Włączanie kluczy dostępu w aplikacji Microsoft Authenticator (wersja zapoznawcza)
W tym artykule wymieniono kroki włączania i wymuszania używania kluczy dostępu w aplikacji Authenticator dla identyfikatora Entra firmy Microsoft. Najpierw należy zaktualizować zasady metody uwierzytelniania, aby umożliwić użytkownikom końcowym rejestrowanie i logowanie się przy użyciu kluczy dostępu w aplikacji Authenticator. Następnie możesz użyć zasad uwierzytelniania dostępu warunkowego, aby wymusić logowanie z kluczem dostępu, gdy użytkownicy uzyskują dostęp do poufnego zasobu.
Wymagania
- Uwierzytelnianie wieloskładnikowe Microsoft Entra (MFA)
- System Android 14 lub nowszy lub iOS 17 lub nowszy
- Aktywne połączenie internetowe na dowolnym urządzeniu, które jest częścią procesu rejestracji/uwierzytelniania klucza dostępu
- W przypadku rejestracji/uwierzytelniania między urządzeniami oba urządzenia muszą mieć włączoną funkcję Bluetooth
Uwaga
Użytkownicy muszą zainstalować najnowszą wersję aplikacji Authenticator dla systemu Android lub iOS, aby użyć klucza dostępu.
Aby dowiedzieć się więcej o tym, gdzie można używać kluczy dostępu w aplikacji Authenticator do logowania, zobacz Obsługa uwierzytelniania FIDO2 przy użyciu identyfikatora Entra firmy Microsoft.
Włączanie kluczy dostępu w aplikacji Authenticator w centrum administracyjnym
Zasady aplikacji Microsoft Authenticator nie umożliwiają włączania kluczy dostępu w aplikacji Authenticator. Zamiast tego, aby włączyć klucze dostępu w aplikacji Authenticator, należy edytować zasady metod uwierzytelniania klucza zabezpieczeń FIDO2.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
Przejdź do strony Zasady>metody uwierzytelniania Metod>uwierzytelniania ochrony.
W obszarze klucza zabezpieczeń FIDO2 metody wybierz pozycję Wszyscy użytkownicy lub Dodaj grupy, aby wybrać określone grupy. Obsługiwane są tylko grupy zabezpieczeń.
Na karcie Konfigurowanie ustaw następujące ustawienia:
Zezwalaj na konfigurowanie samoobsługi na wartość Tak
Wymuszanie zaświadczania na nie
Wymuszanie ograniczeń klucza na wartość Tak
Ogranicz określone klucze do opcji Zezwalaj
Wybierz pozycję Microsoft Authenticator (wersja zapoznawcza), jeśli pole wyboru jest wyświetlane w centrum administracyjnym. To ustawienie automatycznie wypełnia identyfikatory AAGUID aplikacji Authenticator na liście ograniczeń klucza. W przeciwnym razie możesz ręcznie dodać następujące identyfikatory AAGUID, aby włączyć wersję zapoznawcza klucza dostępu Authenticator:
- Authenticator dla systemu Android: de1e552d-db1d-4423-a619-566b625cdc84
- Authenticator dla systemu iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Ostrzeżenie
Ograniczenia klucza ustawiają użyteczność określonych kluczy dostępu zarówno na potrzeby rejestracji, jak i uwierzytelniania. Jeśli zmienisz ograniczenia klucza i usuniesz wcześniej dozwolony identyfikator AAGUID, użytkownicy, którzy wcześniej zarejestrowali dozwoloną metodę, nie będą mogli używać jej do logowania. Jeśli twoja organizacja nie wymusza obecnie ograniczeń kluczy i ma już aktywne użycie klucza dostępu, należy zebrać identyfikatory AAGUID używanych obecnie kluczy. Dodaj je do listy Zezwalaj wraz z identyfikatorami AAGUID authenticator, aby włączyć tę wersję zapoznawcza. To zadanie można wykonać za pomocą zautomatyzowanego skryptu, który analizuje dzienniki, takie jak szczegóły rejestracji i dzienniki logowania.
