Włączanie kluczy dostępu (FIDO2) dla organizacji

  • Artykuł

W przypadku przedsiębiorstw, które używają obecnie haseł, hasła (FIDO2) zapewniają bezproblemowy sposób uwierzytelniania procesów roboczych bez wprowadzania nazwy użytkownika lub hasła. Klucze dostępu zapewniają lepszą produktywność pracowników i zapewniają lepsze bezpieczeństwo.

W tym artykule wymieniono wymagania i kroki włączania kluczy dostępu w organizacji. Po wykonaniu tych kroków użytkownicy w organizacji mogą zarejestrować się i zalogować się do swojego konta Microsoft Entra przy użyciu klucza dostępu przechowywanego w kluczu zabezpieczeń FIDO2 lub w aplikacji Microsoft Authenticator.

Aby uzyskać więcej informacji na temat włączania kluczy dostępu w aplikacji Microsoft Authenticator, zobacz How to enable passkeys in Microsoft Authenticator (Jak włączyć klucz dostępu w aplikacji Microsoft Authenticator).

Aby uzyskać więcej informacji na temat uwierzytelniania za pomocą klucza dostępu, zobacz Obsługa uwierzytelniania FIDO2 za pomocą identyfikatora Entra firmy Microsoft.

Uwaga

Identyfikator Entra firmy Microsoft obsługuje obecnie powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 i w aplikacji Microsoft Authenticator. Firma Microsoft zobowiązuje się do zabezpieczania klientów i użytkowników przy użyciu kluczy dostępu. Inwestujemy zarówno w zsynchronizowane, jak i powiązane z urządzeniami klucz dostępu dla kont służbowych.

Wymagania

  • Uwierzytelnianie wieloskładnikowe (MFA) firmy Microsoft.
  • Zgodne klucze zabezpieczeń FIDO2 lub Microsoft Authenticator.
  • Urządzenia obsługujące uwierzytelnianie za pomocą klucza dostępu (FIDO2). W przypadku urządzeń z systemem Windows, które są przyłączone do identyfikatora Entra firmy Microsoft, najlepsze środowisko jest w systemie Windows 10 w wersji 1903 lub nowszej. Urządzenia przyłączone hybrydowo muszą działać z systemem Windows 10 w wersji 2004 lub nowszej.

Klucz dostępu jest obsługiwany w dużych scenariuszach w systemach Windows, macOS, Android i iOS. Aby uzyskać więcej informacji na temat obsługiwanych scenariuszy, zobacz Obsługa uwierzytelniania FIDO2 w identyfikatorze Entra firmy Microsoft.

Włączanie metody uwierzytelniania klucza dostępu

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.

  2. Przejdź do strony Zasady>metody uwierzytelniania Metod>uwierzytelniania ochrony.

  3. W obszarze klucza zabezpieczeń FIDO2 metody wybierz pozycję Wszyscy użytkownicy lub Dodaj grupy, aby wybrać określone grupy. Obsługiwane są tylko grupy zabezpieczeń.

  4. Zapisz konfigurację.

    Uwaga

    Jeśli podczas próby zapisania wystąpi błąd, przyczyną może być liczba dodanych użytkowników lub grup. Aby obejść ten problem, zastąp użytkowników i grupy, które próbujesz dodać pojedynczą grupą, w tej samej operacji, a następnie kliknij przycisk Zapisz ponownie.

Opcjonalne ustawienia klucza dostępu

Na karcie Konfigurowanie znajdują się pewne opcjonalne ustawienia ułatwiające zarządzanie sposobem użycia kluczy dostępu na potrzeby logowania.

Zrzut ekranu przedstawiający opcje klucza zabezpieczeń FIDO2.

  • Pozycja Zezwalaj na konfigurację samoobsługową powinna pozostać ustawiona na Wartość Tak. Jeśli ustawiono wartość nie, użytkownicy nie będą mogli zarejestrować klucza dostępu za pośrednictwem elementu MySecurityInfo, nawet jeśli są włączone przez zasady Metody uwierzytelniania.

  • Wymuś zaświadczanie powinno mieć wartość Tak , jeśli organizacja chce mieć pewność, że model klucza zabezpieczeń FIDO2 lub dostawca kluczy dostępu jest prawdziwy i pochodzi od uprawnionego dostawcy.

