В этой статье рассматриваются часто задаваемые вопросы о секретных ключах. Продолжайте проверять наличие обновленного содержимого.
Часто задаваемые вопросы (ЧЗВ) о ключах доступа в Microsoft Entra
Когда пользователям будет предложено зарегистрировать секретный ключ во время входа?
Пользователи могут увидеть запрос на регистрацию секретного ключа, если:
- Включена кампания регистрации ключей (nudge) или
- Администратор явно требует регистрации ключа доступа через политику, например, путем применения устойчивого к фишингу MFA с проверкой подлинности условного доступа.
Как администраторы могут отслеживать или проверять использование секретного ключа?
Администраторы могут использовать журналы аудита, журналы входа и уведомления пользователей для отслеживания создания и использования секретного ключа. В настоящее время для ключей доступа нет автоматического истечения срока действия, поэтому рекомендуется их отслеживание и поддержание жизненного цикла.
Являются ли ключи доступа в Microsoft Entra защищёнными от квантовых атак?
Ключи доступа не являются полностью квантово безопасными на сегодняшний день, но корпорация Майкрософт имеет опубликованный план чтобы сделать проверку подлинности Microsoft Entra, включая ключи доступа, квантово безопасными с использованием постквантовой криптографии, с полным переходом, запланированным к 2033 году.
Часто задаваемые вопросы о синхронизированном ключе доступа
Каковы преимущества синхронизированных секретных ключей?
Синхронизированные секретные ключи, хранящиеся в собственных и сторонних поставщиках секретных ключей, которые уже существуют на устройствах пользователей, решают многие сложные проблемы выдачи и управления, связанные с отдельным устройством проверки подлинности. Тот факт, что секретный ключ может синхронизироваться между клиентскими устройствами пользователя и облаком, значительно снижает затраты на восстановление и повторное использование, связанные с ключами доступа с привязкой к устройству. Мы ожидаем, что это сочетание преимуществ сделает синхронизированные секретные ключи лучшим вариантом для большинства пользователей и организаций.
Как выполнить поэтапное развертывание синхронизированных ключей доступа?
Профили паролей можно использовать для определения рамок развертывания синхронизированных паролей для выбранных групп пользователей. Корпорация Майкрософт рекомендует ключи доступа, привязанные к устройству, для администраторов и пользователей с высоким уровнем привилегий, а также синхронизированные ключи доступа для всех пользователей с разрешениями, не связанными с администратором в вашей организации.
Как администратор, можно ли отменить использование секретного ключа?
Да. Администраторы могут использовать пользовательский интерфейс или API методов аутентификации для конкретного пользователя, чтобы удалить ключ доступа из учетной записи Microsoft Entra ID.
Какие средства защиты применяются для защиты учетных записей пользователей и устройств при использовании синхронизированных ключей доступа?
Чтобы зарегистрировать ключ доступа с помощью поставщика ключей доступа, большинству требуется сначала настроить двухфакторную проверку подлинности. Большинство поставщиков секретных ключей также требуют настройки блокировки устройства перед сохранением ключа доступа на устройстве. Этот интерфейс распространен в диспетчере паролей Google и цепочке ключей iCloud, но может отличаться от других поставщиков секретных ключей.
Могут ли администраторы управлять доступом устройств, в которых доступен синхронизированный секретный ключ, или запретить доступ к ключам доступа?
Сегодня администраторы не могут видеть или контролировать, какие устройства хранят копию синхронизированного секретного ключа, а также не могут запрашивать, где синхронизирован синхронизированный секретный ключ. Это отражает более широкие отраслевые ограничения для видимости учетных данных, которые синхронизируются на личных устройствах пользователя. Отрасль, вместе с Альянсом FIDO, активно работает над улучшениями в этой области, чтобы обеспечить более сильные сигналы и контроль для проверяющих сторон. Из-за этого важно выбрать соответствующую модель секретного ключа на основе требований безопасности и соответствия требованиям: если строгий контроль границ устройства является жестким требованием, ключи доступа, привязанные к устройству, являются рекомендуемыми. Эти учетные данные привязаны к конкретному устройству и не синхронизируются в другом месте. Для других групп пользователей рекомендуется использование синхронизированных ключей доступа. Синхронизированные секретные ключи обеспечивают сильное сопротивление фишинга, в то время как многие традиционные методы не обеспечивают видимость устройств и подвержены фишинговым атакам.
Часто задаваемые вопросы о ключах проверки подлинности
Как Microsoft Authenticator хранит ключи доступа на устройстве?
Ключи доступа аутентификатора поддерживаются оборудованием.
В iOS Authenticator сохраняет закрытый ключ в Secure Enclave.
В Android Authenticator использует системный API Android Keystore для безопасного хранения ключей, привязанных к устройству. Система Хранилища ключей Android поддерживает привязку материала ключа к защищенному оборудованию устройства Android в этом порядке:
В Android Authenticator сохраняет только секретный ключ (закрытый ключ), если устройство Android имеет один из этих двух безопасных аппаратных параметров. Если ни одна из аппаратных опций не существует, регистрация ключа доступа в Authenticator завершится ошибкой, даже если аттестация отключена.
