Obsługa kluczy dostępu w aplikacji Microsoft Authenticator w dzierżawie identyfikatora Entra firmy Microsoft

W tym temacie opisano problemy, które użytkownicy mogą zobaczyć podczas korzystania z kluczy dostępu w aplikacji Microsoft Authenticator, oraz możliwe sposoby ich rozwiązywania przez administratorów.

Obejścia pętli zasad dostępu warunkowego o sile uwierzytelniania

Organizacje, które wdrażają klucze dostępu i mają zasady dostępu warunkowego, które wymagają uwierzytelniania odpornego na wyłudzanie informacji podczas uzyskiwania dostępu do wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze") mogą napotkać problem z zapętowaniem, gdy użytkownicy próbują dodać klucz dostępu do aplikacji Microsoft Authenticator. Przykład takiej konfiguracji zasad:

  • Warunek: wszystkie urządzenia (Windows, Linux, MacOS, Windows, Android)
  • Zasób docelowy: wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze")
  • Udziel kontroli: Siła uwierzytelniania — wymaganie klucza dostępu w aplikacji Authenticator

Zasady skutecznie wymuszają, że docelowi użytkownicy muszą używać klucza dostępu do uwierzytelniania we wszystkich aplikacjach w chmurze, w tym aplikacji Microsoft Authenticator. Oznacza to, że użytkownicy muszą użyć klucza dostępu, aby aprowizować klucz dostępu podczas przechodzenia przez przepływ rejestracji w aplikacji w aplikacji Authenticator. Dotyczy to zarówno systemów Android, jak i iOS.

Istnieją kilka obejść:

  • Możesz filtrować aplikacje i przenosić cel zasad z obszaru Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") do określonych aplikacji. Zacznij od przejrzenia aplikacji używanych w dzierżawie i używania filtrów do oznaczania aplikacji Microsoft Authenticator i innych aplikacji.

  • Aby jeszcze bardziej zmniejszyć koszty pomocy technicznej, możesz uruchomić wewnętrzną kampanię, aby ułatwić użytkownikom wdrażanie kluczy dostępu przed wymusiniem użycia kluczy dostępu. Gdy wszystko będzie gotowe do wymuszenia użycia klucza dostępu, utwórz dwie zasady dostępu warunkowego:

    • Zasady dla wersji systemu operacyjnego (OS) dla urządzeń przenośnych
    • Zasady dla wersji systemu operacyjnego klasycznego

    Wymagaj innej siły uwierzytelniania dla każdej zasady i skonfiguruj inne ustawienia zasad wymienione w poniższej tabeli. Prawdopodobnie zechcesz włączyć użycie dostępu tymczasowego (TAP) lub włączyć inne metody uwierzytelniania, których użytkownicy mogą używać do rejestrowania klucza dostępu. Wydając interfejs TAP użytkownikowi tylko wtedy, gdy rejestrują poświadczenia i akceptują je tylko na platformach mobilnych, na których może wystąpić rejestracja klucza dostępu, możesz upewnić się, że użytkownicy korzystają z dozwolonych metod uwierzytelniania dla wszystkich przepływów i używają funkcji TAP tylko przez ograniczony czas podczas rejestracji.

    Zasady dostępu warunkowego System operacyjny dla komputerów stacjonarnych System operacyjny dla urządzeń przenośnych
    Nazwisko Wymaganie klucza dostępu w aplikacji Authenticator w celu uzyskania dostępu do systemu operacyjnego pulpitu Wymagaj interfejsu TAP, poświadczenia odpornego na wyłudzanie informacji lub dowolnej innej określonej metody uwierzytelniania w celu uzyskania dostępu do mobilnego systemu operacyjnego
    Stan Określone urządzenia (systemy operacyjne pulpitu) Określone urządzenia (systemy operacyjne urządzeń przenośnych)
    Urządzenia Nie dotyczy Android, iOS
    Wykluczanie urządzeń Android, iOS Nie dotyczy
    Zasób docelowy Wszystkie zasoby Wszystkie zasoby
    Udzielanie kontroli Siła uwierzytelniania Siłauwierzytelniania 1
    Metody Klucz dostępu w aplikacji Microsoft Authenticator TAP, klucz dostępu w aplikacji Microsoft Authenticator.
    Wynik zasad Użytkownicy, którzy nie mogą zalogować się przy użyciu klucza dostępu w aplikacji Authenticator, są kierowani do trybu kreatora Moje logowania. Po rejestracji zostanie wyświetlony monit o zalogowanie się do aplikacji Authenticator na urządzeniu przenośnym. Użytkownicy logujący się do aplikacji Authenticator przy użyciu interfejsu TAP lub innej dozwolonej metody mogą zarejestrować klucz dostępu bezpośrednio w aplikacji Authenticator. Nie występuje pętla, ponieważ użytkownik spełnia wymagania dotyczące uwierzytelniania.

    1Aby użytkownicy rejestrowali nowe metody logowania, kontrola przyznawania zasad mobilnych musi być zgodna z zasadami dostępu warunkowego w celu zarejestrowania informacji zabezpieczających.

Uwaga

Aby obejść ten problem, użytkownicy muszą również spełnić wszelkie zasady dostępu warunkowego przeznaczone dla rejestru informacji zabezpieczających lub nie mogą zarejestrować klucza dostępu. Ponadto jeśli masz inne warunki skonfigurowane przy użyciu zasad Wszystkie zasoby , te warunki będą musiały zostać spełnione podczas rejestrowania klucza dostępu.

Ograniczanie użycia funkcji Bluetooth do kluczy dostępu w aplikacji Authenticator

Niektóre organizacje ograniczają użycie protokołu Bluetooth, co obejmuje korzystanie z kluczy dostępu. W takich przypadkach organizacje mogą zezwalać na dostęp do kluczy dostępu, zezwalając na parowanie bluetooth wyłącznie z uwierzytelnianiem FIDO2 z obsługą klucza dostępu. Aby uzyskać więcej informacji na temat konfigurowania użycia protokołu Bluetooth tylko dla kluczy dostępu, zobacz Passkeys in Bluetooth-restricted environments (Klucze dostępu w środowiskach z ograniczeniami Bluetooth).

Następne kroki

Aby uzyskać więcej informacji na temat kluczy dostępu w aplikacji Authenticator, zobacz Metoda uwierzytelniania microsoft Authenticator. Aby włączyć klucz dostępu w aplikacji Authenticator jako sposób logowania użytkowników, zobacz Włączanie kluczy dostępu w aplikacji Microsoft Authenticator .