Megosztás a következőn keresztül:

Hozzáférési kulcsok (FIDO2) engedélyezése a szervezet számára

  • Cikk

A jelszavakat ma használó vállalatok számára a jelszókulcsok (FIDO2) zökkenőmentes módot biztosítanak a dolgozók számára a felhasználónév vagy jelszó megadása nélkül történő hitelesítésre. A hozzáférési kulcsok (FIDO2) jobb termelékenységet biztosítanak a munkavállalók számára, és nagyobb biztonságot nyújtanak.

Ez a cikk a hozzáférési kulcsok szervezeten belüli engedélyezésére vonatkozó követelményeket és lépéseket sorolja fel. A lépések elvégzése után a szervezet felhasználói regisztrálhatnak és bejelentkezhetnek a Microsoft Entra-fiókjukba egy FIDO2 biztonsági kulcson vagy a Microsoft Authenticatorban tárolt kulcs használatával.

A hozzáférési kulcsok Microsoft Authenticatorban való engedélyezéséről a Jelszókulcsok engedélyezése a Microsoft Authenticatorban című témakörben talál további információt.

A jelszókulcsos hitelesítéssel kapcsolatos további információkért lásd : FIDO2-hitelesítés támogatása a Microsoft Entra-azonosítóval.

Feljegyzés

A Microsoft Entra ID jelenleg a FIDO2 biztonsági kulcsokon és a Microsoft Authenticatorban tárolt eszközhöz kötött hozzáférési kulcsokat támogatja. A Microsoft elkötelezett az ügyfelek és a felhasználók hozzáférési kulcsokkal való védelme mellett. A munkahelyi fiókok szinkronizált és eszközhöz kötött hozzáférési kulcsait is befektetjük.

Követelmények

A hozzáférési kulcsok (FIDO2) windowsos, macOS, Android és iOS rendszerű főbb forgatókönyvekben támogatottak. A támogatott forgatókönyvekről további információt a FIDO2-hitelesítés támogatása a Microsoft Entra ID-ban című témakörben talál.

Feljegyzés

Hamarosan megjelenik az androidos Edge-ben az azonos eszközök regisztrációjának támogatása.

Passkey (FIDO2) Authenticator Attestation GUID (AAGUID)

A FIDO2 specifikáció megköveteli, hogy a regisztráció során minden biztonsági kulcs szállítója adjon meg egy Authenticator Attestation GUID (AAGUID) azonosítót. Az AAGUID egy 128 bites azonosító, amely a kulcs típusát jelzi, például a make-t és a modellt. Az asztali és mobileszközök hozzáférési kulcsszolgáltatói (FIDO2) várhatóan AAGUID-t is biztosítanak a regisztráció során.

Feljegyzés

A szállítónak biztosítania kell, hogy az AAGUID azonos legyen az adott szállító által készített, lényegesen azonos biztonsági kulcsok vagy hozzáférési kulcsok (FIDO2) szolgáltatói között, és különbözik (nagy valószínűséggel) az összes más típusú biztonsági kulcs vagy hozzáférési kulcs (FIDO2) szolgáltató AAGUID-jától. Ennek biztosítása érdekében véletlenszerűen létre kell hozni egy adott biztonságikulcs-modellhez vagy hozzáférési kulcshoz (FIDO2) tartozó AAGUID-t. További információ: Webes hitelesítés: Api a nyilvános kulcs hitelesítő adatainak eléréséhez – 2. szint (w3.org).

A biztonsági kulcs szállítójával együttműködve meghatározhatja a hozzáférési kulcs AAGUID-jét (FIDO2), vagy megtekintheti a Microsoft Entra-azonosítóval való igazolásra jogosult FIDO2 biztonsági kulcsokat. Ha a hozzáférési kulcs (FIDO2) már regisztrálva van, az AAGUID-t a felhasználó hozzáférési kulcsának (FIDO2) hitelesítési módjának részleteinek megtekintésével találja meg.

