為您的組織啟用通行密鑰 (FIDO2)

對於目前使用密碼的企業，密鑰 (FIDO2) 提供順暢的方式讓工作者進行驗證，而不需要輸入使用者名稱或密碼。 密鑰 (FIDO2) 可為工作者提供更佳的生產力，並提供更優異的安全性。

本文列出在組織中啟用密鑰的需求和步驟。 完成這些步驟之後，組織中的使用者就可以使用儲存在 FIDO2 安全性密鑰或 Microsoft Authenticator 上的複雜金鑰，註冊並登入其Microsoft Entra 帳戶。

如需在 Microsoft Authenticator 中啟用複雜密鑰的詳細資訊，請參閱 如何在 Microsoft Authenticator 中啟用複雜密鑰。

如需有關通行密钥驗證的詳細資訊，請參閱 Microsoft Entra ID 支援 FIDO2 驗證。

註

Microsoft Entra ID 目前支援將與裝置綁定的通行金鑰儲存於 FIDO2 安全金鑰和 Microsoft Authenticator 中。 Microsoft 致力於利用通行金鑰保護客戶和使用者。 我們正在為工作帳戶投入同步和與裝置綁定的通行密鑰。

需求

• 用戶必須在過去五分鐘內完成多重要素驗證（MFA），才能註冊通行密鑰（FIDO2）。
• 使用者需要一個符合 Microsoft Entra ID 或 Microsoft Authenticator 證明資格的 FIDO2 安全性金鑰。
• 裝置必須支援複雜金鑰 （FIDO2） 驗證。 針對已聯結 Microsoft Entra ID 的 Windows 裝置，在 Windows 10 1903 版或更高版本可享有最佳體驗。 已使用混合式聯結的裝置必須執行 Windows 10 2004 版或更高版本。

Windows、macOS、Android 和 iOS 的主要應用情境都支援通行密碼 (FIDO2)。 如需支援案例的詳細資訊，請參閱 Microsoft Entra ID 中的 FIDO2 驗證支援。

註

即將推出支援 Android 上 Edge 的同一設備註冊。

通行密鑰 (FIDO2) 驗證器證明 GUID (AAGUID)

FIDO2 規範要求每個安全金鑰供應商在註冊時提供一個驗證器證明唯一標識碼 (AAGUID)。 AAGUID 是表示金鑰類型的 128 個位元識別碼，例如品牌和型號。 桌上型和行動裝置的密鑰 (FIDO2) 提供者，應該也會在註冊期間提供 AAGUID。

註

廠商必須確定 AAGUID 在該廠商所製造的所有本質上相同的安全性金鑰或密鑰 (FIDO2) 是相同的，以及與所有其他類型安全性金鑰或密鑰 (FIDO2) 提供者的 AAGUID 不同 (機率很高)。 若要確保這一點，應該隨機產生指定之安全性金鑰模型或密鑰 (FIDO2) 提供者的 AAGUID。 如需詳細資訊，請參閱 Web 驗證：用於存取公鑰認證的 API - 層級 2 （w3.org） 。

您可以與安全性金鑰廠商合作，以判斷通行密鑰的 AAGUID （FIDO2），或查看 具備與 Microsoft Entra ID 驗證資格的 FIDO2 安全性金鑰。 如果密鑰 (FIDO2) 已經註冊，您也可以透過檢視使用者的密鑰 (FIDO2) 驗證方法詳細資料來找到 AAGUID。

啟用密鑰 (FIDO2) 驗證方法

1. 至少以驗證原則管理員的身份登入Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>驗證方法>原則。

3. 在 Passkey （FIDO2） 方法下，將切換設定為 [啟用]。 選取 [所有使用者]或 [新增群組]以選取特定群組。 僅支援安全組。

4. 在 [設定] 頁籤上：

   • 將 [允許自助設定] 設定為 [是]。 如果設定為 No，使用者就無法使用 安全性資訊來註冊通行碼，即使驗證方法原則已啟用通行碼（FIDO2）。

   • [強制證明] 應設定為 [是]，如果您的組織想要確保 FIDO2 安全性金鑰模型或密鑰提供者是正版，而且來自合法廠商。

     • 針對 FIDO2 安全性金鑰，我們需要使用 FIDO 聯盟元數據服務發佈和驗證安全性密鑰元數據，並符合Microsoft相容性的需求。 如需詳細資訊，包括Microsoft兼容安全性密鑰模型的清單，請參閱 成為Microsoft相容的 FIDO2 安全性密鑰廠商。
     • Microsoft Authenticator 中的通行密鑰也支援證明。 如需詳細資訊，請參閱 通行密鑰證明如何與 Authenticator 配合使用。

     警告

     憑證強制執行控管是否僅在註冊期間允許使用通行密鑰（FIDO2）。 如果 [強制證明]稍後設定為 [是]，使用者在未提供證明註冊密鑰 (FIDO2) 的情況下，也不會遭到登入封鎖。

   密鑰限制原則

   • 只有當貴組織想要允許或不允許特定的安全性金鑰模型或密鑰提供者 (由其 AAGUID 識別) 時，才應該將 [強制執行金鑰限制] 設定為 [是]。 您可以與安全性金鑰廠商合作來判斷通行密鑰的 AAGUID。 如果密鑰已經註冊，您也可以透過檢視使用者的密鑰驗證方法詳細資料來找到 AAGUID。

