Hozzáférési kulcsok (FIDO2) engedélyezése a szervezet számára

A jelszavakat ma használó vállalatok számára a jelszókulcsok (FIDO2) zökkenőmentes módot biztosítanak a dolgozók számára a felhasználónév vagy jelszó megadása nélkül történő hitelesítésre. A hozzáférési kulcsok (FIDO2) jobb termelékenységet biztosítanak a munkavállalók számára, és nagyobb biztonságot nyújtanak.

Ez a cikk a hozzáférési kulcsok szervezeten belüli engedélyezésére vonatkozó követelményeket és lépéseket sorolja fel. A lépések elvégzése után a szervezet felhasználói regisztrálhatnak és bejelentkezhetnek a Microsoft Entra-fiókjukba egy FIDO2 biztonsági kulcson vagy a Microsoft Authenticatorban tárolt kulcs használatával.

A hozzáférési kulcsok Microsoft Authenticatorban való engedélyezéséről a Jelszókulcsok engedélyezése a Microsoft Authenticatorban című témakörben talál további információt.

A jelszókulcsos hitelesítéssel kapcsolatos további információkért lásd : FIDO2-hitelesítés támogatása a Microsoft Entra-azonosítóval.

Megjegyzés

A Microsoft Entra ID jelenleg a FIDO2 biztonsági kulcsokon és a Microsoft Authenticatorban tárolt eszközhöz kötött hozzáférési kulcsokat támogatja. A Microsoft elkötelezett az ügyfelek és a felhasználók hozzáférési kulcsokkal való védelme mellett. A munkahelyi fiókokhoz olyan szinkronizált és eszközhöz kötött hozzáférési kulcsokba fektetünk be.

Követelmények

• A felhasználóknak az elmúlt öt percben többtényezős hitelesítést (MFA) kell elvégezniük, mielőtt regisztrálhatják a hozzáférési kulcsot (FIDO2).
• A felhasználóknak szükségük van egy FIDO2 biztonsági kulcsra, amely jogosult a Microsoft Entra ID vagy a Microsoft Authenticator igazolására.
• Az eszközöknek támogatniuk kell a hozzáférési kulcs (FIDO2) hitelesítését. A Microsoft Entra ID-hoz csatlakoztatott Windows-eszközök esetében a legjobb élmény a Windows 10 1903-at vagy újabb verzióját használja. A hibrid csatlakoztatott eszközöknek a Windows 10 2004-es vagy újabb verzióját kell futtatniuk.

A hozzáférési kulcsok (FIDO2) windowsos, macOS, Android és iOS rendszerű főbb forgatókönyvekben támogatottak. A támogatott forgatókönyvekről további információt a FIDO2-hitelesítés támogatása a Microsoft Entra ID-ban című témakörben talál.

Megjegyzés

Hamarosan megjelenik az androidos Edge-ben az azonos eszközök regisztrációjának támogatása.

Passkey (FIDO2) Azonosító Igazolás GUID (AAGUID)

A FIDO2 specifikáció megköveteli, hogy a regisztráció során minden biztonsági kulcs szállítója adjon meg egy Authenticator Attestation GUID (AAGUID) azonosítót. Az AAGUID egy 128 bites azonosító, amely a kulcs típusát jelzi, például a make-t és a modellt. Az asztali és mobileszközök hozzáférési kulcsszolgáltatói (FIDO2) várhatóan AAGUID-t is biztosítanak a regisztráció során.

Megjegyzés

A szállítónak biztosítania kell, hogy az AAGUID azonos legyen az adott szállító által készített, lényegesen azonos biztonsági kulcsok vagy hozzáférési kulcsok (FIDO2) szolgáltatói között, és különbözik (nagy valószínűséggel) az összes más típusú biztonsági kulcs vagy hozzáférési kulcs (FIDO2) szolgáltató AAGUID-jától. Ennek biztosítása érdekében véletlenszerűen létre kell hozni egy adott biztonságikulcs-modellhez vagy hozzáférési kulcshoz (FIDO2) tartozó AAGUID-t. További információ: Webes hitelesítés: Api a nyilvános kulcs hitelesítő adatainak eléréséhez – 2. szint (w3.org).

A biztonsági kulcs szállítójával együttműködve meghatározhatja a hozzáférési kulcs AAGUID-jét (FIDO2), vagy megtekintheti a Microsoft Entra-azonosítóval való igazolásra jogosult FIDO2 biztonsági kulcsokat. Ha a hozzáférési kulcs (FIDO2) már regisztrálva van, az AAGUID-t a felhasználó hozzáférési kulcsának (FIDO2) hitelesítési módjának részleteinek megtekintésével találja meg.

Hozzáférési kulcs (FIDO2) hitelesítési módszerének engedélyezése

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.

2. Keresse meg az Entra-azonosító>hitelesítési módszereire>.

3. Az Passkey (FIDO2) módszer alatt állítsa a kapcsolót Engedélyezés értékre. Adott csoportok kiválasztásához válassza a Minden felhasználó vagy a Csoport hozzáadása lehetőséget. Csak a biztonsági csoportok vannak támogatva.

