Wachtwoordsleutels (FIDO2) inschakelen voor uw organisatie
Voor ondernemingen die tegenwoordig wachtwoorden gebruiken, bieden wachtwoordsleutels (FIDO2) een naadloze manier voor werknemers om te verifiëren zonder een gebruikersnaam of wachtwoord in te voeren. Wachtwoordsleutels bieden verbeterde productiviteit voor werknemers en hebben betere beveiliging.
Dit artikel bevat vereisten en stappen voor het inschakelen van wachtwoordsleutels in uw organisatie. Na het voltooien van deze stappen kunnen gebruikers in uw organisatie hun Microsoft Entra-account registreren en aanmelden met een wachtwoordsleutel die is opgeslagen op een FIDO2-beveiligingssleutel of in Microsoft Authenticator.
Zie Wachtwoordsleutels inSchakelen in Microsoft Authenticator voor meer informatie over het inschakelen van wachtwoordsleutels in Microsoft Authenticator.
Zie Ondersteuning voor FIDO2-verificatie met Microsoft Entra-id voor meer informatie over wachtwoordsleutelverificatie.
Notitie
Microsoft Entra ID ondersteunt momenteel apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels en in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen. We investeren in zowel gesynchroniseerde als apparaatgebonden wachtwoordsleutels voor werkaccounts.
Vereisten
- Meervoudige verificatie (MFA) van Microsoft Entra.
- Compatibele FIDO2-beveiligingssleutels of Microsoft Authenticator.
- Apparaten die fido2-verificatie (wachtwoordsleutel) ondersteunen. Voor Windows-apparaten die lid zijn van Microsoft Entra ID, is de beste ervaring op Windows 10 versie 1903 of hoger. Hybride apparaten moeten Windows 10 versie 2004 of hoger uitvoeren.
Wachtwoordsleutels worden ondersteund in belangrijke scenario's in Windows, macOS, Android en iOS. Zie Ondersteuning voor FIDO2-verificatie in Microsoft Entra-id voor meer informatie over ondersteunde scenario's.
Verificatiemethode voor wachtwoordsleutel inschakelen
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar >verificatiemethodebeleid voor beveiligingsverificatiemethoden.>
Stel onder de fido2-beveiligingssleutel van de methode de wisselknop in op Inschakelen. Selecteer Alle gebruikers of Groepen toevoegen om specifieke groepen te selecteren. Alleen beveiligingsgroepen worden ondersteund.
Sla de configuratie op.
Notitie
Als er een fout wordt weergegeven wanneer u probeert op te slaan, kan dit worden veroorzaakt door het aantal gebruikers of groepen dat wordt toegevoegd. Als tijdelijke oplossing vervangt u de gebruikers en groepen die u wilt toevoegen door één groep in dezelfde bewerking en klikt u nogmaals op Opslaan.
Optionele wachtwoordsleutelinstellingen
Er zijn enkele optionele instellingen op het tabblad Configureren om te beheren hoe wachtwoordsleutels kunnen worden gebruikt voor aanmelding.
Self-service instellen toestaan moet op Ja ingesteld blijven. Als deze optie is ingesteld op nee, kunnen uw gebruikers geen wachtwoordsleutel registreren via MySecurityInfo, zelfs niet als dit is ingeschakeld door het verificatiemethodenbeleid.
Attestation afdwingen moet zijn ingesteld op Ja als uw organisatie er zeker van wil zijn dat een FIDO2-beveiligingssleutelmodel of wachtwoordsleutelprovider echt is en afkomstig is van de legitieme leverancier.
- Voor FIDO2-beveiligingssleutels is vereist dat metagegevens van beveiligingssleutels worden gepubliceerd en geverifieerd met de FIDO Alliance Metadata Service, en dat microsoft ook een andere set validatietests doorgeeft. Zie Een leverancier van fido2-beveiligingssleutels worden die compatibel is met Microsoft voor meer informatie.
- Voor wachtwoordsleutels in Microsoft Authenticator bieden we momenteel geen ondersteuning voor attestation.
Waarschuwing
Attestation-afdwinging bepaalt of een wachtwoordsleutel alleen is toegestaan tijdens de registratie. Gebruikers die een wachtwoordsleutel zonder attestation kunnen registreren, worden niet geblokkeerd tijdens het aanmelden als afdwingen van attestation is ingesteld op Ja op een later tijdstip.
Beleid voor sleutelbeperkingen
Afdwingen van sleutelbeperkingen moet alleen worden ingesteld op Ja als uw organisatie alleen bepaalde beveiligingssleutelmodellen of wachtwoordsleutelproviders wil toestaan of weigeren, die worden geïdentificeerd door hun Authenticator Attestation GUID (AAGUID). U kunt samenwerken met de leverancier van uw beveiligingssleutel om de AAGUID van de wachtwoordsleutel te bepalen. Als de wachtwoordsleutel al is geregistreerd, kunt u de AAGUID vinden door de details van de verificatiemethode van de wachtwoordsleutel voor de gebruiker weer te geven.
Wanneer Sleutelbeperkingen afdwingen is ingesteld op Ja, kunt u Microsoft Authenticator (preview) selecteren als het selectievakje wordt weergegeven in het beheercentrum. Hiermee worden de AAGUIDs van de Authenticator-app automatisch voor u ingevuld in de lijst met sleutelbeperkingen. Anders kunt u de volgende AAGUID's handmatig toevoegen om de preview van de Authenticator-wachtwoordsleutel in te schakelen:
- Verificator voor Android: de1e552d-db1d-4423-a619-566b625cdc84
- Verificator voor iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Waarschuwing
Sleutelbeperkingen stellen de bruikbaarheid van specifieke modellen of providers in voor zowel registratie als verificatie. Als u sleutelbeperkingen wijzigt en een AAGUID verwijdert die u eerder hebt toegestaan, kunnen gebruikers die eerder een toegestane methode hebben geregistreerd, deze niet meer gebruiken voor aanmelding.
