Aktivera lösenord (FIDO2) för din organisation

För företag som använder lösenord idag är lösenord (FIDO2) ett smidigt sätt för arbetare att autentisera utan att ange ett användarnamn eller lösenord. Nyckelnycklar (FIDO2) ger bättre produktivitet för arbetare och bättre säkerhet.

Den här artikeln listar krav och steg för att aktivera passnycklar i din organisation. När du har slutfört de här stegen kan användare i din organisation sedan registrera sig och logga in på sitt Microsoft Entra-konto med hjälp av en nyckel som lagras på en FIDO2-säkerhetsnyckel eller i Microsoft Authenticator.

För mer information om hur du aktiverar lösenordslösa inloggningar i Microsoft Authenticator, se Så här aktiverar du lösenordslösa inloggningar i Microsoft Authenticator.

Mer information om nyckelautentisering finns i Stöd för FIDO2-autentisering med Microsoft Entra-ID.

Kommentar

Microsoft Entra-ID stöder för närvarande enhetsbundna nycklar som lagras på FIDO2-säkerhetsnycklar och i Microsoft Authenticator. Microsoft har åtagit sig att skydda kunder och användare med nyckelnycklar. Vi investerar i både synkroniserade och enhetsbundna nyckelnycklar för arbetskonton.

Krav

• Användarna måste slutföra multifaktorautentisering (MFA) under de senaste fem minuterna innan de kan registrera en nyckel (FIDO2).
• Användarna behöver en FIDO2-säkerhetsnyckel som är berättigad till attestering med Microsoft Entra-ID eller Microsoft Authenticator.
• Enheter måste ha stöd för autentisering med nyckel (FIDO2). För Windows-enheter som är anslutna till Microsoft Entra-ID är den bästa upplevelsen i Windows 10 version 1903 eller senare. Hybrid-anslutna enheter måste köra Windows 10 version 2004 eller senare.

Nycklar (FIDO2) stöds i viktiga scenarier på Windows, macOS, Android och iOS. Mer information om scenarier som stöds finns i Stöd för FIDO2-autentisering i Microsoft Entra-ID.

Kommentar

Stöd för registrering av samma enhet i Edge på Android kommer snart.

Passnyckel (FIDO2) Autentiserar Attesterings-GUID (AAGUID)

FIDO2-specifikationen kräver att varje leverantör av säkerhetsnycklar tillhandahåller ett Authenticator Attestation GUID (AAGUID) under registreringen. En AAGUID är en 128-bitars identifierare som anger nyckeltypen, till exempel märke och modell. Nyckelleverantörer (FIDO2) på stationära och mobila enheter förväntas också tillhandahålla en AAGUID under registreringen.

Kommentar

Leverantören måste se till att AAGUID är identiskt för alla väsentligen identiska säkerhetsnycklar eller nyckelleverantörer (FIDO2) som tillhandahålls av leverantören och skiljer sig (med hög sannolikhet) från AAGUID för alla andra typer av säkerhetsnycklar eller nyckelleverantörer (FIDO2). För att säkerställa detta bör AAGUID för en viss säkerhetsnyckelmodell eller nyckelprovider (FIDO2) genereras slumpmässigt. Mer information finns i Webbautentisering: Ett API för åtkomst till autentiseringsuppgifter för offentlig nyckel – nivå 2 (w3.org).

Du kan arbeta med din säkerhetsnyckelleverantör för att fastställa AAGUID för nyckeln (FIDO2) eller se FIDO2-säkerhetsnycklar som är berättigade till attestering med Microsoft Entra-ID. Om nyckeln (FIDO2) redan är registrerad kan du hitta AAGUID genom att visa autentiseringsmetodinformationen för nyckeln (FIDO2) för användaren.

Aktivera autentiseringsmetod för nyckel (FIDO2)

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

2. Bläddra till Entra ID>Autentiseringsmetoder>Policy.

3. Under metoden Passkey (FIDO2) anger du växlingsknappen till Aktivera. Välj Alla användare eller Lägg till grupper för att välja specifika grupper. Endast säkerhetsgrupper stöds.

