Aktivera nycklar i Microsoft Authenticator (förhandsversion)
Den här artikeln innehåller steg för att aktivera och framtvinga användning av nycklar i Authenticator för Microsoft Entra-ID. Först uppdaterar du principen Autentiseringsmetoder så att slutanvändarna kan registrera sig och logga in med nyckelnycklar i Authenticator. Sedan kan du använda principer för autentisering med villkorsstyrd åtkomst för att framtvinga nyckelinloggning när användare får åtkomst till en känslig resurs.
Krav
- Multifaktorautentisering (MFA) i Microsoft Entra
- Android 14 och senare eller iOS 17 och senare
- En aktiv Internetanslutning på alla enheter som ingår i processen för registrering/autentisering av nycklar. Anslutning till dessa två slutpunkter måste tillåtas i din organisation för att aktivera registrering och autentisering mellan enheter:
- cable.ua5v.com
- cable.auth.com
- För registrering/autentisering mellan enheter måste båda enheterna ha Bluetooth aktiverat
Kommentar
Användarna måste installera den senaste versionen av Authenticator för Android eller iOS för att använda en nyckel.
Mer information om var du kan använda nycklar i Authenticator för att logga in finns i Stöd för FIDO2-autentisering med Microsoft Entra-ID.
Aktivera nycklar i Authenticator i administrationscentret
En administratör för autentiseringsprinciper måste samtycka till att tillåta autentisering i inställningarna för nyckel (FIDO2) i principen Autentiseringsmetoder. De måste uttryckligen tillåta AAGUID (Authenticator Attestation GUID) för Microsoft Authenticator så att användarna kan registrera nyckelnycklar i Authenticator-appen. Det finns ingen inställning för att aktivera nyckelnycklar i avsnittet Microsoft Authenticator-appen i principen Autentiseringsmetoder.
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Skyddsautentiseringsmetoder>>Autentiseringsmetodprincip.
Under metoden Passkey (FIDO2) väljer du Alla användare eller Lägg till grupper för att välja specifika grupper. Endast säkerhetsgrupper stöds.
På fliken Konfigurera :
Ställ in Tillåt självbetjäning inställd på Ja. Om värdet är Nej kan användarna inte registrera en nyckel med hjälp av säkerhetsinformation, även om nyckelnycklar (FIDO2) aktiveras av principen Autentiseringsmetoder.
Ange Framtvinga attestering till Ja.
När attestering är aktiverat i principen för nyckelnyckel (FIDO) försöker Microsoft Entra-ID:t verifiera att nyckeln har skapats. När användaren registrerar en nyckel i Authenticator kontrollerar att den legitima Microsoft Authenticator-appen har skapat nyckeln med hjälp av Apple- och Google-tjänster. Här är mer information:
iOS: Authenticator-attesteringen använder iOS App Attest-tjänsten för att säkerställa autentiseringsappens legitimitet innan nyckeln registreras.
Kommentar
Stöd för registrering av nycklar i Authenticator när attesteringen tillämpas distribueras för närvarande till iOS Authenticator-appanvändare. Stöd för registrering av attesterade nyckelnycklar i Authenticator på Android-enheter är tillgängligt för alla användare i den senaste versionen av appen.
Android:
- För attestering av uppspelningsintegritet använder Authenticator-attesteringen API:et för uppspelningsintegritet för att säkerställa autentiseringsappens legitimitet innan nyckeln registreras.
- För nyckelattestering använder Authenticator-attesteringen nyckelattestering av Android för att kontrollera att nyckeln som registreras är maskinvarubaserad.
Kommentar
För både iOS och Android förlitar sig Authenticator-attesteringen på Apple- och Google-tjänster för att verifiera äktheten hos Authenticator-appen. Tung tjänstanvändning kan göra att nyckelregistreringen misslyckas och användarna kan behöva försöka igen. Om Apple- och Google-tjänsterna är nere blockerar Authenticator-attesteringen registrering som kräver attestering tills tjänsterna återställs. Information om hur du övervakar statusen för Google Play-integritetstjänsten finns i Instrumentpanelen för Google Play-status. Information om hur du övervakar status för iOS App Attest-tjänsten finns i Systemstatus.
Viktiga begränsningar anger användbarheten för specifika nyckelnycklar för både registrering och autentisering. Ange Framtvinga nyckelbegränsningar till Ja för att endast tillåta eller blockera vissa nyckelnycklar, som identifieras av deras AAGUID:er.
Den här inställningen måste vara Ja och du måste lägga till Microsoft Authenticator AAGUIDs för att tillåta användare att registrera nyckelnycklar i Authenticator, antingen genom att logga in på Authenticator-appen eller genom att lägga till Nyckel i Microsoft Authenticator från sin säkerhetsinformation.
Säkerhetsinformation kräver att den här inställningen anges till Ja för att användarna ska kunna välja Nyckel i Authenticator och gå igenom ett dedikerat registreringsflöde för autentiseringsnycklar. Om du väljer Nej kan användarna fortfarande lägga till en nyckel i Microsoft Authenticator genom att välja metoden Säkerhetsnyckel eller nyckel , beroende på operativsystem och webbläsare. Vi förväntar oss dock inte att många användare ska identifiera och använda den metoden.