Passkey Authenticator Attestation GUID (AAGUID)
Voor de FIDO2-specificatie moet elke leverancier van de beveiligingssleutel een Authenticator Attestation GUID (AAGUID) opgeven tijdens de registratie. Een AAGUID is een 128-bits id die het sleuteltype aangeeft, zoals het merk en model. Van wachtwoordsleutelproviders op desktop- en mobiele apparaten wordt verwacht dat ze tijdens de registratie een AAGUID leveren.
Notitie
De leverancier moet ervoor zorgen dat de AAGUID identiek is voor alle aanzienlijk identieke beveiligingssleutels of wachtwoordsleutelproviders die door die leverancier zijn gemaakt, en dat de AAGUIDs (met hoge waarschijnlijkheid) van alle andere typen beveiligingssleutels of wachtwoordsleutelproviders verschillen. Om dit te garanderen, moet de AAGUID voor een bepaald beveiligingssleutelmodel of de wachtwoordsleutelprovider willekeurig worden gegenereerd. Zie Webverificatie: een API voor toegang tot referenties voor openbare sleutels - niveau 2 (w3.org) voor meer informatie.
U kunt de AAGUID op twee manieren verkrijgen. U kunt de leverancier van uw beveiligingssleutel of wachtwoordsleutelprovider vragen of de details van de verificatiemethode per gebruiker bekijken.
Wachtwoordsleutels inschakelen met behulp van Microsoft Graph API
Naast het Microsoft Entra-beheercentrum kunt u ook wachtwoordsleutels inschakelen met behulp van de Microsoft Graph API. Als u wachtwoordsleutels wilt inschakelen, moet u het beleid voor verificatiemethoden bijwerken als ten minste een verificatiebeleidsbeheerder.
Ga als volgende te werk om het beleid te configureren met Graph Explorer:
Meld u aan bij Graph Explorer en geef toestemming voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod .
Haal het beleid voor verificatiemethoden op:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Als u attestation-afdwinging wilt uitschakelen en sleutelbeperkingen wilt afdwingen om alleen de AAGUID voor RSA DS100 toe te staan, voert u bijvoorbeeld een PATCH-bewerking uit met behulp van de volgende aanvraagbody:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }
Zorg ervoor dat het beleid voor wachtwoordsleutels (FIDO2) correct is bijgewerkt.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Een wachtwoordsleutel verwijderen
Als u een wachtwoordsleutel wilt verwijderen die is gekoppeld aan een gebruikersaccount, verwijdert u de sleutel uit de verificatiemethode van de gebruiker.
Meld u aan bij het Microsoft Entra-beheercentrum en zoek naar de gebruiker waarvan de wachtwoordsleutel moet worden verwijderd.
Selecteer Verificatiemethoden> met de rechtermuisknop op Wachtwoordsleutel (apparaatgebonden) en selecteer Verwijderen.
Aanmelden met wachtwoordsleutel afdwingen
Als u wilt dat gebruikers zich aanmelden met een wachtwoordsleutel wanneer ze toegang hebben tot een gevoelige resource, kunt u het volgende doen:
Een ingebouwde phishingbestendige verificatiesterkte gebruiken
Or
Maak een aangepaste verificatiesterkte
De volgende stappen laten zien hoe u een aangepast beleid voor verificatiesterkte voor voorwaardelijke toegang maakt waarmee wachtwoordsleutels kunnen worden aangemeld voor alleen een specifiek beveiligingssleutelmodel of een wachtwoordsleutelprovider. Zie De huidige FIDO2-hardwareleverancierpartners voor een lijst met FIDO2-providers.
- Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
- Blader naar >beveiligingsverificatiemethoden>verificatiesterkten.
- Selecteer Nieuwe verificatiesterkte.
- Geef een naam op voor de nieuwe verificatiesterkte.
- Geef desgewenst een beschrijving op.
- Selecteer Wachtwoordsleutels (FIDO2).
- Als u wilt beperken door specifieke AAGUID(s), selecteert u geavanceerde opties en voegt u AAGUID toe. Voer de AAGUID(s) in die u toestaat. Selecteer Opslaan.
- Kies Volgende en controleer de beleidsconfiguratie.
Bekende problemen
B2B-samenwerkingsgebruikers
Registratie van FIDO2-referenties wordt niet ondersteund voor B2B-samenwerkingsgebruikers in de resourcetenant.
Beveiligingssleutels inrichten
Het inrichten en ongedaan maken van de inrichting van beveiligingssleutels is niet beschikbaar.
UPN-wijzigingen
Als de UPN van een gebruiker wordt gewijzigd, kunt u geen wachtwoordsleutels meer wijzigen om rekening te houden met de wijziging. Als de gebruiker een wachtwoordsleutel heeft, moet hij of zij zich aanmelden bij Mijn beveiligingsgegevens, de oude wachtwoordsleutel verwijderen en een nieuwe sleutel toevoegen.
Volgende stappen
Systeemeigen app- en browserondersteuning voor verificatie zonder wachtwoordsleutel (FIDO2)
Windows 10-aanmelding met FIDO2-beveiligingssleutel
FIDO2-verificatie inschakelen voor on-premises resources
Meer informatie over apparaatregistratie
Meer informatie over Meervoudige Verificatie van Microsoft Entra
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor