Authenticator'da geçiş anahtarlarını etkinleştir

Bu makalede, Microsoft Entra Id için Authenticator'da geçiş anahtarlarının kullanımını etkinleştirme ve zorunlu kılma adımları listelanmaktadır. İlk olarak, kimlik doğrulama yöntemleri ilkesini kullanıcıların Authenticator'da geçiş anahtarlarıyla kaydolmasına ve oturum açmasına izin verecek şekilde güncelleştirirsiniz. Daha sonra, kullanıcılar hassas bir kaynağa eriştiğinde geçiş anahtarıyla oturum açmayı zorunlu kılmak için Koşullu Erişim kimlik doğrulaması güçlü ilkeleri kullanabilirsiniz.

Gereksinimler

• Microsoft Entra çok faktörlü kimlik doğrulaması (MFA).
• Android 14 ve üzeri veya iOS 17 ve üzeri.
• Geçiş anahtarı kayıt/kimlik doğrulama işleminin parçası olan herhangi bir cihazda etkin bir İnternet bağlantısı. Kuruluşunuzda cihazlar arası kaydı ve kimlik doğrulamasını etkinleştirmek için bu iki uç noktaya bağlantıya izin verilmelidir:
  • https://cable.ua5v.com
  • https://cable.auth.com
• Cihazlar arası kayıt/kimlik doğrulaması için her iki cihazda da Bluetooth etkinleştirilmelidir.

Authenticator'da oturum açmak için geçiş anahtarlarını nerede kullanabileceğiniz hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id ile FIDO2 kimlik doğrulaması desteği.

Yönetim merkezinde Authenticator'da geçiş tuşlarını etkinleştirme

Kimlik Doğrulama İlkesi Yöneticisinin Kimlik Doğrulama yöntemleri ilkesinin Passkey (FIDO2) ayarlarında Authenticator'a izin vermek için onay alması gerekir. Kullanıcıların Authenticator uygulamasına geçiş anahtarları kaydetmesini sağlamak için Authenticator Için Authenticator Kanıtlama GUID'lerine (AAGUID) açıkça izin vermeleri gerekir. Kimlik doğrulama yöntemleri ilkesinin Microsoft Authenticator uygulaması bölümünde parola anahtarlarını etkinleştirmek için bir ayar yoktur.

1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.

2. > Kimlik doğrulama yöntemi ilkesine göz atın.

3. Passkey (FIDO2) yönteminin altında Tüm kullanıcılar'ı veya Grup ekle'yi seçerek belirli grupları seçin. Yalnızca güvenlik grupları desteklenir.

4. Yapılandır sekmesinde:

   • Self servis ayarına izin ver'i Evet olarakayarlayın. Yok olarak ayarlandıysa, kimlik doğrulama yöntemleri ilkesi tarafından geçiş anahtarları (FIDO2) etkinleştirilse bile, kullanıcılar Güvenlik bilgilerikullanarak geçiş anahtarını kaydedemez.

   • Kanıtlamayı zorla seçeneğini Evet olarak ayarlayın.

     Geçiş anahtarı (FIDO) ilkesinde kanıtlama etkinleştirildiğinde, Microsoft Entra Kimliği oluşturulan geçiş anahtarının meşruluğunu doğrulamaya çalışır. Kullanıcı kimlik doğrulayıcıya bir geçiş anahtarı kaydederken, kanıt, geçerli kimlik doğrulayıcı uygulamasının Apple ve Google hizmetlerini kullanarak geçiş anahtarını oluşturduğunu doğrular. Diğer ayrıntılar şunlardır:

     • iOS: Kimlik doğrulayıcı kanıtlama, geçiş anahtarını kaydetmeden önce Authenticator uygulamasının meşruluğunu sağlamak için iOS App Attest hizmetini kullanır.

       Not

       Kanıtlama uygulandığında Kimlik Doğrulayıcı'ya geçiş anahtarları kaydetme desteği şu anda iOS Authenticator uygulaması kullanıcılarına dağıtılıyor. Android cihazlarda Authenticator'da doğrulanmış geçiş anahtarları kaydetme desteği, uygulamanın en son sürümündeki tüm kullanıcılar tarafından kullanılabilir.

     • Android:

       • Play Integrity kanıtlaması için Authenticator kanıtlaması, kimlik doğrulama anahtarını kaydetmeden önce Authenticator uygulamasının meşruluğunu sağlamak için Play Integrity API'sini kullanır.
       • Anahtar kanıtlama için Authenticator kanıtlama, android tarafından kaydedilen geçiş anahtarının donanım destekli olduğunu doğrulamak için anahtar kanıtlamasını kullanır.

     Not

     Authenticator kanıtlama, hem iOS hem de Android için Authenticator uygulamasının orijinalliğini doğrulamak için Apple ve Google hizmetlerine dayanır. Ağır hizmet kullanımı geçiş anahtarı kaydının başarısız olmasına neden olabilir ve kullanıcıların yeniden denemesi gerekebilir. Apple ve Google hizmetleri çalışmıyorsa Authenticator kanıtlama, hizmetler geri yüklenene kadar kanıtlama gerektiren kaydı engeller. Google Play Bütünlük hizmetinin durumunu izlemek için bkz . Google Play Durum Panosu. iOS Uygulama Testi hizmetinin durumunu izlemek için bkz . Sistem Durumu.

   • Anahtar kısıtlamaları, hem kayıt hem de kimlik doğrulaması için belirli geçiş anahtarlarının kullanılabilirliğini ayarlar. AAGUID'leri tarafından tanımlanan yalnızca belirli geçiş anahtarlarına izin vermek veya bunları engellemek için Anahtar kısıtlamalarını zorunlu kılmaEvet olarak ayarlayın.

     Bu ayar Evetolmalıdır ve kullanıcıların, ya Authenticator uygulamasına giriş yaparak ya da Güvenlik bilgilerialtında Microsoft Authenticator Passkey ekleyerek, Authenticator'da geçiş anahtarlarını kaydetmesine izin vermek için Authenticator AAGUID'lerini eklemeniz gerekir.

     Güvenlik bilgileri bu ayarın Evet olarak ayarlanmasını gerektirir; böylece kullanıcılar Authenticator Geçiş Anahtarı'nı seçebilir ve ayrılmış authenticator geçiş anahtarı kayıt akışından geçebilir. Yok seçerseniz, kullanıcılar yine de işletim sistemlerine ve tarayıcılarına bağlı olarak Güvenlik anahtarı veya geçiş anahtarı yöntemini seçerek Authenticator'a geçiş anahtarı ekleyebilir. Ancak, çok fazla kullanıcının bu yöntemi bulmasını ve kullanmasını beklemiyoruz.

     Kuruluşunuz şu anda anahtar kısıtlamaları uygulamıyorsa ve zaten etkin bir geçiş anahtarı kullanımına sahipse, kullanılan geçiş anahtarlarının AAGUID'lerini toplayın. Authenticator AAGUID'lerine bu geçiş anahtarı AAGUID'lerini ekleyin.

     Kiracınızda kullanılan AAGUID'leri bulmak için bir PowerShell betiği kullanabilirsiniz. Daha fazla bilgi için bkz. Find AAGUIDs.

     Anahtar kısıtlamalarını değiştirir ve daha önce izin verilen bir AAGUID'yi kaldırırsanız, daha önce izin verilen bir yöntemi kaydeden kullanıcılar artık bunu oturum açmak için kullanamaz.

   • Belirli anahtarları kısıtla seçeneğini İzin Ver olarak ayarlayın.

   • Authenticator uygulaması AAGUIDs'i anahtar kısıtlamaları listesine otomatik olarak eklemek için Microsoft Authenticator seçin. Ayrıca, kullanıcıların Authenticator uygulamasında oturum açarak veya Güvenlik bilgilerirehberli bir akış izleyerek Authenticator'a geçiş anahtarları kaydetmesini sağlamak için aşağıdaki AAGUID'leri el ile ekleyebilirsiniz.

     • Android için Authenticator: de1e552d-db1d-4423-a619-566b625cdc84
     • iOSiçin Authenticator :

     Not

     Anahtar kısıtlamalarını kapatırsanız, kullanıcıların Güvenlik bilgileriüzerinde Authenticator uygulamasında bir geçiş anahtarı ayarlamaları gerektiğine dair bir isteğin olmaması için Microsoft Authenticator onay kutusunu işaretli olmadığından emin olun.

   

5. Yapılandırmayı tamamladıktan sonra Kaydet'i seçin.

   Kaydetmeyi denediğinizde bir hata görürseniz, birden çok grubu tek bir işlemde bir grup haline getirin ve ardından Kaydet seçeneğini yeniden seçin.

Graph Explorer'ı kullanarak Authenticator'da geçiş anahtarlarını etkinleştirme

Microsoft Entra yönetim merkezini kullanmanın yanı sıra, Grafik Gezgini'ni kullanarak Authenticator'da geçiş tuşlarını da etkinleştirebilirsiniz. Size en az Kimlik Doğrulama İlkesi Yöneticisi rolü atanırsa Kimlik Doğrulama yöntemleri ilkesini Authenticator için AAGUID'lere izin verecek şekilde güncelleştirebilirsiniz.

Graph Gezgini'ni kullanarak ilkeyi yapılandırmak için:

1. Graph Gezgini'nde oturum açın ve Policy.Read.All ve Policy.ReadWrite.AuthenticationMethod izinlerini onaylayın.

2. Kimlik doğrulama yöntemleri ilkesini alın:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Kanıtlama zorlamasını devre dışı bırakmak ve sadece Authenticator için AAGUID'lerin kullanılmasına izin veren anahtar kısıtlamalarını uygulamak amacıyla, aşağıdaki istek gövdesini kullanarak bir PATCH işlemi gerçekleştirin.

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Geçiş anahtarı (FIDO2) ilkesinin düzgün güncelleştirildiğinden emin olun.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

AAGUID'leri bulma

Kiracı ortamında kayıtlı tüm geçiş anahtarlarının AAGUID'lerini listelemek için GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 Microsoft Graph PowerShell betiğini kullanın.

Bu betiğin gövdesini GetRegisteredPasskeyAAGUIDsForAllUsers.ps1ismini taşıyan bir dosyaya kaydedin.

# Disconnect from Microsoft Graph
Disconnect-MgGraph

# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'

# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"

# Initialize the file with a header
Set-Content -Path $file -Value '---'

# Retrieve all users
$UserArray = Get-MgBetaUser -All

# Iterate through each user
foreach ($user in $UserArray) {
    # Retrieve Passkey authentication methods for the user
    $fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id

    if ($fidos -eq $null) {
        # Log and write to file if no Passkey methods are found
        Write-Host "User object ID $($user.Id) has no Passkey"
        Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
    } else {
        # Iterate through each Passkey method
        foreach ($fido in $fidos) {
            # Log and write to file the Passkey details
            Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
            Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
        }
    }

    # Log and write a separator to file
    Write-Host "==="
    Add-Content -Path $file -Value "==="
}

Authenticator'da Bluetooth kullanımını geçiş anahtarlarıyla kısıtlama

Bazı kuruluşlar, geçiş anahtarlarının kullanımını da içeren Bluetooth kullanımını kısıtlar. Böyle durumlarda kuruluşlar, bluetooth eşleştirmeye yalnızca geçiş anahtarı etkin FIDO2 kimlik doğrulayıcıları ile izin vererek geçiş anahtarlarına izin verebilir. Bluetooth kullanımını yalnızca geçiş anahtarları için yapılandırma hakkında daha fazla bilgi için bkz . Bluetooth kısıtlı ortamlarda geçiş anahtarları.

Geçiş anahtarını silme

Bir kullanıcı Authenticator'da bir geçiş anahtarını silerse, geçiş anahtarı kullanıcının oturum açma yöntemlerinden de kaldırılır. Kimlik Doğrulama İlkesi Yöneticisi, kullanıcının kimlik doğrulama yöntemlerinden bir geçiş anahtarını silmek için de bu adımları izleyebilir, ancak Kimlik Doğrulayıcı'dan geçiş anahtarını kaldırmaz.

1. Microsoft Entra Yönetim Merkezi'de oturum açın ve geçiş anahtarının kaldırılması gereken kullanıcıyı arayın.

2. Kimlik Doğrulama yöntemlerini seçin,FIDO2 güvenlik anahtarına sağ tıklayın ve Silöğesini seçin.

   Kullanıcı kimlik doğrulayıcıda kendi geçiş anahtarı silme işlemini başlatmadığı sürece, cihazında Authenticator'daki geçiş anahtarını da kaldırması gerekir.

Authenticator'da geçiş tuşlarıyla oturum açmayı zorunlu kılma

Kullanıcıların hassas bir kaynağa erişirken geçiş anahtarıyla oturum açmasını sağlamak için, aşağıdaki adımları izleyerek yerleşik kimlik avına dayanıklı kimlik doğrulama gücünü kullanın veya özel bir kimlik doğrulama gücü oluşturun:

1. Microsoft Entra yönetim merkezinde Koşullu Erişim Yöneticisi olarak oturum açın.

2. Koruma>>göz atın.

3. Yeni kimlik doğrulama gücü'ne tıklayın.

4. Yeni kimlik doğrulama gücünüz için açıklayıcı bir ad sağlayın.

5. İsteğe bağlı olarak, bir açıklama sağlayın.

6. Geçiş Tuşları (FIDO2)seçeneğine tıklayın, ardından Gelişmiş Seçeneklerseçeneğine tıklayın.

7. Kimlik avına dayanıklı MFA gücü seçin veya Authenticator'da geçiş anahtarları için AAGUIDs ekleyin:

   • Androidiçin Authenticator :
   • iOSiçin Authenticator :

8. Sonraki seçin ve ilke yapılandırmasını gözden geçirin.

İlgili içerik

• Windows'ta geçiş anahtarı desteği