CZ 
 
www.SAMURAJ-cz.com 
15.04.2026 Anastázie VÍTEJTE V MÉM SVĚTĚ
 
 
Petr Bouška
SAMURAJ-cz.com
IT Manager OKsystem
Veeam Vanguard
View profile
An English translation is available for this article. Pro tento článek je dostupný anglický překlad.
FIDO passkeys part 5 - Entra ID passkey profiles and synced passkeys

FIDO passkeys část 5 - Entra ID passkey profily a synchronizované passkeys

| Petr Bouška - Samuraj |
Microsoft stále rozšiřuje možnosti použití přístupových klíčů pro autentizaci uživatelů. Od března jsou všeobecné dostupné (General Available) nové možnosti v rámci Microsoft Entra ID. Jde o profily přístupových klíčů, které přiřazujeme skupinám uživatelů. Místo jednoho globálního nastavení tak můžeme více granulárně nastavovat povolené passkeys. Druhá novinka je podpora synchronizovaných přístupových klíčů, které nejsou svázané s jedním zařízením.
zobrazeno: 1 168x (460 CZ, 708 EN) | Komentáře [0]

Passkeys - přístupové klíče

FIDO autentizace s přístupovými klíči (passkeys) je standardizovaná metoda vícefaktorového (Multi-Factor) ověřování bez hesla (Passwordless Authentication) odolná proti phishingu (Phishing resistant). Přístupové klíče jsou přihlašovací údaje (credentials) založené na standardu FIDO2.

Passkeys mohou být uložené na různých modelech bezpečnostních klíčů nebo u různých poskytovatelů přístupových klíčů. Passkeys nelze použít v procesu samoobslužného resetování hesla (SSPR).

Typy přístupových klíčů

Microsoft Entra ID dnes (nově) podporuje dva hlavní typy přístupových klíčů

  • Device-bound passkeys (přístupové klíče vázané na zařízení) - privátní klíč je vytvořen a uložen na jednom fyzickém zařízení, které nemůže opustit, příkladem je FIDO2 Security key, ale také Microsoft Authenticator
  • Synced passkeys (synchronizované přístupové klíče) - privátní klíč je vygenerován hardwarovým bezpečnostním modulem (HSM), zašifrován a uložen na zařízení, šifrovaný klíč je synchronizovaný mezi zařízeními uživatele pomocí cloudové služby, synchronizované passkeys nepodporují attestation (ověřování), příkladem je Google Password Manager a Apple iCloud Keychain, ale také různí správci hesel s podporou passkeys (jako 1Password, Bitwarden)

Pozn.: Detailně jsme přístupové klíče popisovali v předchozích dílech série.

Novinky - passkey profily a synchronizované passkeys

Od března 2026 přechází do všeobecné dostupnosti (GA - General Availability) nové funkce v rámci Microsoft Entra ID. Jde o profily přístupových klíčů (passkey profiles) a synchronizované přístupové klíče (synced passkeys).

Zavádění do tenantů začíná od začátku března a dokončení se předpokládá do konce března. Když jsem funkci aktivoval, tak jsem ji ještě viděl označenu jako Public Preview. V průběhu psaní článku se přepnulo do finální verze.

Průběh přechodu na profily

první fázi mají správci umožněno zapojit se (opt in) do nového způsobu práce s profily přístupových klíčů, který podporuje konfiguraci přístupových klíčů na úrovni skupin a zavádí novou vlastnost passkeyType.

druhé fázi dojde k automatické migraci tenantů, které mají povolené Passkeys (FIDO2) a nezapojili se sami, na passkey profiles schéma. To by mělo probíhat od dubna do konce května.

Podporované typy passkeys (passkeyType)

  • Device-bound passkeys
  • Synced passkeys
  • oboje

Profily přístupových klíčů

V současné době můžeme vytvořit až 3 profily přístupových klíčů. V každém profilu můžeme nastavit různé požadavky na passkeys. Jako je vyžadování attestation, specifické AAGUID či podporovaný typ přístupového klíče. Profily pak přiřazujeme ke skupinám uživatelů.

jedné skupině můžeme přiřadit více profilů a tím kombinovat dostupné možnosti. Passkey pak musí splňovat podmínky alespoň v jednom profilu, aby je bylo možno registrovat a použít pro autentizaci. Pokud zakážeme synchronizované passkeys, tak ani ty existující není možno použít k autentizaci. Naproti tomu registrovaný Security Key je možno používat stále (i po zablokovaní daného typu).

