Включение секретных ключей (FIDO2) для вашей организации

Для предприятий, использующих пароли сегодня, секретные ключи (FIDO2) обеспечивают простой способ проверки подлинности работников без ввода имени пользователя или пароля. Секретные ключи (FIDO2) обеспечивают улучшенную производительность для работников и имеют более высокую безопасность.

В этой статье перечислены требования и шаги для включения секретных ключей в организации. После выполнения этих действий пользователи в вашей организации могут зарегистрировать и войти в свою учетную запись Microsoft Entra с помощью секретного ключа, хранящегося в ключе безопасности FIDO2 или в Microsoft Authenticator.

Дополнительные сведения о включении секретных ключей в Microsoft Authenticator см. в статье "Как включить ключи доступа в Microsoft Authenticator".

Дополнительные сведения о сквозной проверке подлинности см. в разделе "Поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra".

Заметка

Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.

Требования

• Многофакторная проверка подлинности (MFA) Microsoft Entra.
• Ключи безопасности FIDO2, доступные для аттестации с помощью идентификатора Microsoft Entra или Microsoft Authenticator.
• Устройства, поддерживающие сквозную проверку подлинности (FIDO2). Для устройств Windows, присоединенных к идентификатору Microsoft Entra, лучше всего использовать windows 10 версии 1903 или более поздней. Устройства, присоединенные к гибридной среде, должны работать под управлением Windows 10 версии 2004 или более поздней.

Секретные ключи (FIDO2) поддерживаются в основных сценариях в Windows, macOS, Android и iOS. Дополнительные сведения о поддерживаемых сценариях см. в разделе "Поддержка проверки подлинности FIDO2" в идентификаторе Microsoft Entra ID.

Заметка

Поддержка регистрации с тем же устройством в Edge на Android скоро.

Секретный ключ (FIDO2) Authenticator Attestation GUID (AAGUID)

Спецификация FIDO2 требует, чтобы каждый поставщик ключей безопасности предоставил guid аттестации Authenticator (AAGUID) во время регистрации. AAGUID — это 128-разрядный идентификатор, указывающий тип ключа, например создание и модель. Поставщики доступа (FIDO2) на настольных и мобильных устройствах также должны предоставлять AAGUID во время регистрации.

Заметка

Поставщик должен убедиться, что AAGUID идентичен всем поставщикам ключей безопасности или секретных ключей (FIDO2), сделанных этим поставщиком, и разные (с высокой вероятностью) от AAGUIDs всех других типов ключей безопасности или поставщиков секретного ключа (FIDO2). Чтобы обеспечить это, поставщик AAGUID для заданной модели ключа безопасности или поставщика секретного ключа (FIDO2) должен быть случайным образом создан. Дополнительные сведения см. в разделе "Веб-проверка подлинности" — API для доступа к учетным данным открытого ключа — уровень 2 (w3.org).

Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID ключа доступа (FIDO2) или просмотреть ключи безопасности FIDO2, подходящие для аттестации с идентификатором Microsoft Entra. Если ключ доступа (FIDO2) уже зарегистрирован, можно найти AAGUID, просмотрев сведения о методе проверки подлинности для пользователя.

Включение метода проверки подлинности passkey (FIDO2)

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

2. Перейдите к политике >метода проверки подлинности проверки подлинности защиты.>

3. В разделе метода Passkey (FIDO2) установите переключатель в значение Enable. Выберите "Все пользователи" или "Добавить группы", чтобы выбрать определенные группы. Поддерживаются только группы безопасности.

4. На вкладке "Настройка" :

   • Задайте для самостоятельной настройки значение "Да". Если задано значение "Нет", пользователи не могут зарегистрировать пароль с помощью сведений о безопасности, даже если ключи доступа (FIDO2) включены политикой методов проверки подлинности.

   • Установите значение "Применить аттестацию " значение "Да ", если ваша организация хочет убедиться, что модель ключа безопасности FIDO2 или поставщик секретного ключа является подлинным и поступает от законного поставщика.

