為您的組織啟用複雜金鑰 (FIDO2)
對於現今使用密碼的企業,複雜密鑰 (FIDO2) 提供順暢的方式,讓背景工作人員不需要輸入使用者名稱或密碼即可進行驗證。 複雜金鑰可為員工提供更佳的生產力,並提供更好的安全性。
本文列出在組織中啟用複雜金鑰的需求和步驟。 完成這些步驟之後,組織中的使用者就可以使用儲存在 FIDO2 安全性密鑰或 Microsoft Authenticator 上的複雜金鑰,註冊並登入其 Microsoft Entra 帳戶。
如需在 Microsoft Authenticator 中啟用通行密鑰的詳細資訊,請參閱 如何在 Microsoft Authenticator 中啟用通行密鑰。
如需複雜金鑰驗證的詳細資訊,請參閱 使用 Microsoft Entra ID 支援 FIDO2 驗證。
注意
Microsoft Entra ID 目前支持儲存在 FIDO2 安全性密鑰和 Microsoft Authenticator 上的裝置系結通行密鑰。 Microsoft 致力於使用複雜金鑰保護客戶和使用者。 我們正在為工作帳戶投資同步處理和裝置系結的通行密鑰。
需求
- Microsoft Entra 多重要素驗證 (MFA)。
- 相容的 FIDO2 安全性密鑰 或 Microsoft Authenticator。
- 支援複雜金鑰 (FIDO2) 驗證的裝置。 對於已加入 Microsoft Entra ID 的 Windows 裝置,最佳體驗是在 Windows 10 1903 版或更高版本上。 已加入混合式裝置必須執行 Windows 10 2004 版或更高版本。
Windows、macOS、Android 和 iOS 的主要案例都支援複雜密鑰。 如需支援案例的詳細資訊,請參閱 Microsoft Entra ID 中的 FIDO2 驗證支援。
啟用複雜金鑰驗證方法
以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[驗證方法]>[驗證方法原則]。
在 FIDO2 安全性金鑰方法下,選取 [所有使用者] 或 [新增群組] 以選取特定群組。 僅支援安全組。
儲存設定。
注意
如果您在嘗試儲存時看到錯誤,原因可能是因為新增的使用者或群組數目。 因應措施是,將您嘗試新增的使用者和群組取代為相同作業中的單一群組,然後按兩下 [ 再次儲存 ]。
複雜金鑰選擇性設定
[設定] 索引標籤上有一些選擇性設定,可協助管理如何使用複雜密鑰進行登入。
允許自助式設定 應該保持設定為 [是]。 如果設定為否,即使驗證方法原則啟用,您的使用者也無法透過 MySecurityInfo 註冊傳遞密鑰。
如果您的組織想要確保 FIDO2 安全性金鑰模型或複雜金鑰提供者是正版且來自合法廠商,則強制執行證明 應設定 為 [是 ]。
- 針對 FIDO2 安全性金鑰,我們需要使用 FIDO 聯盟元數據服務發佈及驗證安全性金鑰元數據,並傳遞 Microsoft 的另一組驗證測試。 如需詳細資訊,請參閱 成為 Microsoft 相容的 FIDO2 安全性密鑰廠商。
- 對於 Microsoft Authenticator 中的複雜密鑰,我們目前不支持證明。
警告
證明強制執行會控管是否只允許在註冊期間使用複雜金鑰。 如果 強制證明 在稍後設定 為 [是 ] 時,將無法在登入期間封鎖能夠註冊複雜密鑰的使用者。
密鑰限制原則
只有在貴組織只想要允許或不允許特定安全性密鑰模型或複雜密鑰提供者時,才應將強制執行密鑰限制 設定 為 [是 ],這些模型是由其 Authenticator 證明 GUID (AAGUID) 所識別。 您可以與安全性金鑰廠商合作,以判斷複雜金鑰的 AAGUID。 如果已經註冊通行密鑰,您可以檢視使用者的複雜金鑰驗證方法詳細數據,以尋找 AAGUID。
當 [強制執行密鑰限制] 設定為 [是] 時,如果複選框顯示在系統管理中心,您可以選取 [Microsoft Authenticator][預覽]。 這會自動在密鑰限制清單中為您填入 Authenticator 應用程式 AAGUID。