Можно ли восстановить или синхронизировать секретные ключи Authenticator с новым устройством?
Ключи доступа Authenticator привязаны только к устройству и не могут быть синхронизированы. Дополнительные сведения см. в разделе "Ключи доступа с привязкой к устройству" в Microsoft Authenticator.
Нужно ли включить Bluetooth для проверки подлинности между устройствами?
Чтобы использовать проверку подлинности между устройствами с ключами доступа в Authenticator, необходимо включить Bluetooth и иметь доступ к Интернету на обоих устройствах.
Почему не удается выполнить вход и регистрацию между устройствами с ошибкой "Устройство не удалось подключиться"?
Убедитесь, что оба устройства имеют доступ к Интернету и Bluetooth. Для регистрации и проверки подлинности между устройствами пользователи не могут использовать регистрацию между устройствами или проверку подлинности, если включить аттестацию.
| Platform | URL |
|---|---|
| Android | cable.ua5v.com |
| iOS | cable.auth.comapp-site-association.cdn-apple.comapp-site-association.networking.apple |
Если ваша организация ограничивает использование Bluetooth, вы можете разрешить связывание Bluetooth исключительно с аутентификаторами FIDO2 с поддержкой доступа, чтобы разрешить вход между устройствами и регистрацию секретных ключей.
Можно ли использовать несколько ключей доступа в Authenticator?
Для каждой учетной записи в Authenticator можно использовать только один секретный ключ. В настоящее время Authenticator поддерживает только ключи доступа для идентификатора Microsoft Entra.
Можно ли использовать камеру приложения Authenticator для сканирования QR-кода WebAuthn для регистрации и проверки подлинности?
Камеру Authenticator можно использовать для регистрации и проверки подлинности с помощью секретных ключей. Этот параметр полезен, если ваша организация не отправляет системное приложение камеры в рабочий профиль Android.
Можно ли использовать ключи доступа в Authenticator без подключения к Интернету?
Ключи доступа нельзя использовать без подключения к Интернету. В сценариях с использованием одного устройства мобильное устройство, содержащее ключ доступа, нуждается в подключении к интернету. Для работы сценариев между устройствами, устройство с ключом доступа и дополнительное устройство, на котором вы хотите войти в систему, должны иметь доступ к Интернету.
Я пытался зарегистрировать ключ доступа в приложении Microsoft Authenticator, но получил ошибку "Passkey не удалось добавить" или "неизвестная ошибка", что делать?
Если вы столкнулись с этой ошибкой, отправьте отзыв из приложения, перейдя в главное меню и выбрав "Отправить отзыв" → проблемы. После отправки укажите идентификатор обратной связи, чтобы журналы приложений проверки подлинности могли быть проверены.
Я на устройстве Android 14, и я выполнил все шаги. Почему не удается зарегистрировать ключи доступа в приложении Authenticator?
Приложение Authenticator использует API Android в Android 14 или более поздней версии для использования ключей доступа. Производители выбирают, следует ли реализовать эти API для каждого устройства, которое они делают. Если ваше устройство не поддерживает эти API, приложение Authenticator может не работать для вашего устройства на Android 14. Для лучшего взаимодействия рекомендуется обновить до Android 15.
Я сохранил ключ доступа в приложении Microsoft Authenticator в личном профиле Android и не могу использовать его в рабочем профиле?
Это поведение не зависит от приложения Microsoft Authenticator. Android Work Profile намеренно создает две изолированные среды (личную и рабочую), и приложения, участвующие в корпоративной идентификации и безопасности устройств, должны функционировать внутри контейнера рабочего профиля. Из-за этой модели изоляции приложения (включая Microsoft Authenticator) не могут совместно использоваться между профилями, а для рабочего профиля требуется отдельный экземпляр. Это дизайн безопасности на уровне платформы, а не выбор приложения или ограничение.
Почему мне предлагается пин-код вместо биометрического входа на устройстве Android?
Если биометрический вход завершается ошибкой на устройстве Android, приложение Authenticator предложит вам ввести ПИН-код. При следующем входе с помощью секретного ключа Authenticator продолжает запрашивать ПИН-код, а не биометрический вход. Аутентификатор периодически повторяет биометрический вход. Если биометрический вход успешно выполнен, он используется для последующих входов.
Что происходит с ключом доступа после изменения ПИН-кода или биометрического входа на устройстве Android?
Ключ доступа становится недействительным, если вы измените ПИН-код или смените способ биометрического входа с отпечатка пальца на распознавание лица, или наоборот. Если ключ доступа недопустим, необходимо выполнить вход с помощью другого метода, а затем создать новый секретный ключ.
Можно ли войти с помощью ключа доступа в Authenticator в Китае?
Ключи доступа недоступны для Microsoft Azure, управляемой 21Vianet. В iOS вы можете войти с помощью секретного ключа в Authenticator в другие глобальные организации, например во время путешествия. Дополнительные сведения см. в разделе "Скачать Microsoft Authenticator" в Китае.