BEL 0172 - 754 954 of mail

Tech Insights

Microsoft Entra passkeys op Windows, phishing-resistant inloggen op onbeheerde apparaten

Phishing-resistant inloggen via Windows Hello, nu ook zonder beheerd apparaat of hardware key

Passkeys op onbeheerde apparaten: Microsoft dicht het laatste gat in passwordless

Phishing-resistant inloggen op onbeheerde apparaten vereiste tot nu toe een hardware security key. Met Microsoft Entra passkeys op Windows kan het nu via Windows Hello: gezichtsherkenning, vingerafdruk of PIN, zonder extra hardware en zonder dat het apparaat onder beheer hoeft te staan.

Phishing-resistant inloggen op zakelijke cloud-applicaties kon al langer. Met een FIDO2 hardware security key (zoals een YubiKey) kun je ook op een onbeheerd apparaat passwordless en phishing-resistant aanmelden bij Microsoft 365. Maar dat vereist wel dat je een fysieke key aanschaft, uitdeelt en beheert. En Windows Hello for Business, de ingebouwde optie die werkt met gezichtsherkenning, vingerafdruk of PIN, was tot nu toe beperkt tot apparaten die Entra-joined of geregistreerd zijn.

Voor veel MKB-bedrijven betekende dat in de praktijk een keuze: of je investeert in hardware keys voor iedereen, of medewerkers op onbeheerde apparaten loggen in met wachtwoord plus MFA. Dat laatste werkt, maar is niet phishing-resistant.

Die keuze is nu verleden tijd.

Wat verandert er?

Met Microsoft Entra passkeys op Windows kunnen gebruikers voortaan ook op onbeheerde apparaten phishing-resistant inloggen via Windows Hello. Gezichtsherkenning, vingerafdruk of PIN, zonder hardware key, zonder dat het apparaat onder beheer hoeft te staan.

Denk aan een medewerker die thuis op een privélaptop werkt. Iemand die bij een klant op locatie moet inloggen. Een externe kracht die tijdelijk meedraait op een eigen apparaat. In al die scenario's krijgen ze nu dezelfde phishing-resistente inlogervaring die voorheen alleen beschikbaar was op beheerde werkplekken of met een losse security key.

De passkey wordt opgeslagen in de Windows Hello-container op het apparaat zelf. Hij is gebonden aan dat ene apparaat en synchroniseert niet. Elk apparaat en elk account vereist een eigen registratie.

Wat het niet is

Dit vervangt Windows Hello for Business niet. Op beheerde apparaten blijft WHfB de standaard, inclusief device sign-in (het inloggen op Windows zelf). Entra passkeys bieden toegang tot cloud-resources, niet tot de Windows-aanmelding.

Er is ook een praktische beperking: als er al een WHfB-credential bestaat voor hetzelfde account in dezelfde container, kan er geen passkey worden geregistreerd.

Waarom dit ertoe doet

De echte verschuiving zit hem in de drempel. Phishing-resistente authenticatie op onbeheerde apparaten vereiste tot nu toe extra hardware. Die drempel valt nu weg. Elke Windows-laptop met een vingerafdruklezer of camera kan nu dienen als phishing-resistant authenticator voor je zakelijke omgeving.

En het mooie: er verandert niets tenzij je bewust actie onderneemt. Passkeys worden niet automatisch ingeschakeld. Je bestaande Conditional Access-regels en authentication strength-policies blijven ongewijzigd. Het is een opt-in die je gecontroleerd kunt uitrollen.

Beschikbaarheid

Zowel de public preview als general availability worden wereldwijd uitgerold vanaf medio maart 2026, met volledige dekking rond medio april.

Bij AlphaNext helpen we MKB-bedrijven om dit soort ontwikkelingen op het juiste moment en op de juiste manier te adopteren, als onderdeel van een compleet beheerde IT-omgeving. Benieuwd wat dit voor jouw situatie betekent? Neem contact op voor een vrijblijvend gesprek.

AlphaNext | Uw vaste IT-partner.