     • Для ключей безопасности FIDO2 требуется опубликовать и проверить метаданные ключа безопасности с помощью службы метаданных Альянса FIDO, а также передать другой набор проверки майкрософт. Дополнительные сведения см. в статье "Стать поставщиком ключей безопасности, совместимым с Майкрософт FIDO2".
     • Для секретных ключей в Microsoft Authenticator поддержка аттестации планируется для общедоступной доступности.

     Предупреждение

     Принудительное применение аттестации определяет, разрешено ли ключ доступа (FIDO2) только во время регистрации. Пользователи, которые регистрируют ключ доступа (FIDO2) без аттестации, не блокируются при входе, если для принудительной аттестации установлено значение Yes позже.

   Политика ограничений ключей

   • Принудительное применение ограничений ключей должно быть задано только в том случае, если ваша организация хочет разрешить или запретить использование определенных моделей ключей безопасности или поставщиков секретных ключей, которые определяются их AAGUID. Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID ключа доступа. Если ключ доступа уже зарегистрирован, можно найти AAGUID, просмотрев сведения о методе проверки подлинности для пользователя.

   Если для параметра "Принудительное применение ограничений ключей" задано значение "Да", вы можете выбрать Microsoft Authenticator (предварительная версия) для автоматического добавления приложений Authenticator AAGUID для вас в список ограничений ключей. Дополнительные сведения см. в разделе "Включение секретных ключей" в Microsoft Authenticator (предварительная версия).

   Предупреждение

   Ключевые ограничения задают удобство использования определенных моделей или поставщиков для регистрации и проверки подлинности. При изменении ограничений ключа и удалении AAGUID, разрешенного ранее, пользователи, которые ранее зарегистрировали разрешенный метод, больше не могут использовать его для входа.

   Если в настоящее время ваша организация не применяет ограничения ключей и уже имеет активное использование ключей, необходимо собрать AAGUID ключей, используемых сегодня. Добавьте их в список разрешений, а также a Authenticator AAGUIDs, чтобы включить эту предварительную версию. Эта задача может выполняться с помощью автоматизированного скрипта, который анализирует журналы, такие как сведения о регистрации и журналы входа.

   Заметка

   Если отключить ретрикции ключей, установите флажок Microsoft Authenticator (предварительная версия), чтобы пользователи не запросили на настройку секретного ключа в приложении Authenticator в сведениях о безопасности.

   Можно перечислить еще два AAGUID. b6879edc-2a86-4bde-9c62-c1cac4a8f8e5 Они и 257fa02a-18f3-4e34-8174-95d454c2e9ad. Эти AAGUID-идентификаторы отображаются перед предстоящей функцией. Их можно удалить из списка разрешенных AAGUID.

   

5. После завершения настройки нажмите кнопку "Сохранить".

   Заметка

   Если при попытке сохранить возникает ошибка, замените несколько групп одной группой в одной операции и нажмите кнопку "Сохранить еще раз".

Подготовка ключей безопасности FIDO2 с помощью API Microsoft Graph (предварительная версия)

В настоящее время администраторы могут использовать Microsoft Graph и пользовательские клиенты для подготовки ключей безопасности FIDO2 от имени пользователей. Для подготовки требуется роль администратора проверки подлинности или клиентское приложение с разрешением UserAuthenticationMethod.ReadWrite.All. К улучшениям подготовки относятся следующие:

• Возможность запрашивать параметры создания WebAuthn из идентификатора Microsoft Entra
• Возможность зарегистрировать подготовленный ключ безопасности непосредственно с помощью идентификатора Microsoft Entra

С помощью этих новых API организации могут создавать собственные клиенты для подготовки учетных данных доступа (FIDO2) для ключей безопасности от имени пользователя. Чтобы упростить этот процесс, необходимо выполнить три основных шага.

