Updated March 2, 2026: We have updated the content. Thank you for your patience.

[Introduction]

Starting in March 2026, Microsoft Entra ID will introduce passkey profiles and synced passkeys to General Availability (GA). This update allows administrators to opt in to a new passkey profiles experience that supports group-based passkey configurations and introduces a new passkeyType property.

Important: Only tenants that already have Passkeys (FIDO2) enabled are affected by this update. 

The passkeyType property enables admins to configure:

• Device-bound passkeys
• Synced passkeys
• Both

If your tenant already has Passkeys (FIDO2) enabled and you do not opt in to passkey profiles during the initial rollout window, your tenant will be automatically migrated to the passkey profiles schema at the date range specified below. When this occurs: 

• Existing Passkey (FIDO2) authentication method configurations will be moved into a Default passkey profile. 
• The passkeyType value will be set based on the tenant’s current attestation settings.
• For tenants that have synced passkeys enabled, Microsoft-managed registration campaigns will update to target passkeys.
• No new authentication methods are enabled as part of this migration. 

[When this will happen]

• General Availability (Worldwide): Rollout begins in early March 2026 and is expected to complete by late March 2026.
  • Automatic migration for existing Passkeys (FIDO2) enabled tenants (Worldwide): Rollout begins in early April 2026 and is expected to complete by late May 2026.
• General Availability (GCC, GCC High, and DoD): Rollout begins in early April 2026 and is expected to complete by late April 2026.
  • Automatic migration for existing Passkeys (FIDO2) enabled tenants (GCC, GCC High, and DoD): Rollout begins in early June 2026 and is expected to complete by late June 2026. 

[How this affects your organization]

Who is affected: Microsoft Entra ID tenants with Passkeys (FIDO2) enabled

What will happen:

If you have not opted in to passkey profiles by your automatic enablement period, your tenant will be migrated to passkey profiles.

• Your existing Passkey (FIDO2) configurations will be migrated into a Default passkey profile
• New passkeyType property will be auto-populated
  • If enforce attestation is enabled, then device-bound allowed
  • If enforce attestation is disabled, then device-bound and synced allowed
• Any existing key restrictions will remain intact
• Any existing user targets will be assigned to the Default passkey profile

[Registration Campaign behavior (Microsoft-managed campaigns only)]

• For tenants where synced passkeys are enabled, if your registration campaign is set to Microsoft-managed: 
  • The targeted authentication method will be updated from Microsoft Authenticator to passkeys.
  • The default user targeting will be updated from voice call or text message users to all multifactor authentication (MFA) capable users. 
  • The settings Limited number of snoozes and Days allowed to snooze will no longer be configurable. These will be set to allow unlimited snoozes with a one-day reminder cadence.

[What you can do to prepare]

If you want a configuration different from the migration defaults, review the timeline above and opt in to passkey profiles before your tenant’s automatic enablement window begins. Then configure the Default passkey profile’s passkeyType to your preferred values.

We also recommend:

• Review your registration campaign configuration, especially if its set to Microsoft-managed. If you want synced passkeys enabled in your tenant but do not want registration campaign to target passkeys, you can: 
  • Switch the registration campaign state to Enabled and continue targeting Microsoft Authenticator, or 
  • Set the registration campaign state to Disabled.
• Update runbooks and help content so your help desk and end users understand any changes in passkey availability or behavior. 

Learn more:

• How to Enable Passkey (FIDO2) Profiles in Microsoft Entra ID (preview) – Microsoft Entra ID | Microsoft Learn
• How to Enable Synced Passkeys (FIDO2) in Microsoft Entra ID (preview) – Microsoft Entra ID | Microsoft Learn
• How to run a registration campaign to set up Microsoft Authenticator – Microsoft Entra ID | Microsoft Learn
• Synced passkeys FAQ – Microsoft Entra ID | Microsoft Learn

[Compliance considerations]

No compliance considerations identified. Review as appropriate for your organization.

