Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a hitelesítő kulcsok Microsoft Entra-azonosítóhoz készült Authenticatorban való használatának engedélyezésére és kényszerítésére vonatkozó lépéseket sorolja fel. Először frissítse a hitelesítési módszerek szabályzatát, hogy a felhasználók regisztrálhassanak és bejelentkezhessenek a hitelesítő kulcsokkal az Authenticatorban. Ezután a feltételes hozzáférés hitelesítési erősségeire vonatkozó szabályzatokkal kényszerítheti ki a hozzáférési kulcs bejelentkezését, amikor a felhasználók bizalmas erőforráshoz férnek hozzá.
Követelmények
Android 14 és újabb, illetve iOS 17 vagy újabb verzió.
Eszközközi regisztráció és hitelesítés esetén:
- Mindkét eszköznek engedélyezve kell lennie a Bluetooth-kapcsolatnak.
- A szervezeten belül engedélyezni kell a két végpont internetkapcsolatát:
https://cable.ua5v.comhttps://cable.auth.com
Feljegyzés
Ha engedélyezi az igazolást, a felhasználók nem használhatnak eszközközi regisztrációt.
A FIDO2 támogatásával kapcsolatos további információkért lásd A FIDO2-hitelesítés támogatása a Microsoft Entra-azonosítóval.
Feljegyzés
Ha engedélyezi, hogy az eszköz megfelelő vezérlőként legyen megjelölve egy feltételes hozzáférési szabályzat részeként, az nem blokkolja a Microsoft Authenticator alkalmazás hozzáférését a UserAuthenticationMethod.Read hatókörhöz. A hitelesítőnek hozzá kell férnie a UserAuthenticationMethod.Read hatókörhöz az Authenticator regisztrációja során annak meghatározásához, hogy a felhasználó mely hitelesítő adatokat konfigurálhatja. A hitelesítő adatok regisztrálásához az authenticatornak hozzá kell férnie a UserAuthenticationMethod.ReadWrite fájlhoz, amely nem kerüli el a megfelelő ellenőrzésként megjelölt eszköz megkövetelését .
Hozzáférési kulcsok engedélyezése az Authenticatorban a Felügyeleti központban
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
Keresse meg az Entra ID>Hitelesítési módszerek>hitelesítési módszer szabályzatát.
Az Passkey (FIDO2) módszer alatt válassza a Minden felhasználó lehetőséget, vagy a Csoportok hozzáadása lehetőséget adott csoportok kiválasztásához. Csak a biztonsági csoportok vannak támogatva.
A Konfigurálás lapon:
Állítsa be az Önkiszolgáló engedélyezés beállítását Igen értékre. Ha Nincsértékre van állítva, a felhasználók nem regisztrálhatnak hozzáférési kulcsot Biztonsági adatokhasználatával, még akkor sem, ha a hitelesítési módszerek házirendje engedélyezi a hozzáférési kulcsokat (FIDO2).
Állítsa be az igazolás kényszerítését a Igen vagy Nemlehetőségre.
Ha az igazolás engedélyezve van a hozzáférési kulcsra (FIDO2) vonatkozó szabályzatban, a Microsoft Entra ID megpróbálja ellenőrizni a létrehozott hozzáférési kulcs legitimitását. Amikor a felhasználó regisztrál egy hozzáférési kulcsot az Authenticatorban, az igazolás ellenőrzi, hogy a hiteles Authenticator alkalmazás hozta-e létre a jelszót az Apple és a Google szolgáltatásainak használatával. További részletek:
iOS-: Az hitelesítő igazolás az iOS app-igazolási szolgáltatás használatával biztosítja az Authenticator alkalmazás legitimitását, mielőtt regisztrálná a jelszót.
Android:
- A Play Integrity-igazolás esetében az Authenticator-igazolás a Play Integrity API-val biztosítja az Authenticator alkalmazás legitimitását a hozzáférési kulcs regisztrálása előtt.
- A kulcsigazolás esetében az Authenticator-igazolás az Android kulcsigazolásával ellenőrzi, hogy a regisztrálandó kulcs hardveresen van-e megőrzve.
