Microsoft Entra ID 同步 Passkey 与高保障账号恢复预览

Introduction: why this matters

MFA 采用率持续上升，但许多组织仍在用户摩擦、培训开销与服务台成本方面面临挑战——尤其是在用户失去对其身份验证方法的访问权限时。Ignite 2025 上，Microsoft 为 Entra ID 介绍了 synced passkeys 与 high-assurance account recovery，现已进入 public preview，目标是让强身份验证更易部署、对终端用户更简单。

What’s new

1) Synced passkeys (public preview)

Synced passkeys 可完全移除密码，让用户通过 biometrics or a device PIN 登录，并可通过 iCloud Keychain 与 Google Password Manager 等平台在设备间同步。

Microsoft 强调的关键优势包括：

• 相较于传统方法有 更高的登录成功率（引用 Microsoft 消费者数据：95% vs 30%）。
• 相较于“密码 + 基于代码的 MFA” 登录更快（引用：快 14 倍）。
• Phishing-resistant 身份验证，降低凭据被盗与 OTP 被拦截的风险。
• 在主流平台上具备广泛的 原生 OS 支持。

2) Passkey profiles for granular admin control

为应对常见的推广顾虑（注册摩擦、体验不一致、服务台工单增加），Entra ID 引入了基于组的 passkey 身份验证配置。

管理员可按组定义要求，例如：

• Attestation 要求
• Passkey type（device-bound vs synced）
• Specific passkey provider 控制

这将 passkey 从“单一的租户级开关”转变为“策略驱动的部署模型”，更贴合真实世界中的用户画像与风险分层。

3) High-assurance account recovery with ID + biometrics (public preview)

当用户失去对常规登录方式（包括 passkeys）的访问权限时，恢复流程往往成为薄弱环节，也是冒充与社会工程攻击的目标。Microsoft 的新恢复流程采用 government-issued ID verification 加上 AI-powered biometric match。

工作方式如下：

• 用户在 Entra 登录体验中选择 “Recover my account”。
• 完成 remote document verification（例如驾照、护照）。
• 使用由 Azure AI services 驱动的 Microsoft Entra Verified ID Face Check 执行 Face Check（活体检测 + 自拍与证件照匹配）。
• Entra ID 将已验证的属性（例如姓名/地址）与组织的目录/HR 系统进行匹配。
• 恢复完成后，系统会提示用户 register a synced passkey，以降低后续被锁定的概率。

组织可通过 Microsoft Security Store 选择 ID 验证提供商：Idemia, LexisNexis, and AU10TIX，覆盖 192 countries。

Impact for IT admins and end users

• 通过减少密码重置与脆弱的恢复方式，降低服务台量与成本。
• 通过推动 phishing-resistant 身份验证与更强的恢复控制，改善安全态势。
• 借助按组范围的 passkey profiles 与分阶段启用，实现 更可预测的部署。
• 通过更少的验证码、更少失败以及引导式恢复旅程，带来 更好的终端用户体验。

Action items / next steps

1. 以受控用户组 试点 synced passkeys；验证设备/平台就绪度与用户沟通方案。
2. 按用户画像创建 passkey profiles（例如一线员工、承包商、特权管理员），并定义 provider/attestation 要求。
3. 评估账号恢复需求（隐私、合规、HR 属性匹配），并在生产启用前进行演练模拟。
4. 在 Microsoft Security Store 中 选择 IDV provider，并规划恢复场景下的运营支持。

Licensing notes

• Passkeys: 面向所有 Microsoft Entra ID 客户包含
• Account recovery: 包含在 Microsoft Entra ID P1 中
• Face Check: 可按次验证作为附加项计费，或包含在 Microsoft Entra Suite 中
• Government ID check: 通过 Microsoft Security Store 按次验证付费