1. Запрос creationOptions для пользователя: идентификатор Microsoft Entra возвращает необходимые данные для клиента для подготовки учетных данных доступа (FIDO2). К ним относятся такие сведения, как сведения о пользователях, идентификатор проверяющей стороны, требования к политике учетных данных, алгоритмы, проблема регистрации и многое другое.
2. Подготовьте учетные данные доступа (FIDO2) с помощью параметров создания: используйте creationOptions клиент, поддерживающий протокол CTAP клиента для проверки подлинности (CTAP). На этом шаге необходимо вставить ключ безопасности и задать ПИН-код.
3. Зарегистрируйте подготовленные учетные данные с помощью идентификатора Microsoft Entra ID: используйте форматированные выходные данные процесса подготовки, чтобы предоставить идентификатору Microsoft Entra идентификатор необходимых данных для регистрации учетных данных доступа (FIDO2) для целевого пользователя.

Включение ключей доступа (FIDO2) с помощью API Microsoft Graph

Помимо использования Центра администрирования Microsoft Entra, вы также можете включить ключи доступа (FIDO2) с помощью API Microsoft Graph. Чтобы включить ключи доступа (FIDO2), необходимо обновить политику методов проверки подлинности по крайней мере администратором политики проверки подлинности.

Чтобы настроить политику с помощью обозревателя Graph, выполните следующие действия.

1. Войдите в обозреватель Graph и согласились с разрешениями Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.

2. Получите политику методов проверки подлинности:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Чтобы отключить принудительное применение аттестации и применить ограничения ключей, чтобы разрешить только AAGUID для RSA DS100, выполните операцию PATCH с помощью следующего текста запроса:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Убедитесь, что политика доступа (FIDO2) обновлена должным образом.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Удаление ключа доступа (FIDO2)

Чтобы удалить ключ доступа (FIDO2), связанный с учетной записью пользователя, удалите его из метода проверки подлинности пользователя.

1. Войдите в Центр администрирования Microsoft Entra и найдите пользователя, ключ доступа которого (FIDO2) необходимо удалить.

2. Выберите методы> проверки подлинности правой кнопкой мыши "Пароль" (привязанный к устройству) и нажмите кнопку "Удалить".

   

Принудительное выполнение входа в систему (FIDO2)

Чтобы пользователи входить с помощью ключа доступа (FIDO2) при доступе к конфиденциальному ресурсу, можно:

• Использование встроенной защиты от фишинга проверки подлинности

  Или

• Создание настраиваемой силы проверки подлинности

В следующих шагах показано, как создать настраиваемую политику условного доступа проверки подлинности, которая разрешает вход с ключом доступа (FIDO2) только для определенной модели ключа безопасности или поставщика доступа (FIDO2). Список поставщиков FIDO2 см. в разделе "Ключи безопасности FIDO2", доступные для аттестации с идентификатором Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
2. Перейдите к преимуществам проверки подлинности методов>проверки подлинности защиты>.
3. Выберите "Новая сила проверки подлинности".
4. Укажите имя для новой силы проверки подлинности.
5. При необходимости укажите описание.
6. Выберите "Секретные ключи" (FIDO2).
7. При необходимости, если вы хотите ограничить определенные идентификаторы AAGUID, выберите дополнительные параметры , а затем добавьте AAGUID. Введите разрешенные идентификаторы AAGUID. Нажмите кнопку "Сохранить".
8. Нажмите кнопку "Далее " и просмотрите конфигурацию политики.

Известные проблемы

Пользователи службы совместной работы B2B

Регистрация учетных данных доступа (FIDO2) не поддерживается для пользователей службы совместной работы B2B в клиенте ресурсов.

Изменения имени участника-участника

Если имя участника-пользователя изменяет имя участника-пользователя, вы больше не сможете изменить ключи доступа (FIDO2), чтобы учесть это изменение. Если у пользователя есть ключ доступа (FIDO2), необходимо войти в сведения о безопасности, удалить старый ключ доступа (FIDO2) и добавить новый.

Дальнейшие действия

Поддержка собственного приложения и браузера для проверки подлинности без пароля (FIDO2)

Вход в Windows 10 с помощью ключа безопасности FIDO2

Включение проверки подлинности FIDO2 в локальные ресурсы

Регистрация ключей безопасности от имени пользователей

Дополнительные сведения о регистрации устройств

Дополнительные сведения о многофакторной проверке подлинности Microsoft Entra