Поделиться через

Включение секретных ключей в Microsoft Authenticator (предварительная версия)

  • Статья

В этой статье перечислены шаги по включению и принудительному использованию секретных ключей в Authenticator для идентификатора Microsoft Entra ID. Во-первых, вы обновляете политику методов проверки подлинности, чтобы пользователи могли регистрировать и входить в систему с помощью секретных ключей в Authenticator. Затем можно использовать политики надежности проверки подлинности условного доступа для принудительного входа в систему, когда пользователи получают доступ к конфиденциальному ресурсу.

Требования

  • Использование многофакторной проверки подлинности Microsoft Entra
  • Для Android 14 и более поздних версий или iOS 17 и более поздних версий
  • Активное подключение к Интернету на любом устройстве, которое является частью процесса регистрации и проверки подлинности секретного ключа. Подключение к этим двум конечным точкам должно быть разрешено в организации, чтобы включить регистрацию и проверку подлинности между устройствами:
    • cable.ua5v.com
    • cable.auth.com
  • Для регистрации и проверки подлинности между устройствами на обоих устройствах должен быть включен Bluetooth

Примечание.

Пользователям необходимо установить последнюю версию Authenticator для Android или iOS, чтобы использовать ключ доступа.

Дополнительные сведения о том, где можно использовать ключи доступа в Authenticator для входа, см. в статье "Поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra".

Включение секретных ключей в Authenticator в Центре администрирования

Администратор политики проверки подлинности должен предоставить разрешение Authenticator в параметрах passkey (FIDO2) политики методов проверки подлинности. Они должны явно разрешить идентификаторы GUID аттестации authenticator (AAGUID) для Microsoft Authenticator, чтобы пользователи могли регистрировать секретные ключи в приложении Authenticator. Параметр включения секретных ключей в разделе приложения Microsoft Authenticator политики методов проверки подлинности отсутствует.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. Перейдите к политике >метода проверки подлинности проверки подлинности защиты.>

  3. В разделе "Секретный ключ" метода (FIDO2) выберите "Все пользователи" или "Добавить группы", чтобы выбрать определенные группы. Поддерживаются только группы безопасности.

  4. На вкладке "Настройка" :

    • Задайте для самостоятельной настройки значение "Да". Если задано значение "Нет", пользователи не могут зарегистрировать пароль с помощью сведений о безопасности, даже если ключи доступа (FIDO2) включены политикой методов проверки подлинности.

    • Задайте для принудительной аттестации значение "Да".

      Если аттестация включена в политике доступа (FIDO), идентификатор Microsoft Entra пытается проверить легитимность создаваемого секретного ключа. Когда пользователь регистрирует секретный ключ в Authenticator, аттестация проверяет, что законное приложение Microsoft Authenticator создало ключ доступа с помощью служб Apple и Google. Дополнительные сведения см. в следующем разделе:

      • iOS: аттестация Authenticator использует службу аттестации приложений iOS для обеспечения легитимности приложения Authenticator перед регистрацией ключа доступа.

        Примечание.

        Поддержка регистрации секретных ключей в Authenticator при применении аттестации в настоящее время развертывается для пользователей приложений iOS Authenticator. Поддержка регистрации зарегистрированных секретных ключей в Authenticator на устройствах Android доступна всем пользователям в последней версии приложения.

      • Android:

        • Для аттестации целостности воспроизведения аттестация Authenticator использует API целостности воспроизведения, чтобы обеспечить легитимность приложения Authenticator перед регистрацией ключа доступа.
        • Для аттестации ключей аттестация Authenticator использует аттестацию ключей Android , чтобы убедиться, что зарегистрированный ключ поддерживается оборудованием.

      Примечание.

      Для iOS и Android аттестация Authenticator использует службы Apple и Google для проверки подлинности приложения Authenticator. Интенсивное использование службы может привести к сбою регистрации секретного ключа, и пользователям может потребоваться повторить попытку. Если службы Apple и Google отключены, проверка подлинности блокирует регистрацию, требующую аттестации, пока службы не будут восстановлены. Чтобы отслеживать состояние службы целостности Google Play, см . панель мониторинга состояния Google Play. Сведения о состоянии службы аттестации приложений iOS см. в разделе "Состояние системы".

    • Ограничения ключей задают удобство использования определенных секретных ключей для регистрации и проверки подлинности. Задайте для параметра "Применить ограничения ключей" значение "Да ", чтобы разрешить или заблокировать определенные ключи доступа, которые определяются их AAGUID.

      Этот параметр должен иметь значение "Да ", и необходимо добавить microsoft Authenticator AAGUIDs, чтобы пользователи могли регистрировать ключи доступа в Authenticator, выполнив вход в приложение Authenticator или добавив passkey в Microsoft Authenticator из сведений о безопасности.

