Microsoft Entra ID: Auto-habilitação de perfis de Passkey (MC1221452) — O que muda e por que isso importa

Publicado por Microsoft em 23 de janeiro de 2026, a atualização MC1221452 anuncia uma mudança importante no processo de autenticação do Microsoft Entra ID: a introdução dos Passkey Profiles (perfis de passkey) com um novo atributo chamado passkeyType. A funcionalidade será lançada em Março de 2026 e, após um período de opção (opt-in), será habilitada automaticamente para todos os tenants que não optarem manualmente pelo novo modelo.

1. O que são Passkeys e perfis de Passkey
2. Timeline de rollout
3. Como isso afeta o ambiente Microsoft 365
   1. Administradores
4. O que você pode fazer agora
   1. Se quer personalizar antes da migração automática
   2. 🔐 Redução de risco de phishing
   3. 💡 Aumento do controle organizacional
5. Pontos de atenção e riscos potenciais
   1. 📍 Migração automática pode surpreender equipes
   2. 📍 Dependência de campanhas Microsoft-managed
   3. 📍 Necessidade de treinamento
6. Vantagens e Desafios!
7. Checklist técnico – Preparação do ambiente para Passkeys no Microsoft Entra ID (MC1221452)
   1. 🔎 1. Avaliação inicial do tenant
   2. 🧩 2. Planejamento dos Passkey Profiles
   3. 🛡️ 3. Análise de segurança (ponto crítico)
   4. ⚙️ 4. Revisão das campanhas de registro
   5. 👥 5. Preparação do suporte e do usuário final
   6. 🧪 6. Testes controlados antes do rollout
   7. 📊 7. Monitoramento pós-implementação
8. 🏁 Conclusão prática

O que são Passkeys e perfis de Passkey

Os passkeys (chaves de acesso) são um método de autenticação sem senha baseado em padrões FIDO2, armazenados localmente ou sincronizados entre dispositivos. Eles oferecem uma alternativa moderna às senhas tradicionais e aos métodos OTP (one-time passwords) enviados via SMS ou apps, reduzindo drasticamente o risco de roubo por phishing ou keylogging.

A atualização introduz:

✔️ Perfis de passkey — permitem agrupar e controlar configurações específicas por grupos de usuários.
✔️ A propriedade passkeyType — que define se um passkey é:

• Device-bound (vinculado ao dispositivo)
• Synced (sincronizado entre dispositivos)
• Ambos

Timeline de rollout

Fase	Data de início	Data de conclusão
Disponibilidade Geral (Clientes Worldwide)	início de março/2026	final de março/2026
Habilitação automática (Worldwide)	início de abril/2026	final de maio/2026
Disponibilidade Geral (GCC e DoD)	início de abril/2026	final de abril/2026
Habilitação automática (GCC/DoD)	início de junho/2026	final de junho/2026

Ou seja, mesmo que você não ative manualmente essa funcionalidade, ela será imposta no seu tenant dentro de alguns meses — portanto, planejamento proativo é essencial.

Como isso afeta o ambiente Microsoft 365

Administradores

🔹 Configuração de perfis
Você poderá definir políticas com granularidade para diferentes grupos ou cenários de usuários, oferecendo mais controle sobre como passkeys são usados.

🔹 Propriedade passkeyType
Essa configuração, que antes não existia, agora permitirá escolher entre dispositivo local, sincronizado entre dispositivos ou ambos, dando flexibilidade operacional.

🔹 Migração automática
Se o tenant não usar opt-in, as configurações atuais de FIDO2 serão migradas para um perfil Default com passkeyType baseado nas configurações atuais de atestação.

🔹 Campanhas de registro gerenciadas pela Microsoft
Nos tenants onde a sincronização de passkeys estiver habilitada e com campanhas gerenciadas, ocorrerá uma mudança automática de foco:

• A autenticação alvo muda de Microsoft Authenticator para passkeys
• O público alvo será alterado para todos os usuários com MFA habilitado
• Configurações como número de snoozes e intervalo de lembretes deixarão de ser customizáveis — passando a ter snoozes ilimitados e lembrete diário

O que você pode fazer agora

Se quer personalizar antes da migração automática

• Faça o opt-in antes do período de habilitação automática
• Ajuste o passkeyType no Default passkey profile conforme sua necessidade
• Revise campanhas de registro — se você não quer forçar passkeys agora, defina a campanha como Enabled ou Disabled em vez de Microsoft-Managed
• Atualize a documentação interna e runbooks para que equipes de suporte saibam como lidar com o novo fluxo de autenticação

Análise de Segurança — Por que isso é um divisor de águas

🔐 Redução de risco de phishing

Passkeys eliminam o uso de senhas reutilizáveis e códigos OTP baseados em SMS — dois vetores favoritos em ataques de phishing e engenharia social. Com autenticação forte baseada em chaves criptográficas, um invasor não consegue simplesmente adivinhar ou roubar credenciais.

💡 Aumento do controle organizacional

A introdução de perfis de passkey permite às equipes de segurança aplicar políticas mais estritas ou adaptadas por segmento de usuários, por exemplo:

• Exigir apenas device-bound para execs
• Permitir synced para times móveis
• Reforçar verificações em ambientes de alto risco

Essa granularidade é essencial para ambientes corporativos com diferentes perfis de risco.

Pontos de atenção e riscos potenciais

📍 Migração automática pode surpreender equipes

Se não for bem comunicada, a mudança automática poderá fazer com que usuários se deparem com comportamentos inesperados no processo de login — como prompts de passkey em vez de métodos antigos.

