Bagikan melalui

Mengaktifkan kode akses (FIDO2) untuk organisasi Anda

  • Artikel

Untuk perusahaan yang menggunakan kata sandi saat ini, kode akses (FIDO2) menyediakan cara yang mulus bagi pekerja untuk mengautentikasi tanpa memasukkan nama pengguna atau kata sandi. Passkeys (FIDO2) memberikan peningkatan produktivitas bagi pekerja, dan memiliki keamanan yang lebih baik.

Artikel ini mencantumkan persyaratan dan langkah-langkah untuk mengaktifkan kode akses di organisasi Anda. Setelah menyelesaikan langkah-langkah ini, pengguna di organisasi Anda kemudian dapat mendaftar dan masuk ke akun Microsoft Entra mereka menggunakan kode akses yang disimpan pada kunci keamanan FIDO2 atau di Microsoft Authenticator.

Untuk informasi selengkapnya tentang mengaktifkan kode akses di Microsoft Authenticator, lihat Cara mengaktifkan kode akses di Microsoft Authenticator.

Untuk informasi selengkapnya tentang autentikasi kode akses, lihat Dukungan untuk autentikasi FIDO2 dengan ID Microsoft Entra.

Catatan

MICROSOFT Entra ID saat ini mendukung kode akses terikat perangkat yang disimpan pada kunci keamanan FIDO2 dan di Microsoft Authenticator. Microsoft berkomitmen untuk mengamankan pelanggan dan pengguna dengan kode akses. Kami berinvestasi dalam kode akses yang disinkronkan dan terikat perangkat untuk akun kerja.

Persyaratan

Passkeys (FIDO2) didukung di seluruh skenario utama di Windows, macOS, Android, dan iOS. Untuk informasi selengkapnya tentang skenario yang didukung, lihat Dukungan untuk autentikasi FIDO2 di ID Microsoft Entra.

Catatan

Dukungan untuk pendaftaran perangkat yang sama di Edge di Android akan segera hadir.

Passkey (FIDO2) Authenticator Attestation GUID (AAGUID)

Spesifikasi FIDO2 mengharuskan setiap vendor kunci keamanan untuk menyediakan Authenticator Attestation GUID (AAGUID) selama pendaftaran. AAGUID adalah pengidentifikasi 128-bit yang menunjukkan jenis kunci, seperti pembuatan dan model. Penyedia Passkey (FIDO2) di desktop dan perangkat seluler juga diharapkan menyediakan AAGUID selama pendaftaran.

Catatan

Vendor harus memastikan bahwa AAGUID identik di semua kunci keamanan atau penyedia kode akses (FIDO2) yang secara substansial identik yang dibuat oleh vendor tersebut, dan berbeda (dengan probabilitas tinggi) dari AAGUID dari semua jenis kunci keamanan atau penyedia kunci sandi (FIDO2) lainnya. Untuk memastikan hal ini, AAGUID untuk model kunci keamanan atau penyedia kode akses (FIDO2) tertentu harus dibuat secara acak. Untuk informasi selengkapnya, lihat Autentikasi Web: API untuk mengakses Info Masuk Kunci Umum - Tingkat 2 (w3.org).

Anda dapat bekerja dengan vendor kunci keamanan Anda untuk menentukan AAGUID kode akses (FIDO2), atau melihat kunci keamanan FIDO2 yang memenuhi syarat untuk pengesahan dengan ID Microsoft Entra. Jika kode akses (FIDO2) sudah terdaftar, Anda dapat menemukan AAGUID dengan melihat detail metode autentikasi kode akses (FIDO2) untuk pengguna.

Cuplikan layar cara melihat AAGUID untuk kode akses.

Mengaktifkan metode autentikasi passkey (FIDO2)

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Telusuri kebijakan metode Autentikasi metode>.

  3. Di bawah metode Passkey (FIDO2), atur tombol ke Aktifkan. Pilih Semua pengguna atau Tambahkan grup untuk memilih grup tertentu. Hanya grup keamanan yang didukung.

  4. Pada tab Konfigurasi :

    • Atur Izinkan layanan mandiri disiapkan ke Ya. Jika diatur ke Tidak, pengguna tidak dapat mendaftarkan kode akses dengan menggunakan Info keamanan, meskipun kode akses (FIDO2) diaktifkan oleh kebijakan Metode autentikasi.

    • Atur Terapkan pengesahan ke Ya jika organisasi Anda ingin diyakinkan bahwa model kunci keamanan FIDO2 atau penyedia kode akses asli dan berasal dari vendor yang sah.