      Сведения о безопасности требуют, чтобы этот параметр имел значение "Да ", чтобы пользователи могли выбрать Passkey в Authenticator и пройти выделенный поток регистрации секретного ключа Authenticator . Если вы выберете "Нет", пользователи по-прежнему смогут добавить пароль в Microsoft Authenticator, выбрав ключ безопасности или метод секретного ключа в зависимости от операционной системы и браузера. Однако мы не ожидаем, что многие пользователи будут обнаруживать и использовать этот метод.

      Если в настоящее время ваша организация не применяет ограничения ключей и уже имеет активное использование ключей, необходимо собрать AAGUID ключей, используемых сегодня. Включите этих пользователей и AAGUIDs authenticator, чтобы включить эту предварительную версию. Это можно сделать с помощью автоматизированного скрипта, который анализирует журналы, такие как сведения о регистрации и журналы входа.

      При изменении ограничений ключа и удалении AAGUID, разрешенного ранее, пользователи, которые ранее зарегистрировали разрешенный метод, больше не могут использовать его для входа.

    • Задайте для параметра Allow определенные ключи.

    • Выберите Microsoft Authenticator (предварительная версия), чтобы автоматически добавить приложение Authenticator AAGUID в список ограничений ключей или вручную добавить следующие AAGUIDs, чтобы пользователи могли регистрировать секретные ключи в Authenticator, войдите в приложение Authenticator или перейдя через интерактивный поток на странице сведений о безопасности:

      • Authenticator для Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator для iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Примечание.

      Если отключить ретрикции ключей, установите флажок Microsoft Authenticator (предварительная версия), чтобы пользователи не запросили на настройку секретного ключа в приложении Authenticator в сведениях о безопасности.

    Снимок экрана: Microsoft Authenticator включен для секретного ключа.

  5. После завершения настройки нажмите кнопку "Сохранить".

    Примечание.

    Если при попытке сохранить возникает ошибка, замените несколько групп одной группой в одной операции и нажмите кнопку "Сохранить еще раз".

Включение секретных ключей в Authenticator с помощью обозревателя Graph

Помимо использования Центра администрирования Microsoft Entra, вы также можете включить ключи доступа в Authenticator с помощью обозревателя Graph. Те, кто назначен по крайней мере роль администратора политики проверки подлинности, могут обновить политику методов проверки подлинности, чтобы разрешить AAGUID для Authenticator.

Чтобы настроить политику с помощью обозревателя Graph, выполните следующие действия.

  1. Войдите в обозреватель Graph и согласились с разрешениями Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.

  2. Получите политику методов проверки подлинности:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Чтобы отключить принудительное применение аттестации и применить ограничения ключей, чтобы разрешить только AAGUID для Microsoft Authenticator, выполните операцию PATCH с помощью следующего текста запроса:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": true,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Убедитесь, что политика доступа (FIDO2) обновлена должным образом.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Ограничение использования Bluetooth для сквозных ключей в Authenticator

Некоторые организации ограничивают использование Bluetooth, включая использование ключей доступа. В таких случаях организации могут разрешать ключи доступа, разрешая связывание Bluetooth исключительно с аутентификаторами FIDO2 с поддержкой доступа. Дополнительные сведения о настройке использования Bluetooth только для ключей доступа см. в разделах "Секретные ключи" в средах с ограниченным доступом Bluetooth.

Удаление ключа доступа

Если пользователь удаляет ключ доступа в Authenticator, этот ключ также удаляется из методов входа пользователя. Администратор политики проверки подлинности также может выполнить следующие действия, чтобы удалить секретный ключ из методов проверки подлинности пользователя, но он не удалит ключ доступа из Authenticator.

  1. Войдите в Центр администрирования Microsoft Entra и найдите пользователя, ключ доступа которого необходимо удалить.
  2. Выберите методы> проверки подлинности, щелкните правой кнопкой мыши ключ безопасности FIDO2 и выберите "Удалить".

Примечание.

Если пользователь не инициировал удаление секретного ключа в Authenticator, он также должен удалить ключ доступа в Authenticator на своем устройстве.

Принудительное выполнение входа с помощью ключей доступа в Authenticator

Чтобы пользователи входить с помощью секретного ключа при доступе к конфиденциальному ресурсу, используйте встроенную устойчивость к фишингу проверки подлинности или создайте настраиваемую силу проверки подлинности, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

  2. Перейдите к преимуществам проверки подлинности методов>проверки подлинности защиты>.

  3. Выберите "Новая сила проверки подлинности".

  4. Укажите описательное имя для новой силы проверки подлинности.

  5. При необходимости укажите описание.

  6. Выберите "Секретные ключи" (FIDO2) и выберите "Дополнительные параметры".

  7. Вы можете выбрать степень защиты от фишинга MFA или добавить AAGUID для ключей доступа в Authenticator:

    • Authenticator для Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator для iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  8. Нажмите кнопку "Далее " и просмотрите конфигурацию политики.

Следующие шаги

Поддержка секретного ключа в Windows