Képernyőkép a hozzáférési kulcs AAGUID-jének megtekintéséről.

Hozzáférési kulcs (FIDO2) hitelesítési módszerének engedélyezése

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.

  2. Keresse meg a >>hitelesítési módszer szabályzatát.

  3. A Passkey (FIDO2) metódus alatt állítsa a kapcsolót Engedélyezés értékre. Adott csoportok kiválasztásához válassza a Minden felhasználó vagy a Csoport hozzáadása lehetőséget. Csak a biztonsági csoportok támogatottak.

  4. A Konfigurálás lapon:

    • Állítsa be az Önkiszolgáló engedélyezés beállítását Igen értékre. Ha nem értékre van állítva, a felhasználók nem regisztrálhatnak hozzáférési kulcsot biztonsági adatok használatával, még akkor sem, ha a hitelesítési módszerek házirendje engedélyezi a hozzáférési kulcsokat (FIDO2).

    • Ha a szervezet biztosítani szeretné, hogy a FIDO2 biztonságikulcs-modell vagy a hozzáférésikulcs-szolgáltató valódi, és a megbízható szállítótól származik, állítsa be a kényszerítési igazolástIgen értékre.

      • A FIDO2 biztonsági kulcsok esetében a biztonsági kulcs metaadatait közzé kell tenni és ellenőrizni kell a FIDO Alliance metadata szolgáltatással, valamint át kell adni a Microsoft egy másik ellenőrzési tesztkészletét is. További információ: Microsoft-kompatibilis FIDO2 biztonságikulcs-szállító.
      • A Microsoft Authenticatorban található hozzáférési kulcsok esetében az igazolási támogatás az általános rendelkezésre álláshoz van tervezve.

      Figyelmeztetés

      Az igazolások érvényesítése azt szabályozza, hogy a hozzáférési kulcs (FIDO2) csak a regisztráció során engedélyezett-e. A hozzáférési kulcsot (FIDO2) igazolás nélkül regisztráló felhasználók nem lesznek letiltva a bejelentkezésben, ha az igazolás kényszerítése később Igen értékre van állítva.

    Kulcskorlátozási szabályzat

    • A kulcskorlátozások kényszerítése csak akkor legyen Igen értékre állítva, ha a szervezet csak bizonyos biztonságikulcs-modelleket vagy hozzáférési kulcsszolgáltatókat szeretne engedélyezni vagy letiltani, amelyeket az AAGUID azonosít. A biztonsági kulcs szállítójával együttműködve meghatározhatja a hozzáférési kulcs AAGUID-jének értékét. Ha a hozzáférési kulcs már regisztrálva van, az AAGUID-t a felhasználó hozzáférési kulcsának részleteinek megtekintésével találja meg.

    Ha a kulcskorlátozások kényszerítése igen értékre van állítva, a Microsoft Authenticator lehetőséget választva automatikusan hozzáadhatja az Authenticator alkalmazás AAGUID-jait a kulcskorlátozások listájához. További információ: Hozzáférési kulcsok engedélyezése a Microsoft Authenticatorban.

    Figyelmeztetés

    A fő korlátozások meghatározott modellek vagy szolgáltatók használhatóságát állítják be mind a regisztrációhoz, mind a hitelesítéshez. Ha módosítja a kulcskorlátozásokat, és eltávolít egy korábban engedélyezett AAGUID-t, azok a felhasználók, akik korábban regisztráltak egy engedélyezett módszert, már nem használhatják a bejelentkezéshez.

    Ha a szervezet jelenleg nem kényszeríti ki a kulcskorlátozásokat, és már rendelkezik aktív kulcshasználattal, akkor a jelenleg használt kulcsok AAGUID-jét kell összegyűjtenie. Adja hozzá őket az engedélyezési listához az Authenticator AAGUID-kkel együtt a hozzáférési kulcsok (FIDO2) engedélyezéséhez. Ez a feladat egy automatizált szkripttel végezhető el, amely naplókat elemez, például a regisztrációs adatokat és a bejelentkezési naplókat.