   警告

   使用限制會設定特定模型或提供者在註冊和驗證中的可用性。 如果您變更金鑰限制並移除您先前允許的 AAGUID，則先前註冊允許方法的使用者會無法再將其用來登入。

   

5. 完成設定之後，請選取 [儲存]。

   註

   如果在嘗試儲存時看到錯誤，請在一個作業中以單一群組取代多個群組，然後再次按一下 [儲存]。

使用 Microsoft Graph API 佈建 FIDO2 安全性金鑰 (預覽)

目前處於預覽狀態，系統管理員可以使用 Microsoft Graph 和自定義用戶端代表使用者佈建 FIDO2 安全性密鑰。 布建需要具有 UserAuthenticationMethod.ReadWrite.All 許可權的 驗證系統管理員角色 或用戶端應用程式。 佈建改進包括：

• 從 Microsoft Entra 識別碼要求 WebAuthn 建立選項 的能力
• 能夠使用 Microsoft Entra ID 直接註冊佈建的安全性密鑰

透過這些新的 API，組織可以建立自己的用戶端應用程式，代表使用者在安全性密鑰上配置通行碼 (FIDO2) 憑證。 若要簡化此過程，需要三個主要步驟。

1. 為使用者請求 建立選項：Microsoft Entra ID 會傳回用戶端配置通行碼（FIDO2）憑證所需的資料。 這包括使用者資訊、信賴憑證者 ID、認證原則需求、演算法、註冊挑戰等資訊。
2. 佈建通行碼（FIDO2）認證憑證，使用建立選項：使用 creationOptions 和支援用戶端驗證器通訊協定（CTAP）的用戶端來配置憑證。 在此步驟中，您需要插入安全性密鑰並設定 PIN。
3. 註冊佈建的認證至 Microsoft Entra ID：使用佈建過程的格式化輸出，將必要的數據提供給 Microsoft Entra ID，以便為目標使用者註冊密碼金鑰（FIDO2）認證。

概念圖，顯示設定通行密鑰（FIDO2）所需的步驟。

使用 Microsoft Graph API 啟用密鑰 (FIDO2)

除了使用 Microsoft Entra 系統管理中心之外，您也可以使用 Microsoft Graph API 啟用密鑰 (FIDO2)。 若要啟用通行密鑰 (FIDO2)，您需要具有至少驗證原則管理員的身分，才能更新驗證方法原則。

若要使用 Graph Explorer 來配置政策：

1. 登入 Graph Explorer 並同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 權限。

2. 取得驗證方法政策：

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. 若要停用憑證驗證的強制性執行並對金鑰設置限制，例如僅允許 RSA DS100 的 AAGUID，請使用下列要求本文執行 PATCH 作業：

   PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. 請確定密鑰 (FIDO2) 政策已正確更新。

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

刪除密鑰 (FIDO2)

若要移除與使用者帳戶相關聯的密鑰 (FIDO2)，請從使用者的驗證方法中刪除該金鑰。

1. 登入 [Microsoft Entra 系統管理中心]，並搜尋需要移除其密鑰 (FIDO2) 的使用者。
2. 選取 [驗證方法]>，以滑鼠右鍵按一下 [密鑰 (裝置繫結)]，然後選取 [刪除]。

強制執行密鑰 (FIDO2) 登入

若要讓使用者在存取敏感性資源時使用密鑰 (FIDO2) 登入，您可以：

• 使用內建的防網路釣魚驗證強度

  或

• 建立自訂驗證強度

下列步驟示範如何建立自定義驗證強度。 這是允許僅使用特定安全性密鑰模型或 FIDO2 提供者的通行碼進行登入的條件式存取原則。 如需 FIDO2 提供者的清單，請參閱 符合Microsoft Entra 標識符證明資格的 FIDO2 安全性密鑰。

1. 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 Entra ID>驗證方法>驗證強度。
3. 選取 [新驗證強度]。
4. 提供新驗證強度的名稱。
5. 選擇性地提供 [描述]。
6. 選取通行金鑰 (FIDO2)。
7. 或者，如果您想要限制特定的AAGUID，請選取 [ 進階選項>][新增AAGUID]。 輸入 AAGUID，然後選取 [ 儲存]。
8. 選擇 [下一步] 並檢閱原則設定。

已知問題

安全性金鑰佈建

系統管理員提供的安全性金鑰目前處於預覽階段。 請參閱 Microsoft Graph 和自定義用戶端，代表使用者布建 FIDO2 安全性密鑰。

訪客使用者

內部或外部來賓使用者不支援註冊複雜密鑰 （FIDO2） 認證，包括資源租使用者中的 B2B 共同作業使用者。

UPN 變更

如果使用者的 UPN 變更，您就無法因應變更再修改密鑰 (FIDO2)。 如果使用者有密鑰 (FIDO2)，則必須登入 [安全性資訊]、刪除舊的密鑰 (FIDO2)，然後新增一個密鑰。

下一步

原生應用程式和瀏覽器支援通行密鑰（FIDO2）無密碼驗證

FIDO2 安全性密鑰 Windows 10 登入

啟用內部部署資源的 FIDO2 驗證

代表用戶註冊安全性金鑰

深入瞭解裝置註冊

深入瞭解Microsoft Entra 多重要素驗證