]

パブリック プレビュー: 2024 年 3 月上旬にロールアウトを開始し、2024 年 3 月中旬までに完了する予定です。

全世界、GCC、GCC High、DoD: 2024 年 4 月下旬にロールアウトを開始し、2024 年 5 月上旬までに完了する予定です。

[これが組織に及ぼす影響:]

エンドユーザー登録

この変更の前は、パスキー (FIDO2) 認証要件を満たすことができなかった認証強度の適用範囲内のユーザーには、パスキー (FIDO2) メソッドを手動で登録するように求めるエラー メッセージが表示されていました。

このロールアウト では、認証強度の要件を満たすために、 パスキー (プレビュー ) と Microsoft Authenticator のパス キー (プレビュー) と呼ばれる新しい登録オプションが、パスキー (FIDO2) メソッドの登録を中断されたユーザーに表示されます。Microsoft Authenticator にパスキーを登録する必要があるユーザーには、専用の登録エクスペリエンスが表示されます。さまざまなベンダーやメーカーの特定のパスキーを必要とする組織には、登録できるパスキーの許容される AAGUID が表示されます。セキュリティ情報の登録を対象とする既存の条件付きアクセス ポリシーの変更は予定されていません。

現在の：

新機能：

[準備に必要なこと:]

パスキー (FIDO2) の Microsoft Entra サポートの変更の詳細については、以前のメッセージ センターの投稿 MC690185: ( 更新) Microsoft Entra ID でデバイスバインド パスキーを準備する (FIDO2 とWindows Hello for Businessへの変更) (2023 年 11 月) を参照してください。

この変更に備えるためのアクションは必要ありません。この変更についてユーザーに通知し、必要に応じて関連ドキュメントを更新することをお勧めします。