4. A Konfigurálás lapon:

   • Állítsa be az Önkiszolgáló engedélyezés beállítását Igen értékre. Ha nem értékre van állítva, a felhasználók nem regisztrálhatnak hozzáférési kulcsot biztonsági adatok használatával, még akkor sem, ha a hitelesítési módszerek házirendje engedélyezi a hozzáférési kulcsokat (FIDO2).

   • Ha a szervezet biztosítani szeretné, hogy a FIDO2 biztonságikulcs-modell vagy a hozzáférésikulcs-szolgáltató valódi, és a megbízható szállítótól származik, állítsa be a kényszerítési igazolástIgen értékre.

     • A FIDO2 biztonsági kulcsok esetében a biztonsági kulcs metaadatait közzé kell tenni és ellenőrizni kell a FIDO Alliance metadata szolgáltatással, valamint meg kell felelniük a Microsoft kompatibilitási követelményeinek is. További információkért, beleértve a Microsoft-kompatibilis biztonságikulcs-modellek listáját, olvassa el a Microsoft-kompatibilis FIDO2 biztonságikulcs-gyártóvá válást ismertető cikket.
     • A Microsoft Authenticator hozzáférési kulcsai az igazolást is támogatják. További információért tekintse meg: Hogyan működik a kulcsigazolás az Authenticatorral.

     Figyelmeztetés

     Az igazolások érvényesítése azt szabályozza, hogy a hozzáférési kulcs (FIDO2) csak a regisztráció során engedélyezett-e. A hozzáférési kulcsot (FIDO2) igazolás nélkül regisztráló felhasználók nem lesznek letiltva a bejelentkezésben, ha az igazolás kényszerítése később Igen értékre van állítva.

   Kulcskorlátozási szabályzat

   • A kulcskorlátozások kényszerítése csak akkor legyen Igen értékre állítva, ha a szervezet csak bizonyos biztonságikulcs-modelleket vagy hozzáférési kulcsszolgáltatókat szeretne engedélyezni vagy letiltani, amelyeket az AAGUID azonosít. A biztonsági kulcs szállítójával együttműködve meghatározhatja a hozzáférési kulcs AAGUID-jének értékét. Ha a hozzáférési kulcs már regisztrálva van, az AAGUID-t a felhasználó hozzáférési kulcsának részleteinek megtekintésével találja meg.

   Figyelmeztetés

   A fő korlátozások meghatározott modellek vagy szolgáltatók használhatóságát állítják be mind a regisztrációhoz, mind a hitelesítéshez. Ha módosítja a kulcskorlátozásokat, és eltávolít egy korábban engedélyezett AAGUID-t, azok a felhasználók, akik korábban regisztráltak egy engedélyezett módszert, már nem használhatják a bejelentkezéshez.

   

5. A konfiguráció befejezése után válassza a Mentés lehetőséget.

   Megjegyzés

   Ha a mentéskor hibaüzenet jelenik meg, cserélje le több csoportot egyetlen csoportra egyetlen műveletben, majd kattintson ismét a Mentés gombra.

FIDO2 biztonsági kulcsok kiépítése a Microsoft Graph API használatával (előzetes verzió)

Jelenleg előzetes verzióban a rendszergazdák a Microsoft Graph és az egyéni ügyfelek használatával hozhatnak ki FIDO2 biztonsági kulcsokat a felhasználók nevében. A kiépítéshez hitelesítési rendszergazdai szerepkör vagy olyan kliensalkalmazás szükséges, amely rendelkezik a UserAuthenticationMethod.ReadWrite.All engedéllyel. A kiépítési fejlesztések a következők:

• A WebAuthn létrehozási beállításainak kérése a Microsoft Entra-azonosítóból
• A kiépített biztonsági kulcs regisztrálása közvetlenül a Microsoft Entra-azonosítóval

Ezekkel az új API-kkal a szervezetek saját klienseket fejleszthetnek felhasználói hozzáférés (FIDO2) hitelesítő adatainak a biztonsági kulcsokon való létrehozásához. A folyamat egyszerűsítése érdekében három fő lépésre van szükség.

1. Felhasználó létrehozási opciók kérése: A Microsoft Entra ID visszaadja az ügyfél számára a hozzáférési kulcs (FIDO2) hitelesítő adatainak létrehozásához szükséges adatokat. Ilyenek például a felhasználói adatok, a függő entitás azonosítója, a hitelesítőadat-szabályzat követelményei, az algoritmusok, a regisztrációs kihívás stb.
2. Állítsa be a jelszókulcs (FIDO2) hitelesítő adatot a létrehozási beállításokkal: Használja a creationOptions és egy olyan ügyfelet, amely támogatja a Kliens az autentikátorhoz protokoll (CTAP) protokollt, a hitelesítő adat kiépítéséhez. Ebben a lépésben be kell szúrnia a biztonsági kulcsot, és be kell állítania egy PIN-kódot.
3. Regisztrálja a kiosztott hitelesítő adatokat a Microsoft Entra-azonosítóval: A kiépítési folyamat formázott kimenetének használatával adja meg a Microsoft Entra-azonosítónak a megcélzott felhasználó hitelesítő adatainak regisztrálásához szükséges adatokat.

