Sdílet prostřednictvím

Povolení přístupových klíčů v Microsoft Authenticatoru (Preview)

  • Článek

Tento článek uvádí kroky pro povolení a vynucování použití klíčů v authenticatoru pro ID Microsoft Entra. Nejprve aktualizujete zásady metod ověřování, abyste koncovým uživatelům umožnili registraci a přihlášení pomocí přístupových klíčů v Authenticatoru. Pak můžete použít zásady silného ověřování podmíněného přístupu k vynucení přihlašování pomocí klíče, když uživatelé přistupují k citlivému prostředku.

Požadavky

  • Vícefaktorové ověřování Microsoft Entra (MFA)
  • Android 14 a novější nebo iOS 17 a novější
  • Aktivní připojení k internetu na jakémkoli zařízení, které je součástí procesu registrace nebo ověřování klíče
  • Pro registraci nebo ověřování mezi zařízeními musí mít obě zařízení povolenou technologii Bluetooth.

Poznámka

Aby mohli uživatelé používat klíč, musí si nainstalovat nejnovější verzi Authenticatoru pro Android nebo iOS.

Další informace o tom, kde se můžete přihlásit pomocí přístupových klíčů v Authenticatoru, najdete v tématu Podpora ověřování FIDO2 pomocí Microsoft Entra ID.

Povolení přístupových klíčů v Authenticatoru v Centru pro správu

Správce zásad ověřování musí udělit souhlas s povolením authenticatoru v nastavení klíče (FIDO2) zásad ověřování. Musí explicitně povolit identifikátory GUID ověřování authenticatoru (AAGUIDs) pro Microsoft Authenticator, aby mohli uživatelé registrovat klíče v aplikaci Authenticator. V části aplikace Microsoft Authenticator zásad metod ověřování není k dispozici žádné nastavení pro povolení přístupových klíčů.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. Přejděte na zásady metody>ověřování ochrany.>

  3. V části Klíč metody (FIDO2) vyberte Všichni uživatelé nebo Přidat skupiny a vyberte konkrétní skupiny. Podporují se jenom skupiny zabezpečení.

  4. Na kartě Konfigurace:

    • Nastavte možnost Povolit samoobslužné nastavení na Ano. Pokud je nastavená hodnota Ne, nemůžou uživatelé zaregistrovat klíč pomocí bezpečnostních údajů, i když zásady metod ověřování povolí klíče (FIDO2).

    • Nastavte vynutit ověření identity na Hodnotu Ne pro verzi Preview. Podpora ověření identity se plánuje pro obecnou dostupnost.

    • Omezení klíče nastavují použitelnost konkrétních klíčů pro registraci i ověřování. Nastavte vynucení omezení klíče na Ano , pokud chcete povolit nebo blokovat jenom určité klíče, které jsou identifikované jejich identifikátory AAGUID.

      Toto nastavení musí být Ano a potřebujete přidat Identifikátory AAGUID microsoft Authenticatoru, abyste uživatelům umožnili registrovat klíče v aplikaci Authenticator, a to buď přihlášením k aplikaci Authenticator, nebo přidáním klíče v Microsoft Authenticatoru z bezpečnostních údajů.

      Bezpečnostní údaje vyžadují, aby toto nastavení bylo nastaveno na Ano , aby uživatelé mohli zvolit klíč v authenticatoru a prošli vyhrazeným tokem registrace klíče ověřovacího klíče. Pokud zvolíte Ne, uživatelé budou moct v Aplikaci Microsoft Authenticator přidat klíč tak, že v závislosti na operačním systému a prohlížeči zvolí metodu Klíč . Neočekáváme ale, že by tato cesta byla zjistitelná a používána většinou uživatelů.

      Pokud vaše organizace v současné době nevynucuje omezení klíče a už má aktivní použití klíče, měli byste shromáždit identifikátory AAGUID klíčů, které se dnes používají. Pokud chcete povolit tuto verzi Preview, přidejte je do seznamu povolených společně s identifikátory AAGUID authenticatoru. Tuto úlohu je možné provést pomocí automatizovaného skriptu, který analyzuje protokoly, jako jsou podrobnosti registrace a protokoly přihlašování.

      Pokud změníte omezení klíče a odeberete identifikátor AAGUID, který jste dříve povolili, uživatelé, kteří dříve zaregistrovali povolenou metodu, ji už nemůžou používat pro přihlášení.

    • Nastavte možnost Omezit konkrétní klíče na Povolit.

    • Pokud chcete automaticky přidat AAGUID aplikace Authenticator do seznamu omezení klíčů, vyberte Microsoft Authenticator (Preview) nebo ručně přidejte následující identifikátory AAGUID, které uživatelům umožní registrovat klíče v authenticatoru přihlášením k aplikaci Authenticator nebo procházením toku s asistencí na stránce Bezpečnostní údaje:

      • Authenticator pro Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator pro iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Poznámka

      Pokud vypnete omezení kláves, nezapomeňte zrušit zaškrtnutí políčka Microsoft Authenticator (Preview), aby uživatelé nebyli vyzváni k nastavení klíče v aplikaci Authenticator v bezpečnostních údajích.

      Mohou být uvedeny další dva identifikátory AAGUID. b6879edc-2a86-4bde-9c62-c1cac4a8f8e5 Jsou a 257fa02a-18f3-4e34-8174-95d454c2e9ad. Tyto identifikátory AAGUID se zobrazují před nadcházející funkcí. Můžete je odebrat ze seznamu povolených identifikátorů AAGUID.

    Snímek obrazovky s povoleným klíčem pro Microsoft Authenticator

  5. Po dokončení konfigurace vyberte Uložit.

    Poznámka

    Pokud se při pokusu o uložení zobrazí chyba, nahraďte více skupin jednou skupinou v jedné operaci a potom znovu klikněte na Uložit .

Povolení přístupových klíčů v Authenticatoru pomocí Graph Exploreru

Kromě používání Centra pro správu Microsoft Entra můžete také povolit přístupové klíče v Authenticatoru pomocí Graph Exploreru. Ti, kteří mají přiřazenou alespoň roli Správce zásad ověřování, mohou aktualizovat zásady metod ověřování tak, aby povolily AAGUID pro Authenticator.

Konfigurace zásad pomocí Graph Exploreru:

  1. Přihlaste se k Graph Exploreru a odsouhlaste oprávnění Policy.Read.All a Policy.ReadWrite.AuthenticationMethod .

  2. Načtěte zásady metod ověřování:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Pokud chcete zakázat vynucení ověření identity a vynutit omezení klíče tak, aby povolovat pouze AAGUID pro Microsoft Authenticator, proveďte operaci PATCH pomocí následujícího textu požadavku:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Ujistěte se, že jsou správně aktualizované zásady klíče (FIDO2).

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Odstranění klíče

Pokud chcete odebrat klíč přidružený k uživatelskému účtu, odstraňte klíč z metod ověřování uživatele.

  1. Přihlaste se do Centra pro správu Microsoft Entra a vyhledejte uživatele, jehož klíč je potřeba odebrat.

  2. Vyberte metody> ověřování pravým tlačítkem myši na klíč zabezpečení FIDO2 a vyberte Odstranit.

    Snímek obrazovky s podrobnostmi o metodě ověřování

Poznámka

Uživatelé také musí na svém zařízení odebrat klíč v authenticatoru.

Vynucení přihlášení pomocí přístupových klíčů v Authenticatoru

Pokud chcete, aby se uživatelé při přístupu k citlivému prostředku přihlásili pomocí klíče, použijte integrovanou sílu ověřování odolnou proti útokům phishing nebo vytvořte vlastní sílu ověřování pomocí následujícího postupu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce podmíněného přístupu.

  2. Přejděte na silné stránky ověřování metod>ochrany>.

  3. Vyberte Novou sílu ověřování.

  4. Zadejte popisný název nové síly ověřování.

  5. Volitelně zadejte popis.

  6. Vyberte Klíče (FIDO2) a pak vyberte Upřesnit možnosti.

  7. Přidání AAGUIDs pro klíče v Authenticatoru:

    • Authenticator pro Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator pro iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  8. Zvolte Další a zkontrolujte konfiguraci zásad.

Další kroky

Podpora pro klíč ve Windows