    Feljegyzés

    Ha kikapcsolja a kulcspróbálkozókat, törölje a Microsoft Authenticator jelölőnégyzet jelölését, hogy a rendszer ne kérje meg a felhasználókat, hogy állítsanak be egy hozzáférési kulcsot az Authenticator alkalmazásban a biztonsági adatok között.

    Képernyőkép a hozzáférési kulcshoz engedélyezett Microsoft Authenticatorról.

  5. A konfiguráció befejezése után válassza a Mentés lehetőséget.

    Feljegyzés

    Ha a mentéskor hibaüzenet jelenik meg, cserélje le több csoportot egyetlen csoportra egyetlen műveletben, majd kattintson ismét a Mentés gombra.

FIDO2 biztonsági kulcsok kiépítése a Microsoft Graph API használatával (előzetes verzió)

Jelenleg előzetes verzióban a rendszergazdák a Microsoft Graph és az egyéni ügyfelek használatával hozhatnak ki FIDO2 biztonsági kulcsokat a felhasználók nevében. A kiépítéshez hitelesítési rendszergazdai szerepkörre vagy userAuthenticationMethod.ReadWrite.All engedélyre van szükség. A kiépítési fejlesztések a következők:

  • A WebAuthn létrehozási beállításainak kérése a Microsoft Entra-azonosítóból
  • A kiépített biztonsági kulcs regisztrálása közvetlenül a Microsoft Entra-azonosítóval

Ezekkel az új API-kkal a szervezetek saját ügyfeleket hozhatnak létre a hozzáférési kulcsok (FIDO2) hitelesítő adatainak a felhasználó nevében történő kiépítéséhez. A folyamat egyszerűsítése érdekében három fő lépésre van szükség.

  1. Felhasználó létrehozásioptions kérése : A Microsoft Entra ID visszaadja az ügyfél számára a hitelesítő adatok kulcsának (FIDO2) kiépítéséhez szükséges adatokat. Ilyenek például a felhasználói adatok, a függő entitás azonosítója, a hitelesítőadat-szabályzat követelményei, az algoritmusok, a regisztrációs kihívás stb.
  2. Adja meg a hitelesítő azonosítót (FIDO2) a létrehozási beállításokkal: Használja az creationOptions ügyfelet az Authenticator Protocol (CTAP) protokollt támogató ügyféllel a hitelesítő adatok kiépítéséhez. Ebben a lépésben be kell szúrnia a biztonsági kulcsot, és be kell állítania egy PIN-kódot.
  3. Regisztrálja a kiosztott hitelesítő adatokat a Microsoft Entra-azonosítóval: A kiépítési folyamat formázott kimenetének használatával adja meg a Microsoft Entra-azonosítónak a megcélzott felhasználó hitelesítő adatainak regisztrálásához szükséges adatokat.

A hozzáférési kulcsok (FIDO2) kiépítéséhez szükséges lépéseket bemutató fogalmi diagram.

Hozzáférési kulcsok (FIDO2) engedélyezése a Microsoft Graph API használatával

A Microsoft Entra felügyeleti központ használata mellett a hozzáférési kulcsokat (FIDO2) is engedélyezheti a Microsoft Graph API használatával. A hozzáférési kulcsok (FIDO2) engedélyezéséhez frissítenie kell a hitelesítési módszerek szabályzatát legalább hitelesítési házirend-rendszergazdaként.

A szabályzat konfigurálása a Graph Explorerrel:

  1. Jelentkezzen be a Graph Explorerbe, és járuljon hozzá a Policy.Read.All és a Policy.ReadWrite.AuthenticationMethod engedélyhez.