4. På fliken Konfigurera :

   • Ställ in Tillåt självbetjäning till Ja. Om värdet är Nej kan användarna inte registrera en nyckel med hjälp av säkerhetsinformation, även om nyckelnycklar (FIDO2) aktiveras av principen Autentiseringsmetoder.

   • Ange Framtvinga attestering till Ja om din organisation vill vara säker på att en FIDO2-säkerhetsnyckelmodell eller nyckelprovider är äkta och kommer från den legitima leverantören.

     • För FIDO2-säkerhetsnycklar kräver vi att säkerhetsnyckelmetadata publiceras och verifieras med FIDO Alliance Metadata Service och även uppfyller Microsofts krav på kompatibilitet. Mer information, inklusive en lista över Microsoft-kompatibla säkerhetsnyckelmodeller, finns i Bli en Microsoft-kompatibel FIDO2-säkerhetsnyckelleverantör.
     • Nycklar i Microsoft Authenticator stöder också attestering. Mer information finns i Så här fungerar nyckelattestering med Authenticator.

     Varning

     Tillämpning av attesteringskrav styr om en lösenordslös nyckel (FIDO2) endast tillåts under registreringen. Användare som registrerar en nyckel (FIDO2) utan attestering blockeras inte från inloggning om Framtvinga attestering är inställt på Ja senare.

   Nyckelbegränsningspolicy

   • Framtvinga nyckelbegränsningar bör endast anges till Ja om din organisation bara vill tillåta eller neka vissa säkerhetsnyckelmodeller eller nyckelproviders, som identifieras av deras AAGUID. Du kan arbeta med din säkerhetsnyckelleverantör för att fastställa nyckelns AAGUID. Om nyckeln redan är registrerad kan du hitta AAGUID genom att visa autentiseringsmetodinformationen för nyckeln för användaren.

   Varning

   Viktiga begränsningar anger användbarheten för specifika modeller eller leverantörer för både registrering och autentisering. Om du ändrar viktiga begränsningar och tar bort en AAGUID som du tidigare tillät kan användare som tidigare registrerat en tillåten metod inte längre använda den för inloggning.

   

5. När du har slutfört konfigurationen väljer du Spara.

   Kommentar

   Om du ser ett fel när du försöker spara ersätter du flera grupper med en enda grupp i en åtgärd och klickar sedan på Spara igen.

Etablera FIDO2-säkerhetsnycklar med hjälp av Microsoft Graph API (förhandsversion)

Administratörer kan för närvarande använda Microsoft Graph och anpassade klienter för att etablera FIDO2-säkerhetsnycklar för användarnas räkning. Etablering kräver rollen Autentiseringsadministratör eller ett klientprogram med behörigheten UserAuthenticationMethod.ReadWrite.All. Förbättringarna av tillhandahållandet omfattar:

• Möjlighet att begära alternativ för att skapa WebAuthn från Microsoft Entra-ID
• Möjligheten att registrera den etablerade säkerhetsnyckeln direkt med Microsoft Entra-ID

Med dessa nya API:er kan organisationer skapa sina egna klienter för att etablera autentiseringsuppgifter för lösenord (FIDO2) på säkerhetsnycklar för en användares räkning. För att förenkla den här processen krävs tre huvudsteg.

1. Skapa begäranAlternativ för en användare: Microsoft Entra-ID returnerar nödvändiga data för att klienten ska kunna etablera en nyckelautentisering (FIDO2). Detta omfattar information som användarinformation, förlitande parts-ID, principkrav för autentiseringsuppgifter, algoritmer, registreringsutmaningar med mera.
2. Etablera autentiseringsuppgifterna för nyckeln (FIDO2) med skapandealternativen: Använd creationOptions och en klient som stöder CTAP (Client to Authenticator Protocol) för att etablera autentiseringsuppgifterna. Under det här steget måste du infoga säkerhetsnyckeln och ange en PIN-kod.
3. Registrera de etablerade autentiseringsuppgifterna med Microsoft Entra-ID: Använd formaterade utdata från etableringsprocessen för att ge Microsoft Entra-ID de data som krävs för att registrera autentiseringsuppgifterna för nyckeln (FIDO2) för målanvändaren.

