Hozzáférési kulcsok (FIDO2) engedélyezése a szervezet számára

A jelszavakat ma használó vállalatok számára a jelszókulcsok (FIDO2) zökkenőmentes módot biztosítanak a dolgozók számára a felhasználónév vagy jelszó megadása nélkül történő hitelesítésre. A hozzáférési kulcsok (FIDO2) jobb termelékenységet biztosítanak a munkavállalók számára, és nagyobb biztonságot nyújtanak.

Ez a cikk a hozzáférési kulcsok szervezeten belüli engedélyezésére vonatkozó követelményeket és lépéseket sorolja fel. A lépések elvégzése után a szervezet felhasználói regisztrálhatnak és bejelentkezhetnek a Microsoft Entra-fiókjukba egy FIDO2 biztonsági kulcson vagy a Microsoft Authenticatorban tárolt kulcs használatával.

A hozzáférési kulcsok Microsoft Authenticatorban való engedélyezéséről a Jelszókulcsok engedélyezése a Microsoft Authenticatorban című témakörben talál további információt.

A jelszókulcsos hitelesítéssel kapcsolatos további információkért lásd : FIDO2-hitelesítés támogatása a Microsoft Entra-azonosítóval.

• Microsoft Entra többtényezős hitelesítés (MFA).
• A FIDO2 biztonsági kulcsok a Microsoft Entra-azonosítóval vagy a Microsoft Authenticator-nal való igazolásra jogosultak.
• A hozzáférési kulcsú (FIDO2) hitelesítést támogató eszközök. A Microsoft Entra ID-hoz csatlakoztatott Windows-eszközök esetében a legjobb élmény a Windows 10 1903-at vagy újabb verzióját használja. A hibrid csatlakoztatott eszközöknek a Windows 10 2004-es vagy újabb verzióját kell futtatniuk.

A hozzáférési kulcsok (FIDO2) windowsos, macOS, Android és iOS rendszerű főbb forgatókönyvekben támogatottak. A támogatott forgatókönyvekről további információt a FIDO2-hitelesítés támogatása a Microsoft Entra ID-ban című témakörben talál.

A FIDO2 specifikáció megköveteli, hogy a regisztráció során minden biztonsági kulcs szállítója adjon meg egy Authenticator Attestation GUID (AAGUID) azonosítót. Az AAGUID egy 128 bites azonosító, amely a kulcs típusát jelzi, például a make-t és a modellt. Az asztali és mobileszközök hozzáférési kulcsszolgáltatói (FIDO2) várhatóan AAGUID-t is biztosítanak a regisztráció során.

A biztonsági kulcs szállítójával együttműködve meghatározhatja a hozzáférési kulcs AAGUID-jét (FIDO2), vagy megtekintheti a Microsoft Entra-azonosítóval való igazolásra jogosult FIDO2 biztonsági kulcsokat. Ha a hozzáférési kulcs (FIDO2) már regisztrálva van, az AAGUID-t a felhasználó hozzáférési kulcsának (FIDO2) hitelesítési módjának részleteinek megtekintésével találja meg.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.

2. Keresse meg a Hitelesítési módszereket>Védelmi házirendeket>.

3. A Passkey (FIDO2) metódus alatt állítsa a kapcsolót Engedélyezés értékre. Adott csoportok kiválasztásához válassza a Minden felhasználó vagy a Csoport hozzáadása lehetőséget. Csak a biztonsági csoportok támogatottak.

4. A Konfigurálás lapon:

   • Állítsa be az Önkiszolgáló engedélyezés beállítását Igen értékre. Ha nem értékre van állítva, a felhasználók nem regisztrálhatnak hozzáférési kulcsot biztonsági adatok használatával, még akkor sem, ha a hitelesítési módszerek házirendje engedélyezi a hozzáférési kulcsokat (FIDO2).

   • Ha a szervezet biztosítani szeretné, hogy a FIDO2 biztonságikulcs-modell vagy a hozzáférésikulcs-szolgáltató valódi, és a megbízható szállítótól származik, állítsa be a kényszerítési igazolástIgen értékre.

     • A FIDO2 biztonsági kulcsok esetében a biztonsági kulcs metaadatait közzé kell tenni és ellenőrizni kell a FIDO Alliance metadata szolgáltatással, valamint át kell adni a Microsoft egy másik ellenőrzési tesztkészletét is. További információ: Microsoft-kompatibilis FIDO2 biztonságikulcs-szállító.
     • A Microsoft Authenticator hozzáférési kulcsai az igazolást is támogatják. További információért tekintse meg: Hogyan működik a kulcsigazolás az Authenticatorral.

     Figyelmeztetés

     Az igazolások érvényesítése azt szabályozza, hogy a hozzáférési kulcs (FIDO2) csak a regisztráció során engedélyezett-e. A hozzáférési kulcsot (FIDO2) igazolás nélkül regisztráló felhasználók nem lesznek letiltva a bejelentkezésben, ha az igazolás kényszerítése később Igen értékre van állítva.

   Kulcskorlátozási szabályzat

   • A kulcskorlátozások kényszerítése csak akkor legyen Igen értékre állítva, ha a szervezet csak bizonyos biztonságikulcs-modelleket vagy hozzáférési kulcsszolgáltatókat szeretne engedélyezni vagy letiltani, amelyeket az AAGUID azonosít. A biztonsági kulcs szállítójával együttműködve meghatározhatja a hozzáférési kulcs AAGUID-jének értékét. Ha a hozzáférési kulcs már regisztrálva van, az AAGUID-t a felhasználó hozzáférési kulcsának részleteinek megtekintésével találja meg.

   Ha a Kulcskorlátozások kényszerítéseIgenértékre van állítva, kiválaszthatja a Microsoft Authenticator alkalmazást, hogy automatikusan hozzáadja a kulcskorlátozások listájához az Authenticator alkalmazás AAGUID-jait. További információ: Hozzáférési kulcsok engedélyezése a Microsoft Authenticatorban.

   Figyelmeztetés

   A fő korlátozások meghatározott modellek vagy szolgáltatók használhatóságát állítják be mind a regisztrációhoz, mind a hitelesítéshez. Ha módosítja a kulcskorlátozásokat, és eltávolít egy korábban engedélyezett AAGUID-t, azok a felhasználók, akik korábban regisztráltak egy engedélyezett módszert, már nem használhatják a bejelentkezéshez.

   Ha a szervezet jelenleg nem kényszeríti ki a kulcskorlátozásokat, és már rendelkezik aktív kulcshasználattal, akkor a jelenleg használt kulcsok AAGUID-jét kell összegyűjtenie. Adja hozzá őket az engedélyezési listához az Authenticator AAGUID-kkel együtt a hozzáférési kulcsok (FIDO2) engedélyezéséhez. Ez a feladat egy automatizált szkripttel végezhető el, amely naplókat elemez, például a regisztrációs adatokat és a bejelentkezési naplókat.

   Megjegyzés

   Ha kikapcsolja a kulcskorlátozásokat, törölje a Microsoft Authenticator jelölőnégyzet jelölését, hogy a rendszer ne kérje meg a felhasználókat, hogy állítsanak be jelszót az Authenticator alkalmazásban Biztonsági adatok.

   

5. A konfiguráció befejezése után válassza a Mentés lehetőséget.

   Megjegyzés

   Ha a mentéskor hibaüzenet jelenik meg, cserélje le több csoportot egyetlen csoportra egyetlen műveletben, majd kattintson ismét a Mentés gombra.

Jelenleg előzetes verzióban a rendszergazdák a Microsoft Graph és az egyéni ügyfelek használatával hozhatnak ki FIDO2 biztonsági kulcsokat a felhasználók nevében. A kiépítéshez hitelesítési rendszergazdai szerepkörre vagy userAuthenticationMethod.ReadWrite.All engedélyre van szükség. A kiépítési fejlesztések a következők:

• A WebAuthn létrehozási beállításainak kérése a Microsoft Entra-azonosítóból
• A kiépített biztonsági kulcs regisztrálása közvetlenül a Microsoft Entra-azonosítóval

Ezekkel az új API-kkal a szervezetek saját ügyfeleket hozhatnak létre a hozzáférési kulcsok (FIDO2) hitelesítő adatainak a felhasználó nevében történő kiépítéséhez. A folyamat egyszerűsítése érdekében három fő lépésre van szükség.

1. Felhasználó létrehozásioptions kérése : A Microsoft Entra ID visszaadja az ügyfél számára a hitelesítő adatok kulcsának (FIDO2) kiépítéséhez szükséges adatokat. Ilyenek például a felhasználói adatok, a függő entitás azonosítója, a hitelesítőadat-szabályzat követelményei, az algoritmusok, a regisztrációs kihívás stb.
2. Adja meg a hitelesítő azonosítót (FIDO2) a létrehozási beállításokkal: Használja az creationOptions ügyfelet az Authenticator Protocol (CTAP) protokollt támogató ügyféllel a hitelesítő adatok kiépítéséhez. Ebben a lépésben be kell szúrnia a biztonsági kulcsot, és be kell állítania egy PIN-kódot.
3. Regisztrálja a kiosztott hitelesítő adatokat a Microsoft Entra-azonosítóval: A kiépítési folyamat formázott kimenetének használatával adja meg a Microsoft Entra-azonosítónak a megcélzott felhasználó hitelesítő adatainak regisztrálásához szükséges adatokat.

A Microsoft Entra felügyeleti központ használata mellett a hozzáférési kulcsokat (FIDO2) is engedélyezheti a Microsoft Graph API használatával. A hozzáférési kulcsok (FIDO2) engedélyezéséhez frissítenie kell a hitelesítési módszerek szabályzatát legalább hitelesítési házirend-rendszergazdaként.

A szabályzat konfigurálása a Graph Explorerrel:

1. Jelentkezzen be a Graph Explorerbe, és járuljon hozzá a Policy.Read.All és a Policy.ReadWrite.AuthenticationMethod engedélyhez.

2. A hitelesítési módszerek házirendjének lekérése:

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Ha le szeretné tiltani az igazolás kényszerítését, és kulcskorlátozásokat szeretne kikényszeríteni, hogy például csak az RSA DS100 AAGUID-jének engedélyezése legyen, hajtsa végre a PATCH műveletet a következő kérelemtörzs használatával:

   PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Győződjön meg arról, hogy a hozzáférési kulcs (FIDO2) házirendje megfelelően frissült.

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

A felhasználói fiókhoz társított hozzáférési kulcs (FIDO2) eltávolításához törölje azt a felhasználó hitelesítési módszeréből.

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába , és keresse meg azt a felhasználót, akinek a hozzáférési kulcsát (FIDO2) el kell távolítani.
2. Válassza ki , kattintson > és válassza a Törlés lehetőséget.

Ha azt szeretné, hogy a felhasználók pin-kóddal (FIDO2) jelentkezzenek be, amikor bizalmas erőforráshoz férnek hozzá, a következő műveleteket végezheti el:

• Beépített adathalászat-ellenálló hitelesítés használata

  Vagy

• Hozzon létre egyéni hitelesítés erősséget

Az alábbi lépések bemutatják, hogyan hozhat létre olyan egyéni hitelesítési erősségű feltételes hozzáférési szabályzatot, amely csak egy adott biztonságikulcs-modell vagy jelszószolgáltató (FIDO2) esetében engedélyezi a hozzáférési kulcs (FIDO2) bejelentkezését. A FIDO2-szolgáltatók listájáért tekintse meg a Microsoft Entra-azonosítóval való igazolásra jogosult FIDO2 biztonsági kulcsokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
2. Keresse meg a >hitelesítési erősségeit.
3. Válassza az Új hitelesítés erősségét.
4. Adja meg az új hitelesítési erősség nevét .
5. Igény szerint adjon meg leírást.
6. Válassza a Hozzáférési kulcsok (FIDO2) lehetőséget.
7. Ha adott AAGUID(k) szerint szeretné korlátozni a korlátozást, válassza a Speciális beállítások lehetőséget , majd az AAGUID hozzáadása lehetőséget. Adja meg az engedélyezett AAGUID(ka)t. Válassza a Mentés lehetőséget.
8. Válassza a Tovább lehetőséget, és tekintse át a szabályzat konfigurációját.

A biztonsági kulcsok rendszergazdai kiépítése előzetes verzióban érhető el. Tekintse meg a Microsoft Graph és az egyéni ügyfelek fido2 biztonsági kulcsainak a felhasználók nevében történő kiépítését.

A hozzáférési kulcs (FIDO2) hitelesítő adatainak regisztrálása nem támogatott a B2B együttműködési felhasználók számára az erőforrás-bérlőben.

Ha egy felhasználó UPN-azonosítója megváltozik, a továbbiakban nem módosíthatja a hozzáférési kulcsokat (FIDO2), hogy figyelembe vegyék a módosítást. Ha a felhasználó rendelkezik jelszóval (FIDO2), be kell jelentkeznie a biztonsági adatokba, törölnie kell a régi jelszót (FIDO2), és hozzá kell adnia egy újat.

Jelszó nélküli hitelesítés natív alkalmazás- és böngészőtámogatása (FIDO2)

FIDO2 biztonsági kulcs Windows 10 bejelentkezés

FIDO2-hitelesítés engedélyezése helyszíni erőforrásokon

Biztonsági kulcsok regisztrálása a felhasználók nevében

További információ az eszközregisztrációról

További információ a Microsoft Entra többtényezős hitelesítéséről