    • W przypadku kluczy zabezpieczeń FIDO2 wymagamy opublikowania i zweryfikowania metadanych klucza zabezpieczeń w usłudze FIDO Alliance Metadata Service, a także przekazania innego zestawu testów weryfikacyjnych firmy Microsoft. Aby uzyskać więcej informacji, zobacz Co to jest klucz zabezpieczeń zgodny z firmą Microsoft?.
    • W przypadku kluczy dostępu w aplikacji Microsoft Authenticator obecnie nie obsługujemy zaświadczania.

    Ostrzeżenie

    Wymuszanie zaświadczania określa, czy klucz dostępu jest dozwolony tylko podczas rejestracji. Użytkownicy, którzy mogą zarejestrować klucz dostępu bez zaświadczania, nie będą blokowani podczas logowania, jeśli ustawienie Wymuszanie zaświadczania ma wartość Tak w późniejszym czasie.

Zasady ograniczeń klucza

  • Wymuś ograniczenia kluczy powinny być ustawione na Wartość Tak tylko wtedy, gdy organizacja chce zezwalać tylko na określone modele kluczy zabezpieczeń lub dostawców kluczy zabezpieczeń lub dostawców kluczy dostępu, które są identyfikowane przez identyfikator GUID zaświadczania authenticatora (AAGUID). Możesz pracować z dostawcą klucza zabezpieczeń, aby określić identyfikator AAGUID klucza dostępu. Jeśli klucz dostępu został już zarejestrowany, możesz znaleźć identyfikator AAGUID, wyświetlając szczegóły metody uwierzytelniania klucza dostępu dla użytkownika.

  • Gdy ustawienie Wymuszanie ograniczeń klucza ma wartość Tak, możesz wybrać pozycję Microsoft Authenticator (wersja zapoznawcza), jeśli pole wyboru jest wyświetlane w centrum administracyjnym. Spowoduje to automatyczne wypełnienie identyfikatorów AAGUID aplikacji Authenticator na liście ograniczeń klucza.

    Ostrzeżenie

    Kluczowe ograniczenia umożliwiają określanie użyteczności określonych modeli lub dostawców na potrzeby rejestracji i uwierzytelniania. Jeśli zmienisz ograniczenia klucza i usuniesz wcześniej dozwolony identyfikator AAGUID, użytkownicy, którzy wcześniej zarejestrowali dozwoloną metodę, nie będą mogli używać jej do logowania.

Identyfikator GUID zaświadczania usługi Passkey Authenticator (AAGUID)

Specyfikacja FIDO2 wymaga od każdego dostawcy klucza zabezpieczeń udostępnienia identyfikatora GUID zaświadczania wystawcy Authenticator (AAGUID) podczas rejestracji. Identyfikator AAGUID to 128-bitowy identyfikator wskazujący typ klucza, taki jak make i model. Dostawcy kluczy dostępu na komputerach i urządzeniach przenośnych mają również dostarczyć identyfikator AAGUID podczas rejestracji.

Uwaga

Dostawca musi upewnić się, że identyfikator AAGUID jest identyczny dla wszystkich zasadniczo identycznych kluczy zabezpieczeń lub dostawców kluczy dostępu wykonanych przez tego dostawcę i różnych (z wysokim prawdopodobieństwem) od identyfikatorów AAGUID wszystkich innych typów kluczy zabezpieczeń lub dostawców kluczy dostępu. Aby to zapewnić, identyfikator AAGUID dla danego modelu kluczy zabezpieczeń lub dostawcy kluczy dostępu powinien być generowany losowo. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie sieci Web: interfejs API umożliwiający uzyskiwanie dostępu do poświadczeń klucza publicznego — poziom 2 (w3.org).

Istnieją dwa sposoby uzyskania identyfikatora AAGUID. Możesz poprosić dostawcę klucza zabezpieczeń lub dostawcy klucza dostępu albo wyświetlić szczegóły metody uwierzytelniania klucza dla poszczególnych użytkowników.

Zrzut ekranu przedstawiający wyświetlanie identyfikatora AAGUID dla klucza dostępu.

