Włączanie kluczy dostępu (FIDO2) dla organizacji

W przypadku przedsiębiorstw, które używają obecnie haseł, hasła (FIDO2) zapewniają bezproblemowy sposób uwierzytelniania procesów roboczych bez wprowadzania nazwy użytkownika lub hasła. Klucze dostępu zapewniają lepszą produktywność pracowników i zapewniają lepsze bezpieczeństwo.

W tym artykule wymieniono wymagania i kroki włączania kluczy dostępu w organizacji. Po wykonaniu tych kroków użytkownicy w organizacji mogą zarejestrować się i zalogować się do swojego konta Microsoft Entra przy użyciu klucza dostępu przechowywanego w kluczu zabezpieczeń FIDO2 lub w aplikacji Microsoft Authenticator.

Aby uzyskać więcej informacji na temat włączania kluczy dostępu w aplikacji Microsoft Authenticator, zobacz How to enable passkeys in Microsoft Authenticator (Jak włączyć klucz dostępu w aplikacji Microsoft Authenticator).

Aby uzyskać więcej informacji na temat uwierzytelniania za pomocą klucza dostępu, zobacz Obsługa uwierzytelniania FIDO2 za pomocą identyfikatora Entra firmy Microsoft.

Uwaga

Identyfikator Entra firmy Microsoft obsługuje obecnie powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 i w aplikacji Microsoft Authenticator. Firma Microsoft zobowiązuje się do zabezpieczania klientów i użytkowników przy użyciu kluczy dostępu. Inwestujemy zarówno w zsynchronizowane, jak i powiązane z urządzeniami klucz dostępu dla kont służbowych.

Wymagania

• Uwierzytelnianie wieloskładnikowe (MFA) firmy Microsoft.
• Klucze zabezpieczeń FIDO2 kwalifikujące się do zaświadczania za pomocą identyfikatora Microsoft Entra ID lub Microsoft Authenticator.
• Urządzenia obsługujące uwierzytelnianie za pomocą klucza dostępu (FIDO2). W przypadku urządzeń z systemem Windows, które są przyłączone do identyfikatora Entra firmy Microsoft, najlepsze środowisko jest w systemie Windows 10 w wersji 1903 lub nowszej. Urządzenia przyłączone hybrydowo muszą działać z systemem Windows 10 w wersji 2004 lub nowszej.

Klucz dostępu jest obsługiwany w dużych scenariuszach w systemach Windows, macOS, Android i iOS. Aby uzyskać więcej informacji na temat obsługiwanych scenariuszy, zobacz Obsługa uwierzytelniania FIDO2 w identyfikatorze Entra firmy Microsoft.

Włączanie metody uwierzytelniania klucza dostępu

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

2. Przejdź do strony Zasady>metody uwierzytelniania Metod>uwierzytelniania ochrony.

3. W obszarze klucza zabezpieczeń FIDO2 metody ustaw przełącznik na Wartość Włącz. Wybierz pozycję Wszyscy użytkownicy lub Dodaj grupy , aby wybrać określone grupy. Obsługiwane są tylko grupy zabezpieczeń.

4. Zapisz konfigurację.

   Uwaga

   Jeśli podczas próby zapisania wystąpi błąd, przyczyną może być liczba dodanych użytkowników lub grup. Aby obejść ten problem, zastąp użytkowników i grupy, które próbujesz dodać pojedynczą grupą, w tej samej operacji, a następnie kliknij przycisk Zapisz ponownie.

Opcjonalne ustawienia klucza dostępu

Na karcie Konfigurowanie znajdują się pewne opcjonalne ustawienia ułatwiające zarządzanie sposobem użycia kluczy dostępu na potrzeby logowania.

• Pozycja Zezwalaj na konfigurację samoobsługową powinna pozostać ustawiona na Wartość Tak. Jeśli ustawiono wartość nie, użytkownicy nie będą mogli zarejestrować klucza dostępu za pośrednictwem elementu MySecurityInfo, nawet jeśli są włączone przez zasady Metody uwierzytelniania.

• Wymuś zaświadczanie powinno mieć wartość Tak , jeśli organizacja chce mieć pewność, że model klucza zabezpieczeń FIDO2 lub dostawca kluczy dostępu jest prawdziwy i pochodzi od uprawnionego dostawcy.

  • W przypadku kluczy zabezpieczeń FIDO2 wymagamy opublikowania i zweryfikowania metadanych klucza zabezpieczeń w usłudze FIDO Alliance Metadata Service, a także przekazania innego zestawu testów weryfikacyjnych firmy Microsoft. Aby uzyskać więcej informacji, zobacz Zostań dostawcą kluczy zabezpieczeń FIDO2 zgodnym z firmą Microsoft.
  • W przypadku kluczy dostępu w aplikacji Microsoft Authenticator obecnie nie obsługujemy zaświadczania.

  Ostrzeżenie

  Wymuszanie zaświadczania określa, czy klucz dostępu jest dozwolony tylko podczas rejestracji. Użytkownicy, którzy mogą zarejestrować klucz dostępu bez zaświadczania, nie będą blokowani podczas logowania, jeśli ustawienie Wymuszanie zaświadczania ma wartość Tak w późniejszym czasie.

Zasady ograniczeń klucza

• Wymuś ograniczenia kluczy powinny być ustawione na Wartość Tak tylko wtedy, gdy organizacja chce zezwalać tylko na określone modele kluczy zabezpieczeń lub dostawców kluczy zabezpieczeń lub dostawców kluczy dostępu, które są identyfikowane przez identyfikator GUID zaświadczania authenticatora (AAGUID). Możesz pracować z dostawcą klucza zabezpieczeń, aby określić identyfikator AAGUID klucza dostępu. Jeśli klucz dostępu został już zarejestrowany, możesz znaleźć identyfikator AAGUID, wyświetlając szczegóły metody uwierzytelniania klucza dostępu dla użytkownika.

• Gdy ustawienie Wymuszanie ograniczeń klucza ma wartość Tak, możesz wybrać pozycję Microsoft Authenticator (wersja zapoznawcza), jeśli pole wyboru jest wyświetlane w centrum administracyjnym. Spowoduje to automatyczne wypełnienie identyfikatorów AAGUID aplikacji Authenticator na liście ograniczeń klucza. W przeciwnym razie możesz ręcznie dodać następujące identyfikatory AAGUID, aby włączyć wersję zapoznawcza klucza dostępu Authenticator:

  • Authenticator dla systemu Android: de1e552d-db1d-4423-a619-566b625cdc84
  • Authenticator dla systemu iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  Ostrzeżenie

  Kluczowe ograniczenia umożliwiają określanie użyteczności określonych modeli lub dostawców na potrzeby rejestracji i uwierzytelniania. Jeśli zmienisz ograniczenia klucza i usuniesz wcześniej dozwolony identyfikator AAGUID, użytkownicy, którzy wcześniej zarejestrowali dozwoloną metodę, nie będą mogli używać jej do logowania.

Identyfikator GUID zaświadczania usługi Passkey Authenticator (AAGUID)

Specyfikacja FIDO2 wymaga od każdego dostawcy klucza zabezpieczeń udostępnienia identyfikatora GUID zaświadczania wystawcy Authenticator (AAGUID) podczas rejestracji. Identyfikator AAGUID to 128-bitowy identyfikator wskazujący typ klucza, taki jak make i model. Dostawcy kluczy dostępu na komputerach i urządzeniach przenośnych mają również dostarczyć identyfikator AAGUID podczas rejestracji.

Uwaga

Dostawca musi upewnić się, że identyfikator AAGUID jest identyczny dla wszystkich zasadniczo identycznych kluczy zabezpieczeń lub dostawców kluczy dostępu wykonanych przez tego dostawcę i różnych (z wysokim prawdopodobieństwem) od identyfikatorów AAGUID wszystkich innych typów kluczy zabezpieczeń lub dostawców kluczy dostępu. Aby to zapewnić, identyfikator AAGUID dla danego modelu kluczy zabezpieczeń lub dostawcy kluczy dostępu powinien być generowany losowo. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie sieci Web: interfejs API umożliwiający uzyskiwanie dostępu do poświadczeń klucza publicznego — poziom 2 (w3.org).

Istnieją dwa sposoby uzyskania identyfikatora AAGUID. Możesz poprosić dostawcę klucza zabezpieczeń lub dostawcy klucza dostępu albo wyświetlić szczegóły metody uwierzytelniania klucza dla poszczególnych użytkowników.

Aprowizuj klucze zabezpieczeń FIDO2 przy użyciu interfejsu API programu Microsoft Graph (wersja zapoznawcza)

Obecnie w wersji zapoznawczej administratorzy mogą używać programu Microsoft Graph i niestandardowych klientów do aprowizowania kluczy zabezpieczeń FIDO2 w imieniu użytkowników. Aprowizowanie wymaga roli administratora uwierzytelniania lub aplikacji klienckiej z uprawnieniem UserAuthenticationMethod.ReadWrite.All. Ulepszenia aprowizacji obejmują:

• Możliwość żądania opcji tworzenia protokołu WebAuthn z identyfikatora Entra firmy Microsoft
• Możliwość rejestrowania aprowizowanego klucza zabezpieczeń bezpośrednio przy użyciu identyfikatora Entra firmy Microsoft

Dzięki tym nowym interfejsom API organizacje mogą tworzyć własnych klientów w celu aprowizowania poświadczeń klucza dostępu (FIDO2) na kluczach zabezpieczeń w imieniu użytkownika. Aby uprościć ten proces, wymagane są trzy główne kroki.

