Mengaktifkan kode akses (FIDO2) untuk organisasi Anda

Untuk perusahaan yang menggunakan kata sandi saat ini, kode akses (FIDO2) menyediakan cara yang mulus bagi pekerja untuk mengautentikasi tanpa memasukkan nama pengguna atau kata sandi. Passkeys (FIDO2) memberikan peningkatan produktivitas bagi pekerja, dan memiliki keamanan yang lebih baik.

Artikel ini mencantumkan persyaratan dan langkah-langkah untuk mengaktifkan kode akses di organisasi Anda. Setelah Anda menyelesaikan langkah-langkah ini, pengguna di organisasi Anda kemudian dapat mendaftar dan masuk ke akun Microsoft Entra mereka menggunakan kode akses yang disimpan di kunci keamanan FIDO2 atau di Microsoft Authenticator.

Untuk informasi selengkapnya tentang mengaktifkan kode akses di Microsoft Authenticator, lihat Cara mengaktifkan kode akses di Microsoft Authenticator.

Untuk informasi selengkapnya tentang autentikasi kode akses, lihat Dukungan untuk autentikasi FIDO2 dengan ID Microsoft Entra.

Catatan

MICROSOFT Entra ID saat ini mendukung kode akses terikat perangkat yang disimpan pada kunci keamanan FIDO2 dan di Microsoft Authenticator. Microsoft berkomitmen untuk mengamankan pelanggan dan pengguna dengan kode akses. Kami berinvestasi dalam kata sandi yang disinkronkan dan terkait perangkat untuk akun kerja.

Persyaratan

• Pengguna harus menyelesaikan autentikasi multifaktor (MFA) dalam lima menit terakhir sebelum mereka dapat mendaftarkan kode akses (FIDO2).
• Pengguna memerlukan kunci keamanan FIDO2 yang memenuhi syarat untuk pengesahan dengan Microsoft Entra ID atau Microsoft Authenticator.
• Perangkat harus mendukung autentikasi passkey (FIDO2). Untuk perangkat Windows yang bergabung ke ID Microsoft Entra, pengalaman terbaik ada di Windows 10 versi 1903 atau yang lebih tinggi. Perangkat yang bergabung dengan hibrid harus menjalankan Windows 10 versi 2004 atau yang lebih tinggi.

Passkeys (FIDO2) didukung di seluruh skenario utama di Windows, macOS, Android, dan iOS. Untuk informasi selengkapnya tentang skenario yang didukung, lihat Dukungan untuk autentikasi FIDO2 di ID Microsoft Entra.

Catatan

Dukungan untuk pendaftaran perangkat yang sama di Edge di Android akan segera hadir.

Passkey (FIDO2) Pengesahan Autentikator GUID (AAGUID)

Spesifikasi FIDO2 mengharuskan setiap vendor kunci keamanan untuk menyediakan Authenticator Attestation GUID (AAGUID) selama pendaftaran. AAGUID adalah pengidentifikasi 128-bit yang mengindikasikan jenis kunci, misalnya pembuatan dan model. Penyedia Passkey (FIDO2) di desktop dan perangkat seluler juga diharapkan menyediakan AAGUID selama pendaftaran.

Catatan

Vendor harus memastikan bahwa AAGUID identik di semua kunci keamanan atau penyedia kode akses (FIDO2) yang secara substansial identik yang dibuat oleh vendor tersebut, dan berbeda (dengan probabilitas tinggi) dari AAGUID dari semua jenis kunci keamanan atau penyedia kunci sandi (FIDO2) lainnya. Untuk memastikan hal ini, AAGUID untuk model kunci keamanan atau penyedia kode akses (FIDO2) tertentu harus dibuat secara acak. Untuk informasi selengkapnya, lihat Autentikasi Web: API untuk mengakses Info Masuk Kunci Umum - Tingkat 2 (w3.org).

Anda dapat bekerja dengan vendor kunci keamanan Anda untuk menentukan AAGUID dari kode akses (FIDO2), atau melihat kunci keamanan FIDO2 yang memenuhi syarat untuk verifikasi dengan Microsoft Entra ID. Jika kode akses (FIDO2) sudah terdaftar, Anda dapat menemukan AAGUID dengan melihat detail metode autentikasi kode akses (FIDO2) untuk pengguna.

Mengaktifkan metode autentikasi passkey (FIDO2)

1. Masuk ke Pusat Admin Microsoft Entra sebagai setidaknya Administrator untuk Kebijakan Autentikasi.

2. Telusuri ke Entra ID>metode autentikasi>kebijakan.

3. Di bawah metode Passkey (FIDO2), atur tombol ke Aktifkan. Pilih Semua pengguna atau Tambahkan grup untuk memilih grup tertentu. Hanya grup keamanan yang didukung.

