Logowanie bez hasła (passwordless) w Microsoft 365 to już nie eksperyment, a domyślny standard bezpieczeństwa w 2026 roku. Wystarczy skonfigurować passkeys FIDO2 — fizyczny klucz sprzętowy (YubiKey, Feitian), Microsoft Authenticator lub zsynchronizowane klucze dostępu Apple i Google — aby całkowicie wyeliminować hasła i radykalnie podnieść odporność organizacji na phishing. W tym artykule przeprowadzimy Cię krok po kroku przez konfigurację w portalu Microsoft Entra ID, omówimy dostępne opcje sprzętowe i programowe oraz wyjaśnimy, które rozwiązanie wybrać dla administratorów, a które dla zwykłych pracowników.
Szybki dostęp — kluczowe adresy
Cel Adres Portal Microsoft Entra (konfiguracja) entra.microsoft.com Rejestracja kluczy przez użytkownika aka.ms/mysecurityinfo Konfiguracja MFA (wymagana przed passkeys) aka.ms/mfasetup Microsoft Authenticator (iOS/Android) App Store / Google Play — „Microsoft Authenticator” Dokumentacja FIDO2 Microsoft learn.microsoft.com/entra/identity/authentication
W skrócie
- Passkeys (FIDO2) są dostępne we wszystkich edycjach Microsoft Entra ID, w tym w bezpłatnej — nie wymagają dodatkowych licencji.
- Trzy ścieżki wdrożenia: klucze sprzętowe FIDO2 (najbezpieczniejsze), passkeys w Microsoft Authenticator (device-bound) oraz zsynchronizowane passkeys przez Apple iCloud / Google Password Manager (najwygodniejsze).
- Konfiguracja administracyjna odbywa się w nowych profilach passkeys (wprowadzonych w 2025/2026) — pozwalają one stosować różne zasady dla różnych grup użytkowników (np. ścisła atestacja dla adminów, luźniejsza dla reszty).
- Microsoft podaje, że zsynchronizowane passkeys są 14× szybsze od hasła z tradycyjnym MFA (3 sekundy zamiast 69) i osiągają 95% skuteczności logowania wobec 30% dla metod legacy.
- Od 1 lutego 2026 MFA jest obowiązkowe dla wszystkich operacji administracyjnych w Azure — passwordless idzie więc o krok dalej.
Dlaczego passwordless? Hasła to najsłabsze ogniwo
Ataki phishingowe zdalne rosną lawinowo — według Microsoftu zestawy narzędziowe oparte na AI umożliwiają dziś masowe kampanie kradzieży haseł, kodów SMS i jednorazowych tokenów e-mail. Passwordless eliminuje wszystkie podatne na wyłudzenie składniki: nie ma hasła do wpisania na fałszywej stronie, nie ma kodu SMS do przechwycenia, nie ma tokena e-mail do przekierowania.
Passkeys opierają się na kryptografii klucza publicznego (asymetrycznej) w standardzie FIDO2/WebAuthn. Klucz prywatny nigdy nie opuszcza urządzenia użytkownika — jest przechowywany w sprzętowym module bezpieczeństwa (TPM, Secure Enclave, Titan M) lub na fizycznym kluczu USB/NFC. Klucz publiczny trafia do Microsoft Entra ID. Przy każdym logowaniu Entra ID wysyła challenge (nonce), urządzenie podpisuje go kluczem prywatnym po weryfikacji biometrycznej (odcisk palca, twarz) lub PIN-em, a Entra ID weryfikuje podpis kluczem publicznym. Fałszywa strona logowania nie jest w stanie przeprowadzić poprawnej weryfikacji, ponieważ klucz prywatny jest związany z domeną (origin-bound) — działa tylko na prawdziwej stronie login.microsoftonline.com.