Poniższa lista zawiera opis innych ustawień opcjonalnych:
Ogólne
- Pozycja Zezwalaj na konfigurację samoobsługową powinna pozostać ustawiona na Wartość Tak. Jeśli ustawiono wartość nie, użytkownicy nie będą mogli zarejestrować klucza dostępu za pośrednictwem mySecurityInfo, nawet jeśli są włączone przez zasady Metody uwierzytelniania.
- Wymuś zaświadczenie powinno mieć wartość Nie dla wersji zapoznawczej. Obsługa zaświadczania jest planowana dla ogólnej dostępności.
Zasady ograniczeń klucza
Wymuś ograniczenia kluczy powinny być ustawione na Wartość Tak tylko wtedy, gdy organizacja chce zezwalać tylko na niektóre klucze dostępu lub nie zezwalać na nie, które są identyfikowane przez identyfikator GUID zaświadczania authenticatora (AAGUID). Jeśli chcesz, możesz ręcznie wprowadzić identyfikatory AAGUID aplikacji Authenticator lub ograniczyć tylko urządzenia z systemem Android lub iOS. W przeciwnym razie możesz ręcznie dodać następujące identyfikatory AAGUID, aby włączyć wersję zapoznawcza klucza dostępu Authenticator:
- Authenticator dla systemu Android: de1e552d-db1d-4423-a619-566b625cdc84
- Authenticator dla systemu iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Po zakończeniu konfiguracji wybierz pozycję Zapisz.
Włączanie kluczy dostępu w aplikacji Authenticator przy użyciu Eksploratora programu Graph
Oprócz korzystania z centrum administracyjnego firmy Microsoft Entra można również włączyć klucz dostępu w aplikacji Authenticator przy użyciu Eksploratora programu Graph. Globalne Administracja istratory i zasady uwierzytelniania Administracja istratory mogą zaktualizować zasady metod uwierzytelniania, aby zezwolić na użycie identyfikatorów AAGUID dla wystawcy Authenticator.
Aby skonfigurować zasady przy użyciu Eksploratora programu Graph:
Zaloguj się do Eksploratora programu Graph i wyrażaj zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .
Pobierz zasady metody uwierzytelniania:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2Aby wyłączyć wymuszanie zaświadczania i wymuszać ograniczenia klucza, aby zezwalać na używanie tylko identyfikatorów AAGUID dla aplikacji Microsoft Authenticator, wykonaj operację PATCH przy użyciu następującej treści żądania:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" <insert previous AAGUIDs here to keep them stored in policy> ] } }Upewnij się, że zasady klucza dostępu (FIDO2) zostały prawidłowo zaktualizowane.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Usuwanie klucza dostępu
Aby usunąć klucz dostępu skojarzony z kontem użytkownika, usuń klucz z metod uwierzytelniania użytkownika.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra i wyszukaj użytkownika, którego klucz dostępu musi zostać usunięty.
Wybierz pozycję Metody> uwierzytelniania kliknij prawym przyciskiem myszy klucz zabezpieczeń FIDO2 i wybierz polecenie Usuń.
Uwaga
Użytkownicy muszą również usunąć klucz dostępu w aplikacji Authenticator na swoim urządzeniu.
Wymuszanie logowania przy użyciu kluczy dostępu w aplikacji Authenticator
Aby umożliwić użytkownikom logowanie się przy użyciu klucza dostępu podczas uzyskiwania dostępu do poufnych zasobów, użyj wbudowanej siły uwierzytelniania odpornego na wyłudzenie informacji lub utwórz niestandardową siłę uwierzytelniania, wykonując następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator dostępu warunkowego.
Przejdź do strony Ochrona>metod>uwierzytelniania Mocnych stron uwierzytelniania.
Wybierz pozycję Nowa siła uwierzytelniania.
Podaj opisową nazwę nowej siły uwierzytelniania.
Opcjonalnie podaj opis.
Wybierz pozycję Passkeys (FIDO2), a następnie wybierz pozycję Opcje zaawansowane.
Dodaj identyfikatory AAGUID dla kluczy dostępu w aplikacji Authenticator:
- Authenticator dla systemu Android: de1e552d-db1d-4423-a619-566b625cdc84
- Authenticator dla systemu iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Wybierz pozycję Dalej i przejrzyj konfigurację zasad.