Om din organisation för närvarande inte tillämpar nyckelbegränsningar och redan har aktiv nyckelanvändning bör du samla in AAGUID:erna för de nycklar som används idag. Inkludera dessa användare och Authenticator AAGUIDs för att aktivera den här förhandsversionen. Du kan göra detta med ett automatiserat skript som analyserar loggar, till exempel registreringsinformation och inloggningsloggar.
Om du ändrar viktiga begränsningar och tar bort en AAGUID som du tidigare tillät kan användare som tidigare registrerat en tillåten metod inte längre använda den för inloggning.
Ange Begränsa specifika nycklar till Tillåt.
Välj Microsoft Authenticator (förhandsversion) för att automatiskt lägga till Authenticator-appen AAGUIDs i listan över nyckelbegränsningar, eller lägg manuellt till följande AAGUID:er för att tillåta användare att registrera nyckelnycklar i Authenticator genom att logga in på Authenticator-appen eller genom att gå igenom ett guidat flöde på sidan Säkerhetsinformation:
- Authenticator för Android: de1e552d-db1d-4423-a619-566b625cdc84
- Authenticator för iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Kommentar
Om du inaktiverar nyckelretrictioner kontrollerar du att du avmarkerar kryssrutan Microsoft Authenticator (förhandsversion) så att användarna inte uppmanas att konfigurera en nyckel i Authenticator-appen i Säkerhetsinformation.
När du har slutfört konfigurationen väljer du Spara.
Kommentar
Om du ser ett fel när du försöker spara ersätter du flera grupper med en enda grupp i en åtgärd och klickar sedan på Spara igen.
Aktivera nyckelnycklar i Authenticator med Hjälp av Graph Explorer
Förutom att använda administrationscentret för Microsoft Entra kan du även aktivera nyckelnycklar i Authenticator med hjälp av Graph Explorer. De som har tilldelats rollen Administratör för autentiseringsprincip kan uppdatera principen för autentiseringsmetoder så att AAGUID:er för autentisering tillåts.
Så här konfigurerar du principen med hjälp av Graph Explorer:
Logga in på Graph Explorer och godkänn behörigheterna Policy.Read.All och Policy.ReadWrite.AuthenticationMethod .
Hämta principen för autentiseringsmetoder:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2Om du vill inaktivera attesteringstvingande och tillämpa nyckelbegränsningar för att endast tillåta AAGUID för Microsoft Authenticator utför du en PATCH-åtgärd med hjälp av följande begärandetext:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": true, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" <insert previous AAGUIDs here to keep them stored in policy> ] } }Kontrollera att principen för lösenord (FIDO2) har uppdaterats korrekt.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Begränsa Bluetooth-användning till nycklar i Authenticator
Vissa organisationer begränsar Bluetooth-användningen, vilket omfattar användning av nyckelnycklar. I sådana fall kan organisationer tillåta nyckelnycklar genom att tillåta Bluetooth-parkoppling uteslutande med nyckelaktiverade FIDO2-autentiseringar. Mer information om hur du endast konfigurerar Bluetooth-användning för nyckelnycklar finns i Lösenord i Bluetooth-begränsade miljöer.
Ta bort en inloggningsnyckel
Om en användare tar bort en nyckel i Authenticator tas även nyckeln bort från användarens inloggningsmetoder. En administratör för autentiseringsprinciper kan också följa dessa steg för att ta bort en nyckel från användarens autentiseringsmetoder, men den tar inte bort nyckeln från Authenticator.
- Logga in på administrationscentret för Microsoft Entra och sök efter den användare vars nyckel måste tas bort.
- Välj Autentiseringsmetoder> högerklicka på FIDO2-säkerhetsnyckeln och välj Ta bort.
Kommentar
Om inte användaren själva initierade borttagningen av nyckeln i Authenticator måste de även ta bort nyckeln i Authenticator på enheten.
Framtvinga inloggning med nycklar i Authenticator
Om du vill få användarna att logga in med en nyckel när de får åtkomst till en känslig resurs använder du den inbyggda nätfiskeresistenta autentiseringsstyrkan eller skapar en anpassad autentiseringsstyrka genom att följa dessa steg:
Logga in på administrationscentret för Microsoft Entra som administratör för villkorsstyrd åtkomst.
Bläddra till Skyddsautentiseringsmetoder>>Autentiseringsstyrkor.
Välj Ny autentiseringsstyrka.
Ange ett beskrivande namn för din nya autentiseringsstyrka.
Du kan också ange en beskrivning.
Välj Nyckelnycklar (FIDO2) och välj sedan Avancerade alternativ.
Du kan antingen välja Nätfiskebeständig MFA-styrka eller lägga till AAGUID för nyckelnycklar i Authenticator:
- Authenticator för Android: de1e552d-db1d-4423-a619-566b625cdc84
- Authenticator för iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Välj Nästa och granska principkonfigurationen.