Włączanie kluczy dostępu przy użyciu interfejsu API programu Microsoft Graph

Oprócz korzystania z centrum administracyjnego firmy Microsoft Entra można również włączyć klucz dostępu przy użyciu interfejsu API programu Microsoft Graph. Aby włączyć klucz dostępu, należy zaktualizować zasady metod uwierzytelniania jako globalnego Administracja istratora lub Administracja istratora zasad uwierzytelniania.

Aby skonfigurować zasady przy użyciu Eksploratora programu Graph:

  1. Zaloguj się do Eksploratora programu Graph i wyrażaj zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .

  2. Pobierz zasady metody uwierzytelniania:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Aby wyłączyć wymuszanie zaświadczania i wymuszać ograniczenia klucza, aby zezwolić na używanie tylko identyfikatora AAGUID dla RSA DS100, wykonaj operację PATCH przy użyciu następującej treści żądania:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Upewnij się, że zasady klucza dostępu (FIDO2) zostały prawidłowo zaktualizowane.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Usuwanie klucza dostępu

Aby usunąć klucz dostępu skojarzony z kontem użytkownika, usuń klucz z metody uwierzytelniania użytkownika.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra i wyszukaj użytkownika, którego klucz dostępu musi zostać usunięty.

  2. Wybierz pozycję Metody> uwierzytelniania kliknij prawym przyciskiem myszy pozycję Klucz dostępu (powiązany z urządzeniem) i wybierz pozycję Usuń.

    Zrzut ekranu przedstawiający wyświetlanie szczegółów metody uwierzytelniania.

Wymuszanie logowania z kluczem dostępu

Aby umożliwić użytkownikom logowanie się przy użyciu klucza dostępu podczas uzyskiwania dostępu do poufnego zasobu, możesz:

  • Używanie wbudowanej siły uwierzytelniania odpornego na wyłudzanie informacji

    Or

  • Utwórz niestandardową siłę uwierzytelniania

W poniższych krokach pokazano, jak utworzyć niestandardowe zasady dostępu warunkowego o sile uwierzytelniania, które umożliwiają logowanie przy użyciu klucza dostępu tylko dla określonego modelu klucza zabezpieczeń lub dostawcy kluczy dostępu. Aby uzyskać listę dostawców FIDO2, zobacz Bieżący partnerzy dostawcy sprzętu FIDO2.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>metod>uwierzytelniania Mocnych stron uwierzytelniania.
  3. Wybierz pozycję Nowa siła uwierzytelniania.
  4. Podaj nazwę nowej siły uwierzytelniania.
  5. Opcjonalnie podaj opis.
  6. Wybierz pozycję Passkeys (FIDO2).
  7. Opcjonalnie, jeśli chcesz ograniczyć określone identyfikatory AAGUID, wybierz pozycję Opcje zaawansowane, a następnie dodaj AAGUID. Wprowadź dozwolone identyfikatory AAGUID. Wybierz pozycję Zapisz.
  8. Wybierz pozycję Dalej i przejrzyj konfigurację zasad.

Znane problemy

Użytkownicy współpracy B2B

Rejestracja poświadczeń FIDO2 nie jest obsługiwana dla użytkowników współpracy B2B w dzierżawie zasobów.

Aprowizowanie klucza zabezpieczeń

Administracja istrator aprowizacja i anulowanie aprowizacji kluczy zabezpieczeń nie jest dostępna.

Zmiany nazwy UPN

Jeśli nazwa UPN użytkownika ulegnie zmianie, nie można już modyfikować kluczy dostępu, aby uwzględnić zmianę. Jeśli użytkownik ma klucz dostępu, musi zalogować się do moich informacji zabezpieczających, usunąć stary klucz dostępu i dodać nowy.

Następne kroki

Natywna aplikacja i obsługa przeglądarki uwierzytelniania bez hasła (FIDO2)

Logowanie do systemu Windows 10 klucza zabezpieczeń FIDO2

Włączanie uwierzytelniania FIDO2 do zasobów lokalnych

Dowiedz się więcej o rejestracji urządzeń

Dowiedz się więcej na temat uwierzytelniania wieloskładnikowego firmy Microsoft