📍 Dependência de campanhas Microsoft-managed

As campanhas gerenciadas mudando o foco para passkeys pode causar pressão na adoção sem preparo dos usuários, resultando em suporte elevado e possíveis frustrações.

📍 Necessidade de treinamento

Sem treinamento e comunicação adequados, usuários podem tentar ignorar ou postergar a adoção de passkeys, atrasando a eficácia da mudança.

Vantagens e Desafios!

A atualização MC1221452 representa um passo importante na evolução da autenticação no Microsoft Entra ID, avançando o suporte a passkeys — um padrão já amplamente reconhecido por aumentar a segurança e reduzir dependência de métodos vulneráveis como senhas e SMS OTP.

Vantagens claras:
✔️ Segurança reforçada com autenticação baseada em chave pública
✔️ Mais controle com passkey profiles
✔️ Preparação para um futuro sem senhas

Desafios a considerar:
✔️ Comunicação interna e treinamento
✔️ Ajustes em campanhas de registro e adoção progressiva
✔️ Planejamento prévio antes da habilitação automática

Checklist técnico – Preparação do ambiente para Passkeys no Microsoft Entra ID (MC1221452)

Este checklist ajuda a garantir uma adoção segura, controlada e sem impactos negativos no ambiente, antes da habilitação automática dos perfis de passkey.

---

🔎 1. Avaliação inicial do tenant

☐ Verificar se o tenant já utiliza FIDO2 / Passkeys
☐ Identificar se há políticas personalizadas de autenticação forte
☐ Confirmar se existe uso de Microsoft-managed registration campaigns
☐ Validar se usuários já utilizam Microsoft Authenticator, chaves físicas ou outros métodos passwordless

📌 Objetivo: entender o nível de maturidade do tenant antes da mudança automática.

---

🧩 2. Planejamento dos Passkey Profiles

☐ Decidir se o tenant fará opt-in manual antes da habilitação automática
☐ Criar ou revisar o Default Passkey Profile
☐ Definir corretamente o atributo passkeyType:

• ☐ Device-bound only
• ☐ Synced only
• ☐ Ambos (recomendado para a maioria dos cenários corporativos)

☐ Planejar perfis distintos para:

• ☐ Usuários administrativos
• ☐ Usuários finais
• ☐ Usuários externos ou parceiros (B2B)

📌 Boa prática: perfis diferentes para níveis diferentes de risco.

---

🛡️ 3. Análise de segurança (ponto crítico)

☐ Avaliar impacto da sincronização de passkeys entre dispositivos
☐ Garantir que contas privilegiadas não dependam apenas de passkeys sincronizadas
☐ Validar alinhamento com:

• ☐ Conditional Access
• ☐ Identity Protection
• ☐ MFA obrigatório para admins
• ☐ Entra ID PIM (se aplicável)

☐ Revisar políticas de acesso para cenários:

• ☐ Dispositivo não gerenciado
• ☐ Acesso externo
• ☐ Sessões de alto risco

📌 Dica: Passkeys reduzem phishing, mas precisam estar integradas a políticas de risco.

---

⚙️ 4. Revisão das campanhas de registro

☐ Identificar campanhas Microsoft-managed ativas
☐ Decidir se a campanha deve ser:

• ☐ Microsoft-managed (automática)
• ☐ Enabled (customizada)
• ☐ Disabled (temporariamente)

☐ Avaliar impacto da mudança de foco:

• De Microsoft Authenticator
• Para Passkeys

☐ Planejar comunicação para usuários impactados

📌 Atenção: campanhas Microsoft-managed passam a ter snoozes ilimitados e lembretes diários.

---

👥 5. Preparação do suporte e do usuário final

☐ Atualizar documentação interna de autenticação
☐ Criar FAQ interno sobre:

• O que são passkeys
• Como registrar
• O que fazer ao trocar de dispositivo
• Recuperação de acesso

☐ Treinar Service Desk (N1/N2) para:

• ☐ Suporte a passkeys
• ☐ Diferença entre device-bound e synced
• ☐ Troubleshooting básico

📌 Resultado esperado: redução de chamados após o rollout.

---

🧪 6. Testes controlados antes do rollout

☐ Criar grupo piloto de usuários
☐ Aplicar o passkey profile apenas ao grupo
☐ Testar cenários:

• ☐ Login em novo dispositivo
• ☐ Perda do dispositivo
• ☐ Acesso externo
• ☐ Aplicações legadas

☐ Monitorar logs no Entra ID:

• ☐ Sign-in logs
• ☐ Authentication details

📌 Boa prática: piloto mínimo de 1 a 2 semanas.

---

📊 7. Monitoramento pós-implementação

☐ Monitorar taxa de adoção de passkeys
☐ Avaliar redução de:

• ☐ Tentativas de phishing
• ☐ MFA fatigue
• ☐ Chamados relacionados a senha

☐ Revisar periodicamente:

• Perfis de passkey
• Campanhas de registro
• Políticas de acesso condicional

📌 Passkeys não são “configurar e esquecer” — exigem governança contínua.

---

🏁 Conclusão prática

Se você não agir, a Microsoft fará isso por você.

A habilitação automática dos Passkey Profiles traz ganhos reais de segurança, mas sem planejamento pode gerar:

• confusão para usuários,
• sobrecarga no suporte,
• decisões de segurança não alinhadas à estratégia da organização.

Usar este checklist garante que sua organização:
✔️ aproveite os benefícios de segurança
✔️ mantenha controle administrativo
✔️ evite impactos operacionais desnecessários