  2. A hitelesítési módszerek házirendjének lekérése:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Ha le szeretné tiltani az igazolás kényszerítését, és kulcskorlátozásokat szeretne kikényszeríteni, hogy például csak az RSA DS100 AAGUID-jének engedélyezése legyen, hajtsa végre a PATCH műveletet a következő kérelemtörzs használatával:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Győződjön meg arról, hogy a hozzáférési kulcs (FIDO2) házirendje megfelelően frissült.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Jelszó törlése (FIDO2)

A felhasználói fiókhoz társított hozzáférési kulcs (FIDO2) eltávolításához törölje azt a felhasználó hitelesítési módszeréből.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába , és keresse meg azt a felhasználót, akinek a hozzáférési kulcsát (FIDO2) el kell távolítani.
  2. Válassza ki >, kattintson a jobb gombbal a hozzáférési kulcsra (eszközhöz kötött), és válassza a Törlés lehetőséget.

Hozzáférési kulcs (FIDO2) bejelentkezésének kényszerítése

Ha azt szeretné, hogy a felhasználók pin-kóddal (FIDO2) jelentkezzenek be, amikor bizalmas erőforráshoz férnek hozzá, a következő műveleteket végezheti el:

  • Beépített adathalászat-ellenálló hitelesítés használata

    Vagy

  • Hozzon létre egyéni hitelesítés erősséget

Az alábbi lépések bemutatják, hogyan hozhat létre olyan egyéni hitelesítési erősségű feltételes hozzáférési szabályzatot, amely csak egy adott biztonságikulcs-modell vagy jelszószolgáltató (FIDO2) esetében engedélyezi a hozzáférési kulcs (FIDO2) bejelentkezését. A FIDO2-szolgáltatók listájáért tekintse meg a Microsoft Entra-azonosítóval való igazolásra jogosult FIDO2 biztonsági kulcsokat.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a >>hitelesítési erősségeit.
  3. Válassza az Új hitelesítés erősségét.
  4. Adja meg az új hitelesítési erősség nevét .
  5. Igény szerint adjon meg leírást.
  6. Válassza a Hozzáférési kulcsok (FIDO2) lehetőséget.
  7. Ha adott AAGUID(k) szerint szeretné korlátozni a korlátozást, válassza a Speciális beállítások lehetőséget , majd az AAGUID hozzáadása lehetőséget. Adja meg az engedélyezett AAGUID(ka)t. Válassza a Mentés lehetőséget.
  8. Válassza a Tovább lehetőséget, és tekintse át a szabályzat konfigurációját.

Ismert problémák

Biztonsági kulcs kiépítése

A biztonsági kulcsok rendszergazdai kiépítése előzetes verzióban érhető el. Tekintse meg a Microsoft Graph és az egyéni ügyfelek fido2 biztonsági kulcsainak a felhasználók nevében történő kiépítését.

B2B együttműködési felhasználók

A hozzáférési kulcs (FIDO2) hitelesítő adatainak regisztrálása nem támogatott a B2B együttműködési felhasználók számára az erőforrás-bérlőben.

UPN-módosítások

Ha egy felhasználó UPN-azonosítója megváltozik, a továbbiakban nem módosíthatja a hozzáférési kulcsokat (FIDO2), hogy figyelembe vegyék a módosítást. Ha a felhasználó rendelkezik jelszóval (FIDO2), be kell jelentkeznie a biztonsági adatokba, törölnie kell a régi jelszót (FIDO2), és hozzá kell adnia egy újat.

Következő lépések

Jelszó nélküli hitelesítés natív alkalmazás- és böngészőtámogatása (FIDO2)

FIDO2 biztonsági kulcs Windows 10 bejelentkezés

FIDO2-hitelesítés engedélyezése helyszíni erőforrásokon

Biztonsági kulcsok regisztrálása a felhasználók nevében

További információ az eszközregisztrációról

További információ a Microsoft Entra többtényezős hitelesítéséről