4. Pada tab Konfigurasi :

   • Atur Izinkan layanan mandiri disiapkan ke Ya. Jika diatur ke Tidak, pengguna tidak dapat mendaftarkan kode akses dengan menggunakan Info keamanan, meskipun kode akses (FIDO2) diaktifkan oleh kebijakan Metode autentikasi.

   • Atur Terapkan pengesahan ke Ya jika organisasi Anda ingin diyakinkan bahwa model kunci keamanan FIDO2 atau penyedia kode akses asli dan berasal dari vendor yang sah.

     • Untuk kunci keamanan FIDO2, kami memerlukan metadata kunci keamanan untuk diterbitkan dan diverifikasi dengan Layanan Metadata Aliansi FIDO, dan juga memenuhi persyaratan Kompatibilitas Microsoft. Untuk informasi selengkapnya, termasuk daftar model kunci keamanan yang kompatibel dengan Microsoft, lihat Menjadi vendor kunci keamanan FIDO2 yang kompatibel dengan Microsoft.
     • Kode akses di Microsoft Authenticator juga mendukung pengesahan. Untuk informasi selengkapnya, lihat Cara kerja pengesahan kode akses dengan Authenticator.

     Peringatan

     Penegakan pengesahan mengatur apakah kode akses (FIDO2) hanya diizinkan selama pendaftaran. Pengguna yang mendaftarkan kunci akses (FIDO2) tanpa pengesahan tidak diblokir dari masuk jika Penegakan pengesahan diatur ke Ya nanti.

   Kebijakan Pembatasan Utama

   • Terapkan pembatasan kunci harus diatur ke Ya hanya jika organisasi Anda hanya ingin mengizinkan atau melarang model kunci keamanan atau penyedia kode akses tertentu, yang diidentifikasi oleh AAGUID mereka. Anda dapat bekerja dengan vendor kunci keamanan Anda untuk menentukan AAGUID kode akses. Jika kode akses sudah terdaftar, Anda dapat menemukan AAGUID dengan melihat detail metode autentikasi kode akses untuk pengguna.

   Peringatan

   Pembatasan utama menetapkan kegunaan model atau penyedia tertentu untuk pendaftaran dan autentikasi. Jika Anda mengubah pembatasan kunci dan menghapus AAGUID yang sebelumnya Anda izinkan, pengguna yang sebelumnya mendaftarkan metode yang diizinkan tidak dapat lagi menggunakannya untuk masuk.

   

5. Setelah Anda menyelesaikan konfigurasi, pilih Simpan.

   Catatan

   Jika Anda melihat kesalahan saat mencoba menyimpan, ganti beberapa grup dengan satu grup dalam satu operasi, lalu klik Simpan lagi.

Memprovisikan kunci keamanan FIDO2 menggunakan Microsoft Graph API (pratinjau)

Saat ini dalam pratinjau, administrator dapat menggunakan Microsoft Graph dan klien kustom untuk menyediakan kunci keamanan FIDO2 atas nama pengguna. Provisioning memerlukan peran Administrator Autentikasi atau aplikasi klien dengan izin UserAuthenticationMethod.ReadWrite.All. Peningkatan provisi meliputi:

• Kemampuan untuk meminta Opsi pembuatan WebAuthn dari ID Microsoft Entra
• Kemampuan untuk mendaftarkan kunci keamanan yang disediakan langsung dengan ID Microsoft Entra

Dengan API baru ini, organisasi dapat membangun aplikasi klien mereka sendiri untuk menyediakan kredensial passkey (FIDO2) pada kunci keamanan untuk pengguna. Untuk menyederhanakan proses ini, diperlukan tiga langkah utama.

1. Permintaan creationOptions bagi seorang pengguna: Microsoft Entra ID mengembalikan data yang diperlukan bagi klien Anda untuk menyediakan kredensial passkey (FIDO2). Ini termasuk informasi seperti informasi pengguna, ID pihak yang mengandalkan, persyaratan kebijakan kredensial, algoritma, tantangan pendaftaran, dan banyak lagi.
2. Provisikan kredensial passkey (FIDO2) dengan Opsi pembuatan: Gunakan creationOptions dan klien yang mendukung Client to Authenticator Protocol (CTAP) untuk menyediakan kredensial. Selama langkah ini, Anda perlu menyisipkan kunci keamanan dan mengatur PIN.
3. Daftarkan kredensial yang disediakan dengan ID Microsoft Entra: Gunakan output berformat dari proses provisi untuk memberikan ID Microsoft Entra data yang diperlukan untuk mendaftarkan kredensial kode akses (FIDO2) untuk pengguna yang ditargetkan.