警告
金鑰限制可設定註冊和驗證的特定模型或提供者的可用性。 如果您變更密鑰限制並移除您先前允許的 AAGUID,則先前註冊允許方法的使用者無法再將它用於登入。
Passkey Authenticator 證明 GUID (AAGUID)
FIDO2 規格要求每個安全性密鑰廠商在註冊期間提供 Authenticator 證明 GUID (AAGUID)。 AAGUID 是指出密鑰類型的 128 位識別碼,例如 make 和 model。 桌面和行動裝置上的複雜密鑰提供者也應該在註冊期間提供 AAGUID。
注意
廠商必須確保 AAGUID 在所有基本上完全相同的安全性金鑰或複雜金鑰提供者之間都相同,且與所有其他安全性密鑰或複雜金鑰提供者的 AAGUID 不同(機率很高)。 若要確保這一點,應該隨機產生指定安全性密鑰模型或複雜密鑰提供者的 AAGUID。 如需詳細資訊,請參閱 Web 驗證:用於存取公鑰認證的 API - 層級 2 (w3.org)。
有兩種方式可以取得您的 AAGUID。 您可以詢問安全性金鑰或複雜金鑰提供者廠商,或檢視每個使用者密鑰的驗證方法詳細數據。
使用 Microsoft Graph API 啟用通行密鑰
除了使用 Microsoft Entra 系統管理中心之外,您也可以使用 Microsoft Graph API 來啟用通行密鑰。 若要啟用複雜密鑰,您必須將驗證方法原則更新為全域 管理員 istrator 或驗證原則 管理員 istrator。
若要使用 Graph 總管設定原則:
登入 Graph 總管 並同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 許可權。
擷取驗證方法原則:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2若要停用證明強制執行並強制執行密鑰限制,只允許 RSA DS100 的 AAGUID,請使用下列要求本文執行 PATCH 作業:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }請確定傳遞金鑰 (FIDO2) 原則已正確更新。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
刪除密鑰
若要移除與使用者帳戶相關聯的複雜金鑰,請從使用者的驗證方法中刪除密鑰。
登入 Microsoft Entra 系統管理中心 ,並搜尋需要移除其複雜密鑰的使用者。
選取 [驗證方法> ] 以滑鼠右鍵按兩下 [傳遞金鑰][裝置系結], 然後選取 [ 刪除]。
強制執行通行金鑰登入
若要讓使用者在存取敏感性資源時使用複雜金鑰登入,您可以:
使用內建的網路釣魚防護驗證強度
Or
建立自訂驗證強度
下列步驟示範如何建立自定義驗證強度條件式存取原則,只允許特定安全性密鑰模型或複雜密鑰提供者的通行密鑰登入。 如需 FIDO2 提供者的清單,請參閱 目前的 FIDO2 硬體廠商合作夥伴。
- 以條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>驗證方法>驗證強度]。
- 選取 [ 新增驗證強度]。
- 提供 新驗證強度的名稱 。
- 選擇性地提供 [描述]。
- 選取 [傳遞金鑰][FIDO2]。
- 或者,如果您想要依特定AAGUID限制,請選取 [進階選項 ],然後 新增AAGUID。 輸入您允許的 AAGUID(s)。 選取 [儲存]。
- 選擇 [ 下一步 ] 並檢閱原則設定。
已知問題
B2B 共同作業使用者
資源租使用者中的 B2B 共同作業用戶不支援註冊 FIDO2 認證。
安全性金鑰布建
管理員 無法使用安全性金鑰的佈建和取消佈建。
UPN 變更
如果使用者的 UPN 變更,您就無法再修改複雜金鑰以考慮變更。 如果使用者有通行密鑰,他們必須登入 「我的安全性」資訊、刪除舊的複雜密鑰,然後新增密碼。