Przegląd metod passwordless w Microsoft 365 (2026)
| Metoda | Typ passkey | Bezpieczeństwo | Wygoda | Koszt sprzętu | Atestacja |
|---|---|---|---|---|---|
| Klucz sprzętowy FIDO2 (YubiKey, Feitian) | Device-bound | ★★★★★ (najwyższe) | ★★★☆☆ (fizyczny nośnik) | ~100–250 zł / klucz | Tak |
| Microsoft Authenticator (passkeys) | Device-bound | ★★★★☆ (wysokie) | ★★★★☆ (telefon zawsze przy sobie) | 0 zł (darmowa aplikacja) | Tak (iOS 6.8.37+ / Android 6.2507.4749+) |
| Zsynchronizowane passkeys (Apple iCloud, Google) | Synced | ★★★☆☆ (phishing-resistant, ale bez atestacji) | ★★★★★ (działa na wszystkich urządzeniach) | 0 zł (wbudowane w ekosystem) | Nie |
| Windows Hello for Business | Device-bound (TPM) | ★★★★☆ | ★★★★★ (wbudowane w Windows 10/11) | 0 zł (wymaga TPM 2.0) | Tak (certyfikat lub klucz) |
Którą metodę wybrać?
- Administratorzy IT, zarząd, pracownicy z dostępem do krytycznych systemów → klucze sprzętowe FIDO2 z wymuszoną atestacją. Jedyny sposób na kryptograficzne potwierdzenie, że używany jest właściwy, certyfikowany model klucza.
- Pracownicy biurowi, handlowcy, HR → zsynchronizowane passkeys (Apple iCloud / Google Password Manager). Wystarczająco bezpieczne wobec phishingu, a jednocześnie 3-sekundowe logowanie i możliwość użycia na każdym urządzeniu bez noszenia dodatkowego sprzętu.
- Środowiska regulowane (finanse, ochrona zdrowia, administracja publiczna) → Microsoft Authenticator z passkeys device-bound jako minimum; klucze sprzętowe dla ról uprzywilejowanych.
Konfiguracja krok po kroku — portal administracyjny Entra ID
Konfigurację wykonuje administrator z rolą Authentication Policy Administrator (do profili passkeys) oraz Conditional Access Administrator (jeśli planujesz wymusić passwordless przez Conditional Access).
Krok 1: Włącz profile passkeys
- Zaloguj się do entra.microsoft.com.
- Przejdź do Entra ID → Security → Authentication methods → Policies.
- Wybierz Passkey (FIDO2) i kliknij link w banerze, aby optymalnie włączyć profile passkeys (uwaga: tej operacji nie można cofnąć).
- W zakładce Configure ustaw Allow self-service set up na Yes — bez tego użytkownicy nie mogą samodzielnie rejestrować kluczy przez Security info.
Włączenie profili automatycznie przenosi dotychczasowe globalne ustawienia FIDO2 do domyślnego profilu passkeys (Default passkey profile). Maksymalnie można utworzyć 3 profile (w tym domyślny) — wsparcie dla większej liczby jest w fazie rozwoju.
Krok 2: Skonfiguruj profil (lub profile)
W zakładce Configure wybierz + Add passkey profile i zdefiniuj:
- Passkey types:
Device-bound(klucze sprzętowe + Authenticator),Synced(Apple/Google passkeys), lub oba. - Enforce attestation: Yes dla adminów i ról krytycznych (weryfikuje producenta i model klucza przez FIDO Metadata Service). No dla zwykłych użytkowników — uwaga: przy atestacji wyłączonej Entra ID nie może zagwarantować, czy passkey jest synced czy device-bound.
- Key Restriction Policy: opcjonalnie ogranicz dozwolone modele kluczy przez AAGUID (128-bitowy identyfikator producenta/modelu — można go uzyskać od dostawcy klucza lub odczytać z już zarejestrowanego klucza w szczegółach użytkownika).
Krok 3: Przypisz profil do grup
W zakładce Enable and Target dodaj grupy użytkowników i przypisz im odpowiedni profil. Grupa może być objęta wieloma profilami — użytkownik może się zarejestrować i logować, jeśli jego passkey spełnia wymogi przynajmniej jednego z przypisanych profili.
Krok 4 (opcjonalnie): Wymuś logowanie passkeys przez Conditional Access
Aby wymusić passwordless dla newralgicznych zasobów:
- Entra ID → Authentication methods → Authentication strengths → New authentication strength.
- Wybierz Passkeys (FIDO2) i opcjonalnie ogranicz przez AAGUID.
- Utwórz politykę Conditional Access, która wymaga tej siły uwierzytelnienia dla wybranych aplikacji.
Rejestracja passkeys przez użytkownika końcowego
Po skonfigurowaniu profili przez administratora użytkownik przechodzi do aka.ms/mysecurityinfo i:
- Loguje się (wymagane MFA w ciągu ostatnich 5 minut).
- Wybiera Add method → Passkey (FIDO2).
