Microsoft versterkt de beveiliging van mobiele authenticatie. Vanaf februari 2026 introduceert Microsoft een nieuwe beveiligingsmaatregel in de Microsoft Authenticator-app: jailbreak- en root-detectie voor werk- en schoolaccounts. Deze wijziging zorgt ervoor dat accounts niet meer gebruikt kunnen worden op apparaten waarvan de beveiliging is aangepast.

Voor organisaties die Microsoft 365 en Microsoft Entra ID gebruiken, kan deze update direct impact hebben op gebruikers en IT-beheer. In deze blog leggen we uit wat er verandert, waarom Microsoft dit doet en wat organisaties moeten doen om voorbereid te zijn.

Wat is jailbreaken of rooten van een apparaat?

Jailbreaking (iOS) en rooting (Android) zijn methoden waarmee gebruikers de beveiligingsrestricties van het besturingssysteem verwijderen. Hierdoor krijgen zij volledige systeemrechten op hun toestel.

Hoewel dit meer controle en flexibiliteit biedt, brengt het ook risico’s met zich mee:

• Apps krijgen meer toegang tot het systeem dan normaal

• Malware kan gemakkelijker gegevens stelen

• Beveiligingsmechanismen van het OS worden omzeild

• Authenticatie-apps kunnen kwetsbaarder worden

Voor organisaties betekent dit dat MFA-tokens en bedrijfsaccounts mogelijk onveilig opgeslagen worden op zulke apparaten.

Wat verandert er in Microsoft Authenticator?

Microsoft Authenticator gaat automatisch detecteren of een apparaat jailbroken of geroot is. Als dat zo is, kan de app niet langer gebruikt worden voor werk- of schoolaccounts.

Belangrijk om te weten:

• De functionaliteit is standaard ingeschakeld

• IT-beheerders hoeven niets te configureren

• Er is geen opt-out

• Alleen werk- of schoolaccounts (Microsoft Entra ID) worden beïnvloed

• Persoonlijke accounts blijven werken

Dit maakt de beveiliging van MFA een stuk sterker, omdat tokens niet meer op mogelijk gecompromitteerde apparaten gebruikt kunnen worden.

De uitrol: drie fasen

Microsoft voert de wijziging gefaseerd door, zodat gebruikers tijd hebben om actie te ondernemen.

1. Warning mode

Gebruikers krijgen een waarschuwing dat hun apparaat jailbreak/root bevat en dat Authenticator binnenkort niet meer zal werken.

2. Blocking mode

Nieuwe accounts toevoegen of aanmelden met Authenticator is niet meer mogelijk.

3. Wipe mode

Alle bestaande werk- of schoolaccounts worden automatisch van het apparaat verwijderd.

De volledige uitrol loopt van februari 2026 tot ongeveer midden 2026.

Waarom doet Microsoft dit?

Multi-factor authentication (MFA) is één van de belangrijkste beveiligingsmaatregelen voor moderne organisaties. Accounts met MFA zijn aanzienlijk minder gevoelig voor aanvallen.

Maar als een toestel zelf onveilig is, kan MFA alsnog worden ondermijnd.

Op een geroot of gejailbreakt apparaat kunnen bijvoorbeeld:

• kwaadaardige apps MFA-tokens uitlezen

• beveiligingschecks worden omzeild

• authenticatiegegevens worden onderschept

Door deze apparaten volledig te blokkeren, beschermt Microsoft Entra ID beter tegen credential theft en accountovername.

Wat betekent dit voor IT-afdelingen?

Voor de meeste organisaties zal deze wijziging weinig impact hebben, omdat zakelijke toestellen doorgaans niet gejailbreakt of geroot zijn.

Toch zijn er een paar belangrijke aandachtspunten:

1. Communiceer met gebruikers

Informeer medewerkers dat Authenticator niet meer werkt op aangepaste toestellen.

2. Bereid de servicedesk voor

Helpdeskmedewerkers kunnen meldingen krijgen zoals:

• “Your device is jailbroken or rooted”

• “You can no longer use this account”

3. Controleer BYOD-beleid

Bij Bring Your Own Device-omgevingen kan deze wijziging gebruikers raken die hun toestel aangepast hebben.

4. Alternatieve authenticatie

Overweeg fallback-methoden zoals:

• hardware security keys

• tijdelijke toegangspassen

• device compliance via Intune

Waarom dit eigenlijk goed nieuws is voor security

Hoewel sommige gebruikers het als beperking ervaren, past deze wijziging perfect in de Zero Trust security-strategie.

De basisprincipes van Zero Trust:

• vertrouw geen apparaat automatisch

• controleer continu de staat van een device

• bescherm identiteit en toegang

Door MFA te blokkeren op onveilige toestellen, voorkomt Microsoft dat een van de belangrijkste beveiligingslagen wordt ondermijnd.

Samenvatting blokkering jalibreak- en root-detectie

De nieuwe jailbreak- en root-detectie in Microsoft Authenticator is een logische stap in het versterken van identiteitsbeveiliging binnen Microsoft 365 en Entra ID.

Kort samengevat:

• Jailbroken en rooted devices worden automatisch gedetecteerd

• Authenticator werkt daar niet meer voor werk- of schoolaccounts

• De uitrol gebeurt gefaseerd: waarschuwing → blokkade → verwijderen van accounts

• IT-beheerders hoeven niets te configureren

Voor organisaties is dit hét moment om gebruikers te informeren, policies te controleren en MFA-strategieën te evalueren.