1. Request creationOptions for a user: Microsoft Entra ID zwraca niezbędne dane, aby klient aprowizować poświadczenia klucza dostępu (FIDO2). Obejmuje to informacje, takie jak informacje o użytkowniku, identyfikator jednostki uzależnionej, wymagania dotyczące zasad poświadczeń, algorytmy, wyzwanie rejestracji i nie tylko.
2. Aprowizuj poświadczenie klucza dostępu (FIDO2) przy użyciu opcji tworzenia: użyj creationOptions klienta i obsługującego protokół Authenticator Protocol (CTAP, Client to Authenticator Protocol), aby aprowizować poświadczenia. W tym kroku należy wstawić klucz zabezpieczeń i ustawić numer PIN.
3. Zarejestruj aprowizowane poświadczenia za pomocą identyfikatora Entra firmy Microsoft: użyj sformatowanych danych wyjściowych z procesu aprowizacji, aby podać identyfikator Entra firmy Microsoft niezbędne dane do zarejestrowania poświadczeń klucza dostępu (FIDO2) dla docelowego użytkownika.

Włączanie kluczy dostępu przy użyciu interfejsu API programu Microsoft Graph

Oprócz korzystania z centrum administracyjnego firmy Microsoft Entra można również włączyć klucz dostępu przy użyciu interfejsu API programu Microsoft Graph. Aby włączyć klucz dostępu, należy zaktualizować zasady metod uwierzytelniania co najmniej jako administrator zasad uwierzytelniania.

Aby skonfigurować zasady przy użyciu Eksploratora programu Graph:

1. Zaloguj się do Eksploratora programu Graph i wyrażaj zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .

2. Pobierz zasady metody uwierzytelniania:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Aby wyłączyć wymuszanie zaświadczania i wymuszać ograniczenia klucza, aby zezwolić na używanie tylko identyfikatora AAGUID dla RSA DS100, wykonaj operację PATCH przy użyciu następującej treści żądania:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Upewnij się, że zasady klucza dostępu (FIDO2) zostały prawidłowo zaktualizowane.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Usuwanie klucza dostępu

Aby usunąć klucz dostępu skojarzony z kontem użytkownika, usuń klucz z metody uwierzytelniania użytkownika.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra i wyszukaj użytkownika, którego klucz dostępu musi zostać usunięty.

2. Wybierz pozycję Metody> uwierzytelniania kliknij prawym przyciskiem myszy pozycję Klucz dostępu (powiązany z urządzeniem) i wybierz pozycję Usuń.

   

Wymuszanie logowania z kluczem dostępu

Aby umożliwić użytkownikom logowanie się przy użyciu klucza dostępu podczas uzyskiwania dostępu do poufnego zasobu, możesz:

• Używanie wbudowanej siły uwierzytelniania odpornego na wyłudzanie informacji

  Or

• Utwórz niestandardową siłę uwierzytelniania

W poniższych krokach pokazano, jak utworzyć niestandardowe zasady dostępu warunkowego o sile uwierzytelniania, które umożliwiają logowanie przy użyciu klucza dostępu tylko dla określonego modelu klucza zabezpieczeń lub dostawcy kluczy dostępu. Aby uzyskać listę dostawców FIDO2, zobacz FIDO2 security keys eligible for attestation with Microsoft Entra ID (Klucze zabezpieczeń FIDO2 kwalifikujące się do zaświadczania za pomocą identyfikatora Microsoft Entra ID).

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>metod>uwierzytelniania Mocnych stron uwierzytelniania.
3. Wybierz pozycję Nowa siła uwierzytelniania.
4. Podaj nazwę nowej siły uwierzytelniania.
5. Opcjonalnie podaj opis.
6. Wybierz pozycję Passkeys (FIDO2).
7. Opcjonalnie, jeśli chcesz ograniczyć określone identyfikatory AAGUID, wybierz pozycję Opcje zaawansowane, a następnie dodaj AAGUID. Wprowadź dozwolone identyfikatory AAGUID. Wybierz pozycję Zapisz.
8. Wybierz pozycję Dalej i przejrzyj konfigurację zasad.

Znane problemy

Użytkownicy współpracy B2B

Rejestracja poświadczeń FIDO2 nie jest obsługiwana dla użytkowników współpracy B2B w dzierżawie zasobów.

Aprowizowanie klucza zabezpieczeń

Aprowizowanie i anulowanie aprowizacji kluczy zabezpieczeń przez administratora nie jest dostępne.

Zmiany nazwy UPN

Jeśli nazwa UPN użytkownika ulegnie zmianie, nie można już modyfikować kluczy dostępu, aby uwzględnić zmianę. Jeśli użytkownik ma klucz dostępu, musi zalogować się do moich informacji zabezpieczających, usunąć stary klucz dostępu i dodać nowy.

Następne kroki

Natywna aplikacja i obsługa przeglądarki uwierzytelniania bez hasła (FIDO2)

Logowanie do systemu Windows 10 klucza zabezpieczeń FIDO2

Włączanie uwierzytelniania FIDO2 do zasobów lokalnych

Rejestrowanie kluczy zabezpieczeń w imieniu użytkowników

Dowiedz się więcej o rejestracji urządzeń

Dowiedz się więcej na temat uwierzytelniania wieloskładnikowego firmy Microsoft