- Dla klucza sprzętowego: podłącza klucz (USB) lub przykłada go do czytnika NFC, ustawia PIN (jeśli pierwsze użycie), dotyka przycisku na kluczu.
- Dla synced passkeys: wybiera opcję zapisania passkey w Apple iCloud Keychain lub Google Password Manager.
- Nazywa klucz (np. „YubiKey 5C NFC — służbowy”) — pomocne przy zarządzaniu wieloma kluczami.
Windows 10 1903+ i Windows 11 zapewniają najlepsze doświadczenie. Urządzenia hybrydowo dołączone (hybrid-joined) wymagają Windows 10 2004+.
Windows Hello for Business — passwordless wbudowany w system
Windows Hello for Business (WHfB) to osobna, komplementarna ścieżka passwordless — nie wymaga passkeys FIDO2, ponieważ używa klucza kryptograficznego związanego z modułem TPM urządzenia. Po wstępnym zweryfikowaniu tożsamości użytkownika podczas konfiguracji (provisioningu) WHfB tworzy parę kluczy w TPM i od tego momentu logowanie do Entra ID lub Active Directory odbywa się przez:
- Rozpoznawanie twarzy (kamera IR — Windows Hello, nie mylić ze zwykłą kamerą),
- Odcisk palca (czytnik linii papilarnych),
- PIN (przechowywany lokalnie, nigdy nie przesyłany — odporny na brute-force dzięki TPM).
WHfB jest dostępny w Windows 10/11 Pro, Enterprise i Education. Wymaga licencji Windows Pro/Enterprise E3/E5 lub Education A3/A5. Działa też z Windows 11 na Microsoft Entra joined i hybrid-joined. W przeciwieństwie do passkeys FIDO2, WHfB zapewnia również Single Sign-On do zasobów on-premises.
Porównanie: klucz sprzętowy FIDO2 vs Microsoft Authenticator vs synced passkeys
| Kryterium | FIDO2 Security Key | Microsoft Authenticator | Synced Passkeys |
|---|---|---|---|
| Zabezpieczenie przed phishingiem | Tak (najwyższe) | Tak | Tak (phishing-resistant) |
| Atestacja sprzętowa | Tak | Tak | Nie |
| Wymagany dodatkowy sprzęt | Klucz USB/NFC (~100–250 zł) | Smartfon | Smartfon/komputer |
| Działa offline? | Tak (klucz nie potrzebuje sieci) | Tak (kody TOTP offline) | Po synchronizacji — tak |
| Przenośność między urządzeniami | Noś fizycznie | Tylko telefon z Authenticatorem | Automatycznie przez chmurę (Apple/Google) |
| Odzyskiwanie po zgubieniu | Klucz zapasowy lub administrator | Kody zapasowe / fallback MFA | Logowanie przez inny synced device |
| Najlepsze dla | Admini, finanse, C-level | Średnie firmy, pracownicy IT | Pracownicy biurowi, frontline |
Ograniczenia i znane problemy (2026)
- Konta gościnne (B2B) nie obsługują rejestracji passkeys FIDO2 — dotyczy to zarówno gości wewnętrznych, jak i zewnętrznych.
- Zmiana UPN (User Principal Name) unieważnia zarejestrowane passkeys — użytkownik musi ręcznie usunąć stary klucz i zarejestrować nowy przez Security info.
- Maksymalny rozmiar polityki FIDO2 to 20 KB — przy wielu profilach i listach AAGUID należy to monitorować.
- Provisioning kluczy sprzętowych przez Microsoft Graph API jest w fazie preview (2026) — umożliwia administratorom wstępne zaprogramowanie kluczy FIDO2 dla użytkowników przed ich wydaniem.
Częste pytania
Czy passkeys FIDO2 wymagają płatnych licencji Microsoft 365?
Nie. Passkeys (FIDO2) są dostępne we wszystkich edycjach Microsoft Entra ID, w tym w bezpłatnej (Microsoft Entra ID Free). Żadne dodatkowe licencje nie są wymagane. Jeśli jednak chcesz wymusić logowanie passkeys przez Conditional Access (authentication strength), potrzebujesz licencji Microsoft Entra ID P1 lub P2 — dostępnych m.in. w ramach Microsoft 365 Business Premium i E3/E5.
Czym różnią się passkeys device-bound od synced?
Device-bound: klucz prywatny jest tworzony i przechowywany wyłącznie na jednym fizycznym urządzeniu (klucz FIDO2, smartfon z Authenticatorem) i nigdy go nie opuszcza. Obsługuje atestację sprzętową. Synced: klucz prywatny jest tworzony przez HSM urządzenia, szyfrowany i synchronizowany przez chmurę dostawcy (Apple iCloud, Google Password Manager). Działa na wszystkich urządzeniach użytkownika, ale nie obsługuje atestacji.
Czy mogę używać Google Authenticator lub Authy zamiast Microsoft Authenticator?
Dla passkeys — nie. Passkeys device-bound w ekosystemie Microsoft działają wyłącznie z Microsoft Authenticator (iOS 6.8.37+ / Android 6.2507.4749+). Inne aplikacje autoryzujące (Google Authenticator, Authy) obsługują tylko kody TOTP jako tradycyjną drugą metodę MFA, ale nie są passkeys. Dla zsynchronizowanych passkeys możesz natomiast używać natywnych menedżerów Apple i Google.
Co zrobić, gdy użytkownik zgubi fizyczny klucz FIDO2?
Administrator może usunąć zarejestrowany passkey z konta użytkownika w Entra ID (Authentication methods → Passkey (device-bound) → Delete). Użytkownik powinien mieć zarejestrowany co najmniej jeden zapasowy klucz — Microsoft rekomenduje minimum dwie metody uwierzytelniania. Do czasu wydania nowego klucza administrator może tymczasowo przywrócić dostęp przez inną metodę MFA, o ile polityka Conditional Access na to pozwala.
Czy passkeys zastępują całkowicie MFA?
Tak i nie. Passkeys same w sobie stanowią uwierzytelnianie wieloskładnikowe, ponieważ łączą „coś, co masz” (klucz prywatny na urządzeniu) z „czymś, czym jesteś” (biometria) lub „coś, co znasz” (PIN). Oznacza to, że logowanie passkeys nie wymaga osobnego kodu MFA — jest szybsze i bezpieczniejsze. Jednak MFA jest wciąż wymagane przed pierwszą rejestracją passkey (użytkownik musi potwierdzić MFA w ciągu ostatnich 5 minut).
Czy Windows Hello for Business to to samo co passkeys FIDO2?
Nie. Windows Hello for Business używa modułu TPM w urządzeniu z Windows do przechowywania klucza prywatnego i integruje się natywnie z Entra ID oraz Active Directory. Nie korzysta z protokołu FIDO2/WebAuthn (chyba że używasz WHfB jako FIDO2 authenticatora do logowania w przeglądarce). WHfB wymaga licencji Windows Pro/Enterprise, podczas gdy passkeys FIDO2 są dostępne na każdym urządzeniu z przeglądarką — również macOS, iOS i Android.
Jakie klucze sprzętowe FIDO2 są kompatybilne z Microsoft Entra ID?
Microsoft Entra ID współpracuje z każdym kluczem zgodnym ze standardem FIDO2 CTAP 2.0+. Najpopularniejsze certyfikowane modele to YubiKey 5 Series (USB-C, NFC), Feitian BioPass i ePass, Thales SafeNet, HID Crescendo. Pełna lista certyfikowanych kluczy z AAGUID dostępna jest w dokumentacji Microsoft. Przy zakupie upewnij się, że klucz obsługuje interfejs, którego używasz (USB-A, USB-C, NFC, Lightning).
Potrzebujesz licencji Microsoft 365 do wdrożenia passwordless?
Choć same passkeys FIDO2 są darmowe, pełne wdrożenie polityk passwordless z Conditional Access — wymuszanie authentication strength, konfiguracja dostępu warunkowego, raportowanie ryzyka — wymaga licencji Microsoft Entra ID P1 (dostępnej w pakietach Business Premium i Enterprise). Dla organizacji, które dopiero planują przejście na wyższy poziom bezpieczeństwa, KluczeSoft oferuje legalne, w pełni zgodne z prawem UE licencje Microsoft 365 w atrakcyjnych cenach:
→ Microsoft 365 Business Premium — od 88 zł/mies./użytkownik → Microsoft 365 E3 dla średnich i dużych firm
KluczeSoft jest niezależnym sprzedawcą używanego oprogramowania Microsoft, działającym zgodnie z wyrokiem TSUE w sprawie C-128/11 (UsedSoft). Nie jesteśmy autoryzowanym partnerem Microsoft.