      • Untuk kunci keamanan FIDO2, kami memerlukan metadata kunci keamanan untuk diterbitkan dan diverifikasi dengan Layanan Metadata Aliansi FIDO, dan juga lulus serangkaian pengujian validasi microsoft lainnya. Untuk informasi selengkapnya, lihat Menjadi vendor kunci keamanan FIDO2 yang kompatibel dengan Microsoft.
      • Untuk kode akses di Microsoft Authenticator, dukungan pengesahan direncanakan untuk Ketersediaan Umum.

      Peringatan

      Penegakan pengesahan mengatur apakah kode akses (FIDO2) hanya diizinkan selama pendaftaran. Pengguna yang mendaftarkan kode akses (FIDO2) tanpa pengesahan tidak diblokir dari masuk jika Pengesahan Terapkan diatur ke Ya nanti.

    Kebijakan Pembatasan Utama

    • Terapkan pembatasan kunci harus diatur ke Ya hanya jika organisasi Anda hanya ingin mengizinkan atau melarang model kunci keamanan atau penyedia kode akses tertentu, yang diidentifikasi oleh AAGUID mereka. Anda dapat bekerja dengan vendor kunci keamanan Anda untuk menentukan AAGUID kode akses. Jika kode akses sudah terdaftar, Anda dapat menemukan AAGUID dengan melihat detail metode autentikasi kode akses untuk pengguna.

    Saat Terapkan pembatasan kunci diatur ke Ya, Anda dapat memilih Microsoft Authenticator untuk menambahkan AAGUID aplikasi Authenticator secara otomatis untuk Anda dalam daftar pembatasan kunci. Untuk informasi selengkapnya, lihat Mengaktifkan kode akses di Microsoft Authenticator.

    Peringatan

    Pembatasan utama menetapkan kegunaan model atau penyedia tertentu untuk pendaftaran dan autentikasi. Jika Anda mengubah pembatasan kunci dan menghapus AAGUID yang sebelumnya Anda izinkan, pengguna yang sebelumnya mendaftarkan metode yang diizinkan tidak dapat lagi menggunakannya untuk masuk.

    Jika organisasi Anda saat ini tidak memberlakukan pembatasan kunci dan sudah memiliki penggunaan kode akses aktif, Anda harus mengumpulkan AAGUID kunci yang digunakan hari ini. Tambahkan ke daftar izin, bersama dengan Authenticator AAGUIDs, untuk mengaktifkan kode akses (FIDO2). Tugas ini dapat dilakukan dengan skrip otomatis yang menganalisis log, seperti detail pendaftaran dan log masuk.

    Catatan

    Jika Anda menonaktifkan pengambilan kunci, pastikan Anda menghapus kotak centang Microsoft Authenticator sehingga pengguna tidak diminta untuk menyiapkan kode akses di aplikasi Authenticator di Info keamanan.

    Cuplikan layar memperlihatkan Microsoft Authenticator diaktifkan untuk kode akses.

  5. Setelah Anda menyelesaikan konfigurasi, pilih Simpan.

    Catatan

    Jika Anda melihat kesalahan saat mencoba menyimpan, ganti beberapa grup dengan satu grup dalam satu operasi, lalu klik Simpan lagi.

Memprovisikan kunci keamanan FIDO2 menggunakan Microsoft Graph API (pratinjau)

Saat ini dalam pratinjau, administrator dapat menggunakan Microsoft Graph dan klien kustom untuk menyediakan kunci keamanan FIDO2 atas nama pengguna. Provisi memerlukan peran Administrator Autentikasi atau aplikasi klien dengan izin UserAuthenticationMethod.ReadWrite.All. Peningkatan provisi meliputi:

  • Kemampuan untuk meminta Opsi pembuatan WebAuthn dari ID Microsoft Entra
  • Kemampuan untuk mendaftarkan kunci keamanan yang disediakan langsung dengan ID Microsoft Entra

Dengan API baru ini, organisasi dapat membangun klien mereka sendiri untuk menyediakan info masuk passkey (FIDO2) pada kunci keamanan atas nama pengguna. Untuk menyederhanakan proses ini, diperlukan tiga langkah utama.

  1. Meminta creationOptions untuk pengguna: MICROSOFT Entra ID mengembalikan data yang diperlukan bagi klien Anda untuk menyediakan kredensial passkey (FIDO2). Ini termasuk informasi seperti informasi pengguna, ID pihak yang mengandalkan, persyaratan kebijakan kredensial, algoritma, tantangan pendaftaran, dan banyak lagi.
  2. Provisikan kredensial passkey (FIDO2) dengan Opsi pembuatan: Gunakan creationOptions dan klien yang mendukung Client to Authenticator Protocol (CTAP) untuk menyediakan kredensial. Selama langkah ini, Anda harus memasukkan kunci keamanan dan mengatur PIN.
  3. Daftarkan kredensial yang disediakan dengan ID Microsoft Entra: Gunakan output berformat dari proses provisi untuk memberikan ID Microsoft Entra data yang diperlukan untuk mendaftarkan kredensial kode akses (FIDO2) untuk pengguna yang ditargetkan.