Povolení profilů přístupových klíčů

  • Microsoft Entra admin center - Entra ID - Authentication methods - Policies
  • vybereme metodu Passkey (FIDO2)
  • v horní části se nachází banner s textem Upgrade to the new experience pro přihlášení k profilům
  • automaticky se vytvoří Default passkey profile, který obsahuje původní nastavení
  • musíme jej editovat a zvolit Passkey type
Entra ID - Authentication methods - Upgrade to the new experience

Vytvoření či editace profilu

  • Microsoft Entra admin center - Entra ID - Authentication methods - Policies
  • v metodě Passkey (FIDO2) se přepneme na Configure
  • musíme mít povolené Allow self-service set up, aby uživatelé mohli registrovat passkey
  • můžeme editovat existující nebo přidat nový profil Add profile
Entra ID - Authentication methods - Passkey (FIDO2) - Configure
  • nastavení jsou stejná jako dříve, až na novou možnost typ passkey
  • Passkey types umožňuje zvolit Device-bound, Synced nebo oboje, abychom mohli povolit synchronizované passkeys, tak nesmí být nastavené Enforce attestation
  • nový profil uložíme tlačítkem Save
Entra ID - Authentication methods - Add passkey profile

Aplikace profilu na skupinu

  • Microsoft Entra admin center - Entra ID - Authentication methods - Policies
  • v metodě Passkey (FIDO2) se přepneme na Enable and Target
  • použití passkeys (metoda) musí být povoleno Enabled
  • pomocí Add target můžeme přidat All users nebo Select targets, kde vybíráme konkrétní skupiny
  • pod Passkey profiles vybereme profily, které chcete přiřadit konkrétnímu cíli
  • nastavení uložíme tlačítkem Save
Entra ID - Authentication methods - Passkey (FIDO2) Enable and Target

Synchronizované přístupové klíče

Pokud povolíme synchronizované passkeys, tak je otázka jak a kde je vyzkoušet či začít používat. Já jsem zatím provedl pár testů s Google Password Manager. Ten je integrovaný do Google Chrome a zkoušel jsem na Android zařízení i na Windows.

Registrace passkey do Google Password Manager na Androidu

Standardně si uživatelé spravují autentizační metody v rámci svého účtu My Account pod Security Info. Zde je možnost přidat (registrovat) novou metodu.

  • použijeme Google Chrome na Android zařízení
  • otevřeme stránku Security Info a přihlásíme se (musíme být ověřeni naposledy v předchozích 5 minutách)
  • klikneme na Add sign-in method
  • zvolíme Passkey
  • zobrazí se informace o vytváření passkey, máme možnost zvolit vytvoření na jiném zařízení, pokračujeme Next
  • začne se nastavovat passkey, zobrazí se dialog Google Password Manager, kde se musíme ověřit
Google Password Manager Android - Add Entra ID passekey 1
  • zpět na stránce Security Info zadáme jméno pro passkey a dojde k jeho vytvoření
Google Password Manager Android - Add Entra ID passekey 2

Registrace passkey do Google Password Manager na Windows

Podobně to funguje, když použijeme Google Chrome na Windows zařízení, kde máme přihlášen náš Google účet.

  • otevřeme stránku Security Info a přihlásíme se
  • klikneme na Add sign-in method
  • zvolíme Passkey
  • zobrazí se informace o vytváření passkey, pokračujeme Next
Google Password Manager Windows - Add Entra ID passekey 1
  • nyní záleží na tom, jaké máme v systému dostupné poskytovatele přístupových klíčů, mě nejprve vyskočil dialog na použití Security key, který jsem zrušil tlačítkem Cancel
  • nyní se zobrazil dialog Google, který nabídl Google Password Manager, který zvolíme
  • je zde informace, že dojde k vytvoření passkey, což provedeme tlačítkem Create, následně se musíme ověřit
Google Password Manager Windows - Add Entra ID passekey 2
  • zadáme jméno pro passkey a dojde k jeho vytvoření
Google Password Manager Windows - Add Entra ID passekey 3

Pozn.: Jak jsem prováděl testy, tak jsem neustále passkey vytvářel a mazal. Opakovaně jsem narazil na problém s vytvořením. Když jsem existující passkey smazal u svého účtu v Security Info, ale ne na zařízení, například v Google Password Manager. Tak se při novém vytvoření passkey vytvořil (třeba) v Google Password Manager (zde byl vidět), ale průvodce skončil chybou Passkey not registered. Bylo potřeba smazat passkey v daném úložišti, pak již vytvoření prošlo.

Passkey v Security Info u účtu

Nově registrovaný přístupový klíč v My Security Info je označen ikonou passkey a textem Passkey (Synced) Google Password Manager. Vedle se zobrazuje naše zadané jméno Google Password Manager.

Microsoft My Security Info - Passkey (Synced)

Přihlášení pomocí passkey

Pro přihlášení k Entra ID účtu se nový přístupový klíč nabízí mezi ostatními passkey na různých místech. Níže je obrázek z Microsoft přihlašovacího dialogu v prohlížeči Chrome, který má integrovaný Google Password Manager.

Microsoft Sign in passkey
Autor:

Související články:

FIDO autentizace - FIDO Authentication

FIDO autentizace je založena na standardu FIDO2 (WebAuthn a CTAP2). Přináší bezpečnější možnost přihlášení k online službám. Patří mezi Passwordless MFA (vícefaktorové ověření bez hesla). Zároveň zvyšuje pohodlí uživatelů (podporuje použití biometrie). Jde například o Windows Hello for Business, FIDO2 security key a obecně passkeys (přístupové klíče).

Azure AD / Entra ID identity a autentizace

Články související s identitou uživatelů a zařízení (nejen) v Microsoft Entra ID. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizace, přihlašování bez hesla, apod. Často jde o využití FIDO Authentication, třeba za pomoci FIDO2 security key nebo Windows Hello for Business.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím zde nejsou žádné komentáře.

Přidat komentář

Vložit tag: strong em link

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách