[Introduction]

As previously announced in MC1221452, Microsoft Registration Campaigns will support Passkeys (FIDO2) as an additional authentication method starting in early April 2026. This update helps organizations accelerate adoption of phishing‑resistant credentials by allowing administrators to opt users into Passkeys and deliver Passkey registration nudges during sign‑in.

[When this will happen] 

General Availability (Worldwide): We will begin rolling out in early April 2026 and expect to complete in late May 2026.

[How this affects your organization]

Who is affected

• Microsoft 365 tenants using Microsoft Registration Campaigns
• Tenants configured in either Microsoft‑managed or Enabled states
• Users who are MFA‑capable and eligible for Passkeys (FIDO2)

What will happen

Microsoft‑managed state

Your tenant will be impacted when all of the following conditions are met:

• The Passkeys (FIDO2) authentication method policy is enabled.
• Allow self‑service setup is enabled.
• Target specific AAGUIDs is not selected (no AAGUID restrictions configured).
• The Authentication Methods Registration Campaign state is set to Microsoft‑managed.

When these conditions are met, the following settings will update automatically:

• The targeted authentication method will change from Microsoft Authenticator to Passkeys (FIDO2).
• Days allowed to snooze will change from three days to one day. (This setting will no longer be configurable.)
• Limit number of snoozes will be disabled. (This setting will no longer be configurable.)
• Targeting will expand to all MFA‑capable users. (This setting will no longer be configurable.)
• Default user targeting will change from voice call or text message users to all multifactor authentication (MFA)–capable users.

Affected users will receive Passkey registration nudges at sign‑in after completing MFA.

We will roll out these changes incrementally over time to in‑scope tenants.

Enabled state

Passkey (FIDO2) can be selected as the Targeted Authentication Method when Microsoft Registration Campaigns are in the Enabled state. 

Note: Registration Campaigns support targeting only one authentication method at a time—either Microsoft Authenticator or Passkeys (FIDO2), but not both simultaneously.

[What you can do to prepare]

Opting into Passkey Registration Nudges:

You can opt into Passkeys and switch your users to receive a Passkey registration nudge.
However, the nudge will only appear for the user if all of the following conditions are met: 

• The user is MFA‑capable
  • They have at least one registered MFA method
  • They can successfully complete MFA at sign‑in
• Under Authentication methods > Policies, the user is in scope for Passkeys (FIDO2)
• Under Authentication methods > Policies > Passkeys (FIDO2) > Configure, make sure you have Allow self-service set up checked. 

Important Guidance:

Microsoft Managed State:

We will roll out these changes incrementally to in-scope tenants starting in early April. This rollout will take time, and even if your tenant meets the eligibility criteria, you may not see the changes immediately. 

Enabled State 

Over time, we will incrementally refine the logic for Passkeys nudges in Microsoft Registration Campaigns to guide users toward the appropriate passkey registration experience based on their passkey profile scope. Initially, the logic may not account for every edge‑case scenario, but we are actively expanding and improving it on an ongoing basis. When users have passkey profile restrictions (for example, AAGUID restrictions), the registration experience triggered by the nudge may not be optimal.   

Using Passkeys Despite Restrictions

You can still set Passkeys as the target authentication method in Microsoft Registration Campaigns. However, users may encounter a poor or confusing experience if they have passkey profile restrictions.

Example: 

If a user is scoped into specific AAGUID synced passkeys only, they may see a Passkey nudge at sign‑in. If they attempt to register a device‑bound passkey, the registration will fail because they are not in scope for that passkey type. 

Recommended next steps

• Review your Registration Campaign state by early April 2026.
• Communicate this change to helpdesk or support teams.
• Update internal documentation on authentication method enrollment.
• If you prefer to continue targeting Microsoft Authenticator, verify this configuration before rollout.