Feljegyzés
Az iOS és Android rendszeren az Authenticator-igazolás az Apple és a Google szolgáltatásaira támaszkodik az Authenticator alkalmazás hitelességének ellenőrzéséhez. A nehéz szolgáltatáshasználat miatt a jelszókulcs-regisztráció meghiúsulhat, és előfordulhat, hogy a felhasználóknak újra kell próbálkoznia. Ha az Apple és a Google szolgáltatásai leállnak, az Authenticator igazolása letiltja a regisztrációt, amely igazolást igényel a szolgáltatások visszaállításáig. A Google Play Integrity szolgáltatás állapotának figyeléséhez tekintse meg a Google Play állapot irányítópultját. Az iOS App Attest szolgáltatás állapotának figyeléséhez lásd : Rendszerállapot.
Feljegyzés
A felhasználók csak közvetlenül az Authenticator alkalmazásban regisztrálhatnak hitelesített hozzáférési kulcsokat. Az eszközközi regisztrációs folyamatok nem támogatják az igazolt kulcsok regisztrációját.
kulcshasználati korlátozások az adott passzok használhatóságát mind a regisztrációhoz, mind a hitelesítéshez befolyásolják. Beállíthatja a Kulcskorlátozások kényszerítése lehetőséget Nincs értékre, hogy a felhasználók bármilyen támogatott hozzáférési kulcsot regisztrálhassanak, beleértve a hozzáférési kulcs regisztrációját közvetlenül az Authenticator alkalmazásban. Ha igen értékre állítja a kulcskorlátozások kikényszerítését, és már rendelkezik aktív jelszóhasználattal, akkor a jelenleg használt kulcsok AAGUID-jait kell összegyűjtenie és hozzáadnia.
Ha beállítja az Adott kulcsok korlátozása opciót Engedélyezésre, válassza a Microsoft Authenticator lehetőséget, hogy az Authenticator alkalmazás AAGUID-jei automatikusan hozzáadódjanak a kulcskorlátozások listájához. Manuálisan is hozzáadhatja a következő AAGUID-ket, amelyek lehetővé teszik a felhasználók számára a hitelesítő kulcsok regisztrálását az Authenticator alkalmazásban az Authenticator alkalmazásba való bejelentkezéssel vagy a biztonsági adatok
irányított folyamatának végigjárásával: -
Android Authenticator:
de1e552d-db1d-4423-a619-566b625cdc84 -
Authenticator iOS rendszeren:
90a3ccdf-635c-4729-a248-9b709135078f
Ha módosítja a kulcskorlátozásokat, és eltávolít egy korábban engedélyezett AAGUID-t, azok a felhasználók, akik korábban regisztráltak egy engedélyezett módszert, már nem használhatják a bejelentkezéshez.
Feljegyzés
Ha kikapcsolja a kulcskorlátozásokat, törölje a Microsoft Authenticator jelölőnégyzet jelölését, hogy a rendszer ne kérje meg a felhasználókat, hogy állítsanak be jelszót az Authenticator alkalmazásban Biztonsági adatok.
-
Android Authenticator:
A konfiguráció befejezése után válassza a Mentés lehetőséget.
Ha a mentéskor hibaüzenet jelenik meg, cserélje le több csoportot egyetlen csoportra egyetlen műveletben, majd válassza ki ismét a Mentés lehetőséget.
Hitelesítő kulcsok engedélyezése az Authenticatorban a Graph Explorerrel
A Microsoft Entra Felügyeleti központ használata mellett a hitelesítő kulcsokat is engedélyezheti az Authenticatorban a Graph Explorer használatával. Ha legalább hitelesítési házirend-rendszergazdai szerepkörhöz van hozzárendelve, frissítheti a hitelesítési módszerek házirendet, hogy engedélyezze az AAGUID-ket az Authenticatorhoz.
A szabályzat konfigurálása a Graph Explorerrel:
Jelentkezzen be a Graph Explorerbe, és járuljon hozzá a Policy.Read.All és a Policy.ReadWrite.AuthenticationMethod engedélyhez.
A hitelesítési módszerek házirendjének lekérése:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2Az igazolások érvényesítésének letiltásához és a kulcskorlátozások kikényszerítéséhez, hogy csak az AAGUID-k engedélyezve legyen az Authenticatorhoz, hajtsa végre a
PATCHműveletet a következő kérelemtörzs használatával:PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": true, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" <insert previous AAGUIDs here to keep them stored in policy> ] } }Győződjön meg arról, hogy a hozzáférési kulcs (FIDO2) házirendje megfelelően frissült.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
AAGUID-k keresése
A GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 Microsoft Graph PowerShell-szkripttel számba adhatja a bérlő összes regisztrált hozzáférési kulcsának AAGUID-jait.
Mentse a szkript törzsét egy GetRegisteredPasskeyAAGUIDsForAllUsers.ps1nevű fájlba.
# Disconnect from Microsoft Graph
Disconnect-MgGraph
# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'
# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"
# Initialize the file with a header
Set-Content -Path $file -Value '---'
# Retrieve all users
$UserArray = Get-MgBetaUser -All
# Iterate through each user
foreach ($user in $UserArray) {
# Retrieve Passkey authentication methods for the user
$fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id
if ($fidos -eq $null) {
# Log and write to file if no Passkey methods are found
Write-Host "User object ID $($user.Id) has no Passkey"
Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
} else {
# Iterate through each Passkey method
foreach ($fido in $fidos) {
# Log and write to file the Passkey details
Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
}
}
# Log and write a separator to file
Write-Host "==="
Add-Content -Path $file -Value "==="
}
A Bluetooth-használat korlátozása az Authenticatorban használt hitelesítési kulcsokra
Egyes szervezetek korlátozzák a Bluetooth használatát, beleértve a hozzáférési kulcsok használatát is. Ilyen esetekben a szervezetek engedélyezhetik a hozzáférési kulcsokat, ha engedélyezik a Bluetooth-párosítást kizárólag a passkey-kompatibilis FIDO2 hitelesítőkkel. Ha többet szeretne tudni arról, hogyan konfigurálhatja a Bluetooth-használatot csak a hozzáférési kulcsokhoz, olvassa el a Bluetooth által korlátozott környezetekben található hozzáférési kulcsokat.
Hozzáférési kulcs törlése
Ha egy felhasználó töröl egy hitelesítő kulcsot az Authenticatorban, a rendszer a hozzáférési kulcsot is eltávolítja a felhasználó bejelentkezési módszereiből. A hitelesítési házirend rendszergazdája az alábbi lépéseket követve is törölheti a hitelesítő kulcsot a felhasználó hitelesítési módszereiből, de nem távolítja el a hitelesítő kulcsot az Authenticatorból.
Jelentkezzen be a Microsoft Entra admin központba, és keresse meg azt a felhasználót, akinek a hozzáférési kulcsát el kell távolítani.
Válassza hitelesítési módszereket, kattintson a jobb gombbal a Hozzáférési kulcselemre, majd válassza a Törléslehetőséget.
Hacsak a felhasználó nem kezdeményezte a hitelesítő kulcs törlését az Authenticatorban, el kell távolítania a hitelesítő kulcsot az eszközén az Authenticatorban.
Bejelentkezés kényszerítése hozzáférési kulcsokkal az Authenticatorban
Ha azt szeretné, hogy a felhasználók jelszóval jelentkezzenek be, amikor bizalmas erőforráshoz férnek hozzá, használja az adathalászatnak ellenálló hitelesítés beépített erősségét, vagy hozzon létre egyéni hitelesítést az alábbi lépések végrehajtásával:
Jelentkezzen be a Microsoft Entra felügyeleti központba feltételes hozzáférési rendszergazdaként.
Keresse meg az Entra ID>Hitelesítési módszerek>hitelesítési erősségeit.
Válassza az Új hitelesítés erősségét.
Adjon meg egy leíró nevet az új hitelesítés erősségének.
Igény szerint adjon meg egy leírást.
Válassza a jelszókulcsok (FIDO2)lehetőséget, majd a Speciális beállításoklehetőséget.
Válassza Adathalászatnak ellenálló MFA erősségét vagy adjon hozzá AAGUID-ket a hitelesítő kulcsokhoz az Authenticatorban:
-
Android Authenticator:
de1e552d-db1d-4423-a619-566b625cdc84 -
Authenticator iOS rendszeren:
90a3ccdf-635c-4729-a248-9b709135078f
-
Android Authenticator:
Válassza Következőlehetőséget, és tekintse át a szabályzat konfigurációját.