Aktivera lösenordsnycklar (FIDO2) med Microsoft Graph API

Förutom att använda administrationscentret för Microsoft Entra kan du även aktivera nyckelnycklar (FIDO2) med hjälp av Microsoft Graph-API:et. Om du vill aktivera lösenordsfria inloggningar (FIDO2) måste du uppdatera policyn för autentiseringsmetoder som minst en Administratör för autentiseringspolicy.

Så här konfigurerar du principen med hjälp av Graph Explorer:

1. Logga in på Graph Explorer och godkänn behörigheterna Policy.Read.All och Policy.ReadWrite.AuthenticationMethod .

2. Hämta policyn för autentiseringsmetoder:

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Om du vill inaktivera attesteringstvingande och tillämpa nyckelbegränsningar för att endast tillåta AAGUID för RSA DS100, till exempel, utför du en PATCH-åtgärd med hjälp av följande begärandetext:

   PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Kontrollera att principen för lösenord (FIDO2) har uppdaterats korrekt.

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Ta bort en nyckel (FIDO2)

Om du vill ta bort en nyckel (FIDO2) som är associerad med ett användarkonto tar du bort den från användarens autentiseringsmetod.

1. Logga in på administrationscentret för Microsoft Entra och sök efter den användare vars nyckel (FIDO2) måste tas bort.
2. Välj Autentiseringsmetoder> högerklicka på Nyckel (enhetsbunden) och välj Ta bort.

Framtvinga inloggning med nyckel (FIDO2)

Om du vill göra så att användarna loggar in med en nyckel (FIDO2) när de får åtkomst till en känslig resurs kan du:

• Använda en inbyggd nätfiskebeständig autentiseringsstyrka

  Eller

• Skapa en anpassad autentiseringsstyrka

Följande steg visar hur du skapar en anpassad autentiseringsstyrka. Det är en princip för villkorsstyrd åtkomst som tillåter inloggning med nyckel (FIDO2) för endast en specifik säkerhetsnyckelmodell eller nyckelleverantör (FIDO2). En lista över FIDO2-leverantörer finns i FIDO2-säkerhetsnycklar som är berättigade till attestering med Microsoft Entra-ID.

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
2. Bläddra till Entra ID-autentiseringsmetoder>>Autentiseringsstyrkor.
3. Välj Ny autentiseringsstyrka.
4. Ange ett namn för din nya autentiseringsstyrka.
5. Du kan också ange en beskrivning.
6. Välj Lösenord (FIDO2).
7. Om du vill begränsa en specifik AAGUID kan du välja Avancerade alternativ>Lägg till AAGUID. Ange AAGUID och välj Spara.
8. Välj Nästa och granska principkonfigurationen.

Kända problem

Tilldelning av säkerhetsnyckel

Administratörsetablering av säkerhetsnycklar finns i förhandsversion. Se Microsoft Graph och anpassade klienter för att etablera FIDO2-säkerhetsnycklar för användarnas räkning.

Gästanvändare

Registrering av autentiseringsuppgifter för nyckel (FIDO2) stöds inte för interna eller externa gästanvändare, inklusive B2B-samarbetsanvändare i resursklientorganisationen.

UPN-ändringar

Om en användares UPN ändras kan du inte längre ändra lösenord (FIDO2) för att ta hänsyn till ändringen. Om användaren har en nyckel (FIDO2) måste de logga in på Säkerhetsinformation, ta bort den gamla nyckeln (FIDO2) och lägga till en ny.

Nästa steg

Intern app- och webbläsarstöd för lösenordslös autentisering (FIDO2)

FIDO2-säkerhetsnyckel Windows 10 logga in

Aktivera FIDO2-autentisering till lokala resurser

Registrera säkerhetsnycklar för användarnas räkning

Läs mer om enhetsregistrering

Läs mer om Multifaktorautentisering i Microsoft Entra