密码密钥设置行为变更：新密码密钥配置文件引入后

如果你的工作重点是Entra ID或安全领域，你可能同意密码密钥是身份验证的未来这一说法。或者至少是下一步的发展方向。在密码密钥完全部署之后会发生什么？毕竟不久前人们还在为使用短信进行多因素认证而自喜。

无论如何，消息中心通知MC1097225（首次发布于2025年6月17日，更新于2025年10月20日）标志着Entra ID中密码密钥支持演进的重要节点。目前Entra ID支持租户范围内的密码密钥作为认证方法的控制，从2025年11月（政府云为2025年12月）开始，预览版Entra ID功能将支持每个租户最多十个密码密钥配置文件。此变更的目的是让租户能够对哪些用户可以使用什么密码密钥进行认证实施更精细的控制。

精细控制通常是好事，这个变更也带来了好处。你将能够为部门或其他组创建密码密钥配置文件，并规定配置文件范围内的用户可以使用哪种类型的密码密钥。

密码密钥认证器证明

在急于接受此变更之前，需要了解一个潜在的缺点。当租户选择使用新方法时，Entra ID将切换到新的模式来描述密码密钥策略。逻辑上，现有的密码密钥设置将成为默认密码密钥策略，如果强制执行证明的设置被禁用，Entra ID对其接受的密码密钥类型将变得不那么严格。

密码密钥具有认证器证明GUID（AAGUID），这是一个128位标识符，用于识别制造商和型号。在企业环境中，通常的做法是决定租户希望支持的一组密码密钥或FIDO2密钥。通过在密码密钥设置中指定AAGUID来强制执行此决定。

但作为向新密码密钥模式变更的一部分，微软表示"如果强制执行证明被禁用（在策略中），我们（Entra ID）将开始接受使用以下证明声明的安全密钥或密码密钥提供商：

• “none”
• “tpm”
• “packed”（仅AttCA类型）
• 自定义证明格式≤32个字符

这将允许更广泛的安全密钥和密码密钥提供商在Microsoft Entra ID中被接受进行注册和认证。"

这听起来并不太严重，但这确实意味着如果你当前的密码密钥设置不强制执行证明（图1），切换发生时创建的默认策略所覆盖的任何人都将能够选择他们喜欢的任何密码密钥类型。

值得检查的密码密钥设置

一些租户可能不太关心不强制执行证明的问题。其他租户会非常关心，因为他们之前已经做了工作来确定租户内应该使用哪种密码密钥。无论哪种情况，都值得考虑这个主题，并决定是否应该强制执行证明。

微软表示此变更不需要管理员采取任何行动。它将自动部署到租户，如果你不需要审查认证方法，可能不会意识到发生了任何变化。

API尚未准备好应对变更

MC1097225包含一个重要说明：“如果你继续使用Graph API或第三方工具修改策略，模式在正式发布之前不会改变。“请记住，11月到来的是预览版，API需要时间来跟上变更。已经构建工具来管理认证方法的客户可以继续使用这些方法，直到正式发布，这可能是在2026年初到中期（我的猜测）。当那时到来时，我猜我会重新审视我的密码和认证方法报告脚本。