2026年3月2日更新: 内容は更新されました。ご辛抱いただきありがとうございます。

[はじめに]

2026年3月から、Microsoft Entra IDはパスキープロファイルと同期パスキーを一般公開(GA)に導入します。このアップデートにより、管理者はグループベースのパスキー構成をサポートする新しいパスキープロファイル体験にオプトインでき、新しいPasskeyTypeプロパティも導入されます。

重要:すでにパスキー(FIDO2)が有効になっているテナントのみがこのアップデートの影響を受けます。 

passkeyType プロパティにより、管理者は以下を設定できます:

• デバイスバウンドパスキー
• 同期パスキー
• 両方とも

テナントがすでにパスキー(FIDO2)を有効にしていて、初期のロールアウト期間中にパスキープロファイルにオプトインしていない場合、テナントは下記指定の日付範囲で自動的にパスキープロファイルスキーマに移行されます。その場合: 

• 既存のパスキー(FIDO2)認証方法の設定は 、デフォルトのパスキープロファイルに移行されます。 
• passkeyTypeの値は、テナントの現在の認証設定に基づいて設定されます。
• 同期パスキーが有効なテナントの場合、 Microsoft管理の 登録キャンペーンはターゲットパスキーに更新されます。
• この移行の一環として新しい認証方法は有効化されません。 

[いつ起こるか]

• 一般公開(世界): 展開は 2026年3月初旬 に始まり、 2026年3月下旬までに完了する見込みです。
  • 既存のパスキー(FIDO2)で利用可能なテナントの自動移行(世界中): 展開は 2026年4月初旬 に始まり、 2026年5月下旬までに完了する見込みです。
• 一般稼働期間(GCC、GCC High、DoD): 展開は2026年4月初旬に始まり、2026年4月下旬までに完了する見込みです。
  • 既存のパスキー(FIDO2)の自動移行が可能になったテナント(GCC、GCC High、DoD): 展開は 2026年6月初旬 に始まり、 2026年6月下旬までに完了する予定です。 

[これがあなたの組織に与える影響]

影響を受ける人物: Passkeys (FIDO2)が有効化されたMicrosoft Entra IDテナント

今後の展開:

自動有効期間までにパスキープロファイルにオプトインしていなければ、テナントはパスキープロファイルに移行されます。

• 既存のパスキー(FIDO2)設定はデフォルトのパスキープロファイルに移行されます
• 新しい passkeyType プロパティは自動で埋め込まれます
  • 強制認証が有効であれば、デバイスバウンドが許可されます
  • 強制認証が無効であれば、デバイスバウンドと同期が許可されます
• 既存の 主要な制限 はそのまま維持されます
• 既存のユーザーターゲットはデフォルトパスキープロファイルに割り当てられます

[登録キャンペーンの動作(Microsoft管理キャンペーンのみ)]

• 同期パスキーが有効なテナントの場合、登録キャンペーンがMicrosoft管理に設定されている場合: 
  • ターゲット認証方法は Microsoft Authenticator から パスキーに更新されます。
  • デフォルトのユーザーターゲティングは、音声通話やテキストメッセージユーザーから、多要素認証(MFA)対応のすべてのユーザーへと更新されます。 
  • 設定:スヌーズ数制限とスヌーズ許可日数は設定できなくなります。これらは無制限のスヌーズと1日のリマインダーの頻度を設定する設定です。

【準備のためにできること】

移行のデフォルト設定とは異なる設定を希望する場合は、上記のタイムラインを確認し、 テナントの自動有効化ウィンドウが始まる前にパスキープロファイルにオプトインしてください。次に、デフォルトのパスキープロファイルの パスキータイプ を希望する値に設定します。

また、以下のことをおすすめします:

• 登録キャンペーンの設定を見直し、特にMicrosoft管理に設定されている場合は必ず確認してください。テナントで同期パスキーを有効にしたいが、登録キャンペーンでパスキーをターゲットにしたくない場合は、以下が可能です: 
  • 登録キャンペーンの状態を 「有効」 に切り替え、Microsoft Authenticatorのターゲットを続けるか 、
  • 登録キャンペーンの状態を 「Disabled」に設定してください。
• ランブックやヘルプコンテンツを更新し、ヘルプデスクやエンドユーザーがパスキーの利用可能性や挙動の変更を理解できるようにしましょう。 

詳しくはこちら:

• Microsoft Entra IDでパスキー(FIDO2)プロファイルを有効にする方法(プレビュー) – Microsoft Entra ID |Microsoft Learn
• Microsoft Entra IDでの同期パスキー(FIDO2)を有効にする方法 – Microsoft Entra ID |Microsoft Learn
• Microsoft Authenticatorの登録キャンペーンの実施方法 – Microsoft Entra ID |Microsoft Learn
• 同期パスキーFAQ – Microsoft Entra ID |Microsoft Learn

[コンプライアンスの考慮事項]

コンプライアンス上の考慮事項は特定されていません。あなたの組織に応じてレビューを行ってください。