Mengaktifkan kode akses (FIDO2) menggunakan Microsoft Graph API

Selain menggunakan pusat admin Microsoft Entra, Anda juga dapat mengaktifkan kode akses (FIDO2) dengan menggunakan Microsoft Graph API. Untuk mengaktifkan kode akses (FIDO2), Anda perlu memperbarui kebijakan metode autentikasi setidaknya sebagai Administrator Kebijakan Autentikasi.

Untuk mengonfigurasi kebijakan menggunakan Graph Explorer:

1. Masuk ke Graph Explorer dan setujui izin Policy.Read.All dan Policy.ReadWrite.AuthenticationMethod .

2. Ambil kebijakan metode Autentikasi:

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Untuk menonaktifkan penegakan pengesahan dan menerapkan pembatasan kunci untuk hanya mengizinkan AAGUID untuk RSA DS100 misalnya, lakukan operasi PATCH menggunakan isi permintaan berikut:

   PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Pastikan bahwa kebijakan kode akses (FIDO2) diperbarui dengan benar.

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Menghapus kunci sandi (FIDO2)

Untuk menghapus kode akses (FIDO2) yang terkait dengan akun pengguna, hapus dari metode autentikasi pengguna.

1. Masuk ke pusat admin Microsoft Entra dan cari pengguna yang kode aksesnya (FIDO2) perlu dihapus.
2. Pilih Metode> autentikasi klik kanan Kode Akses (terikat perangkat) dan pilih Hapus.

Mewajibkan masuk menggunakan passkey (FIDO2)

Untuk membuat pengguna masuk dengan kode akses (FIDO2) saat mereka mengakses sumber daya sensitif, Anda dapat:

• Menggunakan kekuatan autentikasi tahan pengelabuan bawaan

  Atau

• Membuat kekuatan autentikasi kustom

Langkah-langkah berikut menunjukkan cara membuat kekuatan autentikasi kustom. Ini adalah kebijakan Akses Bersyarat yang memungkinkan masuk dengan passkey (FIDO2) hanya untuk model kunci keamanan atau penyedia passkey (FIDO2) tertentu. Untuk daftar penyedia FIDO2, lihat Kunci keamanan FIDO2 yang memenuhi syarat untuk pengesahan dengan ID Microsoft Entra.

1. Masuk ke Pusat Admin Microsoft Entra sebagai Administrator Akses Bersyarat.
2. Jelajahi ke Entra ID>Metode autentikasi>Kekuatan autentikasi.
3. Pilih Kekuatan autentikasi baru.
4. Berikan Nama untuk kekuatan autentikasi baru Anda.
5. Secara opsional berikan Deskripsi.
6. Pilih Kode akses (FIDO2).
7. Secara opsional, jika Anda ingin membatasi AAGUID tertentu, pilih Opsi tingkat lanjut>Tambahkan AAGUID. Masukkan AAGUID, dan pilih Simpan.
8. Pilih Berikutnya dan tinjau konfigurasi kebijakan.

Masalah umum

Penyediaan kunci keamanan

Penyediaan kunci keamanan oleh administrator sedang dalam pratinjau. Lihat Microsoft Graph dan klien kustom untuk menyediakan kunci keamanan FIDO2 atas nama pengguna.

Pengguna tamu

Pendaftaran kredensial passkey (FIDO2) tidak didukung untuk pengguna internal maupun tamu eksternal, termasuk pengguna kolaborasi B2B di penyewa tempat sumber daya.

Perubahan UPN

Jika UPN pengguna berubah, Anda tidak dapat lagi memodifikasi kode akses (FIDO2) untuk memperhitungkan perubahan tersebut. Jika pengguna memiliki kode akses (FIDO2), mereka perlu masuk ke Info keamanan, menghapus kode akses lama (FIDO2), dan menambahkan yang baru.

Langkah berikutnya

Dukungan aplikasi asli dan browser untuk autentikasi tanpa sandi passkey (FIDO2)

Kunci keamanan FIDO2 untuk masuk Windows 10

Aktifkan autentikasi FIDO2 ke sumber daya lokal

Mendaftarkan kunci keamanan atas nama pengguna

Pelajari lebih lanjut tentang pendaftaran perangkat

Pelajari selengkapnya tentang autentikasi multifaktor Microsoft Entra