Hozzáférési kulcsok (FIDO2) engedélyezése a Microsoft Graph API használatával

A Microsoft Entra felügyeleti központ használata mellett a hozzáférési kulcsokat (FIDO2) is engedélyezheti a Microsoft Graph API használatával. A hozzáférési kulcsok (FIDO2) engedélyezéséhez frissítenie kell a hitelesítési módszerek szabályzatát legalább hitelesítési házirend-rendszergazdaként.

A szabályzat konfigurálása a Graph Explorerrel:

1. Jelentkezzen be a Graph Explorerbe, és járuljon hozzá a Policy.Read.All és a Policy.ReadWrite.AuthenticationMethod engedélyhez.

2. A hitelesítési módszerek házirendjének lekérése:

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Ha le szeretné tiltani az igazolások érvényesítését, és kulcskorlátozásokat szeretne kényszeríteni, hogy például csak az RSA DS100 AAGUID engedélyezésére korlátozódjon, hajtsa végre a PATCH műveletet a következő kérelemtörzs használatával:

   PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Győződjön meg arról, hogy a hozzáférési kulcs (FIDO2) házirendje megfelelően frissült.

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Jelszó törlése (FIDO2)

A felhasználói fiókhoz társított hozzáférési kulcs (FIDO2) eltávolításához törölje azt a felhasználó hitelesítési módszeréből.

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába , és keresse meg azt a felhasználót, akinek a hozzáférési kulcsát (FIDO2) el kell távolítani.
2. Válassza az Hitelesítési módszerek> lehetőséget, kattintson jobb gombbal a Belépési kulcs (eszközhöz kötött)-re, és válassza a Törlés lehetőséget.

A hozzáférési kulccsal (FIDO2) történő bejelentkezés kényszerítése

Ha azt szeretné, hogy a felhasználók pin-kóddal (FIDO2) jelentkezzenek be, amikor bizalmas erőforráshoz férnek hozzá, a következő műveleteket végezheti el:

• Használjon beépített adathalászat-ellenálló hitelesítési erősséget

  Vagy

• Hozzon létre egyéni hitelesítés erősséget

Az alábbi lépések bemutatják, hogyan hozhat létre egyéni hitelesítési erősséget. Ez egy feltételes hozzáférési szabályzat, amely csak egy adott biztonságikulcs-modell vagy jelszószolgáltató (FIDO2) esetében engedélyezi a hozzáférési kulcs (FIDO2) bejelentkezését. A FIDO2-szolgáltatók listájáért tekintse meg a Microsoft Entra-azonosítóval való igazolásra jogosult FIDO2 biztonsági kulcsokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba mint feltételes hozzáférés adminisztrátorként.
2. Keresse meg az Entra ID>Hitelesítési módszerek>hitelesítési erősségeit.
3. Válassza az Új hitelesítés erősségét.
4. Adja meg az új hitelesítési erősség nevét .
5. Igény szerint adjon meg leírást.
6. Válassza a Hozzáférési kulcsok (FIDO2) lehetőséget.
7. Ha egy adott AAGUID-t szeretne korlátozni, válassza Speciális beállítások>AAGUID hozzáadásalehetőséget. Adja meg az AAGUID-t, és válassza a Mentéslehetőséget.
8. Válassza a Tovább lehetőséget, és tekintse át a szabályzat konfigurációját.

Ismert problémák

Biztonsági kulcs kiépítése

A biztonsági kulcsok rendszergazdai kiépítése jelenleg előzetes verzióban érhető el. Tekintse meg a Microsoft Graph és az egyéni ügyfelek által a felhasználók nevében kiépített FIDO2 biztonsági kulcsokat.

Vendégfelhasználók

A hozzáférési kulcs (FIDO2) hitelesítő adatainak regisztrálása nem támogatott belső vagy külső vendégfelhasználók számára, beleértve a B2B együttműködési felhasználókat az erőforrás-bérlőben.

UPN-módosítások

Ha egy felhasználó UPN-azonosítója megváltozik, a továbbiakban nem módosíthatja a hozzáférési kulcsokat (FIDO2), hogy figyelembe vegyék a módosítást. Ha a felhasználó rendelkezik jelszóval (FIDO2), be kell jelentkeznie a biztonsági adatokba, törölnie kell a régi jelszót (FIDO2), és hozzá kell adnia egy újat.

Következő lépések

Jelszó nélküli hitelesítés natív alkalmazás- és böngészőtámogatása (FIDO2)

FIDO2 biztonsági kulcs Windows 10 bejelentkezés

FIDO2-hitelesítés engedélyezése helyszíni erőforrásokon

Biztonsági kulcsok regisztrálása a felhasználók nevében

További információ az eszközregisztrációról

További információ a Microsoft Entra többtényezős hitelesítéséről