Share via

Wachtwoordsleutels inschakelen in Microsoft Authenticator (preview)

  • Artikel

In dit artikel vindt u de stappen voor het inschakelen en afdwingen van het gebruik van wachtwoordsleutels in Authenticator voor Microsoft Entra-id. Eerst werkt u het beleid voor verificatiemethoden bij zodat eindgebruikers zich kunnen registreren en aanmelden met wachtwoordsleutels in Authenticator. Vervolgens kunt u beleidsregels voor verificatie met voorwaardelijke toegang gebruiken om aanmelding met wachtwoordsleutels af te dwingen wanneer gebruikers toegang hebben tot een gevoelige resource.

Vereisten

  • Gebruik van meervoudige verificatie voor Microsoft Entra (MFA)
  • Android 14 en hoger of iOS 17 en hoger
  • Een actieve internetverbinding op elk apparaat die deel uitmaakt van het registratie-/verificatieproces voor wachtwoordsleutels
  • Voor registratie/verificatie op meerdere apparaten moet Bluetooth zijn ingeschakeld voor beide apparaten

Notitie

Gebruikers moeten de nieuwste versie van Authenticator voor Android of iOS installeren om een wachtwoordsleutel te gebruiken.

Zie Ondersteuning voor FIDO2-verificatie met Microsoft Entra ID voor meer informatie over waar u wachtwoordsleutels in Authenticator kunt gebruiken om u aan te melden.

Wachtwoordsleutels inschakelen in Authenticator in het beheercentrum

Het Microsoft Authenticator-beleid biedt u niet de mogelijkheid om wachtwoordsleutels in te schakelen in Authenticator. Als u in plaats daarvan wachtwoordsleutels in Authenticator wilt inschakelen, moet u het verificatiemethodenbeleid voor fido2-beveiligingssleutels bewerken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar >verificatiemethodebeleid voor beveiligingsverificatiemethoden.>

  3. Selecteer onder de fido2-beveiligingssleutel van de methode Alle gebruikers of Groepen toevoegen om specifieke groepen te selecteren. Alleen beveiligingsgroepen worden ondersteund.

  4. Stel op het tabblad Configureren het volgende in:

    • Selfservice instellen opJa toestaan

    • Attestation afdwingen op Nee

    • Sleutelbeperkingen afdwingen op Ja

    • Specifieke sleutels beperken tot Toestaan

    • Selecteer Microsoft Authenticator (preview) als het selectievakje wordt weergegeven in het beheercentrum. Met deze instelling worden automatisch de AAGUIDs van de Authenticator-app voor u ingevuld in de lijst met sleutelbeperkingen. Anders kunt u de volgende AAGUID's handmatig toevoegen om de preview van de Authenticator-wachtwoordsleutel in te schakelen:

      • Verificator voor Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Verificator voor iOS: 90a3ccdf-635c-4729-a248-9b709135078f

    Schermopname van Microsoft Authenticator ingeschakeld voor wachtwoordsleutel.

Waarschuwing

Sleutelbeperkingen stellen de bruikbaarheid van specifieke wachtwoordsleutels in voor zowel registratie als verificatie. Als u sleutelbeperkingen wijzigt en een AAGUID verwijdert die u eerder hebt toegestaan, kunnen gebruikers die eerder een toegestane methode hebben geregistreerd, deze niet meer gebruiken voor aanmelding. Als uw organisatie momenteel geen sleutelbeperkingen afdwingt en al actief wachtwoordsleutelgebruik heeft, moet u de AAGUIDs verzamelen van de sleutels die momenteel worden gebruikt. Voeg ze toe aan de lijst Toestaan, samen met de Authenticator AAGUIDs, om deze preview in te schakelen. Deze taak kan worden uitgevoerd met een geautomatiseerd script waarmee logboeken, zoals registratiegegevens en aanmeldingslogboeken, worden geanalyseerd.