Learn more: How to enable passkey (FIDO2) profiles in Microsoft Entra ID (preview) | Authentication | Microsoft Entra ID | Microsoft Entra | Microsoft Learn

[はじめに]

MC1221452年に発表された通り、Microsoft Registration Campaignsは2026年4月初旬から追加の認証手段としてPasskeys(FIDO2)をサポートします。このアップデートは、管理者がユーザーをパスキーにオプトし、サインイン時にパスキー登録の促しを行えるようにすることで、組織がフィッシング耐性認証の導入を加速するのに役立ちます。

[いつ起こるか] 

一般公開(世界):2026年4月初旬に展開を開始し、5月下旬に完了する予定です。

[これがあなたの組織に与える影響]

影響を受ける人物

• Microsoft 365テナントがMicrosoft Registration Campaignsを利用する場合
• Microsoft管理または有効状態に設定されたテナント
• MFA対応でパスキー(FIDO2)の資格があるユーザー

何が起こるのか

Microsoft管理状態

以下の条件すべてが満たされた場合、入居者は影響を受けます。

• パスキー(FIDO2)認証方法ポリシーが有効になっています。
• セルフサービス設定を許可しています。
• ターゲット固有のAAGUID は選択 されていません (AAGUID制限の設定なし)。
• 認証方法登録キャンペーンの状態はMicrosoft管理に設定されています。

これらの条件を満たすと、以下の設定が自動的に更新されます:

• ターゲット認証方法はMicrosoft AuthenticatorからPasskeys(FIDO2)に変更されます。
• スヌーズ許可日数は 3日から1日に変更されます 。 (この設定は今後設定できません。)
• スヌーズの制限回 数は無効になります 。 (この設定は今後設定できません。)
• ターゲティングは MFA対応のすべてのユーザーに拡大されます。(この設定は今後設定できません。)
• デフォルトのユーザーターゲティングは 、音声通話やテキストメッセージユーザー から 、多要素認証(MFA)対応の全ユーザーへと変更されます。

影響を受けたユーザーは、MFAを完了した後、サインイン時にパスキー登録の促しを受けます。

これらの変更は、範囲内のテナントに対して段階的に展開していきます。

有効状態

Microsoft登録キャンペーンが有効状態にある場合、パスキー(FIDO2)をターゲット認証方法として選択できます。 

注:登録キャンペーンは、Microsoft AuthenticatorまたはPasskeys(FIDO2)のいずれかの認証方法を同時に対象にすることはできませんが、同時に両方を対象にすることはできません。

【準備のためにできること】

パスキー登録のノッジへのオプト:

パスキーにオプトして、ユーザーを切り替えて パスキー登録の促しを受け取ることができます。
ただし、ナッジは以下の 条件すべて を満たしている場合にのみユーザーに現れます。 

• ユーザーはMFA対応です
  • 少なくとも1つは登録されたMFA方法があります
  • サインイン時にMFAを無事に完了できます
• 認証方法>ポリシーを除けば、ユーザーはパスキー(FIDO2)の対象となります。
• 認証 方法>パスキー>ポリシー(FIDO2)>設定の項目で、「 セルフサービス設定を許可 」にチェックを入れていることを確認してください。 

重要な指針:

マイクロソフト管理状態:

これらの変更は4月初旬から範囲内のテナントに対して段階的に展開します。この展開には時間がかかり、たとえ入居者が適格基準を満たしていても、すぐに変更が見られるとは限りません。 

有効状態 

今後、 Microsoft登録キャンペーン におけるパスキーのノミックを段階的に洗練させ、ユーザーのパスキープロファイルの範囲に基づいて適切なパスキー登録体験へと導いていきます。当初はすべての例外シナリオを考慮できるわけではありませんが、継続的に拡大・改善を進めています。ユーザーが パスキープロファイルの制限 (例えばAAGUIDの制限)を持っている場合、このナッジによってトリガーされる登録体験は最適とは言えません。   

制限があってもパスキーを使う

Microsoft Registration Campaignsでは、パスキーをターゲット認証方法として設定することは可能です。しかし、パスキープロファイルの制限がある場合、ユーザーは不快または混乱した体験に直面する可能性があります。

例: 

ユーザーが特定の AAGUID同期パスキーのみに限定されている場合、サインイン時にパスキーの調整が見られることがあります。 デバイスバウンドのパスキー を登録しようとすると、そのパスキーの種類の範囲内ではないため登録は失敗します。 

推奨される次のステップ

• 2026年4月初旬までに登録キャンペーンの州を確認しましょう。
• この変更をヘルプデスクやサポートチームに伝えてください。
• 認証方法登録に関する内部文書を更新してください。
• Microsoft Authenticatorを引き続きターゲットにしたい場合は、展開前にこの設定を確認してください。

詳しくはこちら: Microsoft Entra IDでパスキー(FIDO2)プロファイルを有効にする方法(プレビュー) |認証 |Microsoft Entra ID |Microsoft Entra |Microsoft Learn