Diagram konseptual yang menunjukkan langkah-langkah yang diperlukan untuk menyediakan kode akses (FIDO2).

Mengaktifkan kode akses (FIDO2) menggunakan Microsoft Graph API

Selain menggunakan pusat admin Microsoft Entra, Anda juga dapat mengaktifkan kode akses (FIDO2) dengan menggunakan Microsoft Graph API. Untuk mengaktifkan kode akses (FIDO2), Anda perlu memperbarui kebijakan metode Autentikasi sebagai setidaknya Administrator Kebijakan Autentikasi.

Untuk mengonfigurasi kebijakan menggunakan Graph Explorer:

  1. Masuk ke Graph Explorer dan setujui izin Policy.Read.All dan Policy.ReadWrite.AuthenticationMethod .

  2. Ambil kebijakan metode Autentikasi:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Untuk menonaktifkan penegakan pengesahan dan menerapkan pembatasan kunci untuk hanya mengizinkan AAGUID untuk RSA DS100 misalnya, lakukan operasi PATCH menggunakan isi permintaan berikut:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Pastikan bahwa kebijakan kode akses (FIDO2) diperbarui dengan benar.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Menghapus kunci sandi (FIDO2)

Untuk menghapus kode akses (FIDO2) yang terkait dengan akun pengguna, hapus dari metode autentikasi pengguna.

  1. Masuk ke pusat admin Microsoft Entra dan cari pengguna yang kode aksesnya (FIDO2) perlu dihapus.
  2. Pilih Metode> autentikasi klik kanan Kode Akses (terikat perangkat) dan pilih Hapus.

Menerapkan rincian masuk passkey (FIDO2)

Untuk membuat pengguna masuk dengan kode akses (FIDO2) saat mereka mengakses sumber daya sensitif, Anda dapat:

  • Menggunakan kekuatan autentikasi tahan pengelabuan bawaan

    Atau

  • Membuat kekuatan autentikasi kustom

Langkah-langkah berikut menunjukkan cara membuat kebijakan Akses Bersyarat kekuatan autentikasi kustom yang memungkinkan masuk passkey (FIDO2) hanya untuk model kunci keamanan atau penyedia kode akses (FIDO2) tertentu. Untuk daftar penyedia FIDO2, lihat Kunci keamanan FIDO2 yang memenuhi syarat untuk pengesahan dengan ID Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri ke kekuatan Autentikasi metode>>.
  3. Pilih Kekuatan autentikasi baru.
  4. Berikan Nama untuk kekuatan autentikasi baru Anda.
  5. Secara opsional berikan Deskripsi.
  6. Pilih Kode akses (FIDO2).
  7. Secara opsional, jika Anda ingin membatasi oleh AAGUID tertentu, pilih Opsi tingkat lanjut lalu Tambahkan AAGUID. Masukkan AAGUID yang Anda izinkan. Pilih Simpan.
  8. Pilih Berikutnya dan tinjau konfigurasi kebijakan.

Masalah umum

Penyediaan kunci keamanan

Provisi administrator kunci keamanan dalam pratinjau. Lihat Microsoft Graph dan klien kustom untuk menyediakan kunci keamanan FIDO2 atas nama pengguna.

Pengguna kolaborasi B2B

Pendaftaran kredensial passkey (FIDO2) tidak didukung untuk pengguna kolaborasi B2B di penyewa sumber daya.

Perubahan UPN

Jika UPN pengguna berubah, Anda tidak dapat lagi memodifikasi kode akses (FIDO2) untuk memperhitungkan perubahan tersebut. Jika pengguna memiliki kode akses (FIDO2), mereka perlu masuk ke Info keamanan, menghapus kode akses lama (FIDO2), dan menambahkan yang baru.

Langkah berikutnya

Aplikasi asli dan dukungan browser autentikasi tanpa sandi passkey (FIDO2)

Kunci keamanan FIDO2 untuk masuk Windows 10

Aktifkan autentikasi FIDO2 ke sumber daya lokal

Mendaftarkan kunci keamanan atas nama pengguna

Pelajari lebih lanjut tentang pendaftaran perangkat

Pelajari selengkapnya tentang autentikasi multifaktor Microsoft Entra