In de volgende lijst worden andere optionele instellingen beschreven:

Algemeen

  • Self-service instellen toestaan moet op Ja ingesteld blijven. Als deze optie is ingesteld op Nee, kunnen uw gebruikers geen wachtwoordsleutel registreren via MySecurityInfo, zelfs niet als dit is ingeschakeld door het beleid Verificatiemethoden.
  • Attestation afdwingen moet zijn ingesteld op Nee voor preview. Attestatie-ondersteuning is gepland voor algemene beschikbaarheid.

Beleid voor sleutelbeperkingen

  • Sleutelbeperkingen afdwingen moeten alleen worden ingesteld op Ja als uw organisatie bepaalde wachtwoordsleutels alleen wil toestaan of weigeren, die worden geïdentificeerd door hun Authenticator Attestation GUID (AAGUID). Als u wilt, kunt u de Authenticator-app AAGUIDs handmatig invoeren of specifiek alleen Android- of iOS-apparaten beperken. Anders kunt u de volgende AAGUID's handmatig toevoegen om de preview van de Authenticator-wachtwoordsleutel in te schakelen:

    • Verificator voor Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Verificator voor iOS: 90a3ccdf-635c-4729-a248-9b709135078f

Nadat u de configuratie hebt voltooid, selecteert u Opslaan.

Wachtwoordsleutels in Authenticator inschakelen met Graph Explorer

Naast het Microsoft Entra-beheercentrum kunt u ook wachtwoordsleutels in Authenticator inschakelen met Behulp van Graph Explorer. Gebruikers die ten minste de rol Verificatiebeleidbeheerder hebben toegewezen, kunnen het beleid voor verificatiemethoden bijwerken om de AAGUIDs voor Verificator toe te staan.

Ga als volgende te werk om het beleid te configureren met Graph Explorer:

  1. Meld u aan bij Graph Explorer en geef toestemming voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod .

  2. Haal het beleid voor verificatiemethoden op:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Als u attestation-afdwinging wilt uitschakelen en sleutelbeperkingen wilt afdwingen om alleen AAGUIDs toe te staan voor Microsoft Authenticator, voert u een PATCH-bewerking uit met behulp van de volgende aanvraagbody:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Zorg ervoor dat het beleid voor wachtwoordsleutels (FIDO2) correct is bijgewerkt.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Een wachtwoordsleutel verwijderen

Als u een wachtwoordsleutel wilt verwijderen die is gekoppeld aan een gebruikersaccount, verwijdert u de sleutel uit de verificatiemethoden van de gebruiker.

  1. Meld u aan bij het Microsoft Entra-beheercentrum en zoek naar de gebruiker waarvan de wachtwoordsleutel moet worden verwijderd.

  2. Selecteer Verificatiemethoden> met de rechtermuisknop op FIDO2-beveiligingssleutel en selecteer Verwijderen.

    Schermopname van details van verificatiemethode weergeven.

Notitie

Gebruikers moeten de wachtwoordsleutel ook verwijderen in Authenticator op hun apparaat.

Aanmelden met wachtwoordsleutels afdwingen in Authenticator

Als u wilt dat gebruikers zich aanmelden met een wachtwoordsleutel wanneer ze toegang hebben tot een gevoelige resource, gebruikt u de ingebouwde sterkte van phishing-bestendige verificatie of maakt u een aangepaste verificatiesterkte door de volgende stappen uit te voeren:

  1. Meld u als beheerder voor voorwaardelijke toegang aan bij het Microsoft Entra-beheercentrum .

  2. Blader naar >beveiligingsverificatiemethoden>verificatiesterkten.

  3. Selecteer Nieuwe verificatiesterkte.

  4. Geef een beschrijvende naam op voor de nieuwe verificatiesterkte.

  5. Geef desgewenst een beschrijving op.

  6. Selecteer Wachtwoordsleutels (FIDO2) en selecteer vervolgens Geavanceerde opties.

  7. AAGUIDs toevoegen voor wachtwoordsleutels in Authenticator:

    • Verificator voor Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Verificator voor iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  8. Kies Volgende en controleer de beleidsconfiguratie.

Volgende stappen

Ondersteuning voor wachtwoordsleutel in Windows