Povolení přístupových klíčů v Microsoft Authenticatoru

Tento článek uvádí kroky pro povolení a vynucování použití klíčů v authenticatoru pro ID Microsoft Entra. Nejprve aktualizujete zásady metod ověřování, abyste koncovým uživatelům umožnili registraci a přihlášení pomocí přístupových klíčů v Authenticatoru. Pak můžete použít zásady silného ověřování podmíněného přístupu k vynucení přihlašování pomocí klíče, když uživatelé přistupují k citlivému prostředku.

Požadavky

• Vícefaktorové ověřování Microsoft Entra
• Android 14 a novější nebo iOS 17 a novější
• Aktivní připojení k internetu na jakémkoli zařízení, které je součástí procesu registrace/ověřování klíče. Aby bylo možné povolit registraci a ověřování mezi zařízeními, musí být ve vaší organizaci povolené připojení k těmto dvěma koncovým bodům:
  • https://cable.ua5v.com
  • https://cable.auth.com
• Pro registraci nebo ověřování mezi zařízeními musí mít obě zařízení povolenou technologii Bluetooth

Poznámka:

Aby mohli uživatelé používat klíč, musí si nainstalovat nejnovější verzi Authenticatoru pro Android nebo iOS.

Další informace o tom, kde se můžete přihlásit pomocí přístupových klíčů v Authenticatoru, najdete v tématu Podpora ověřování FIDO2 pomocí Microsoft Entra ID.

Povolení přístupových klíčů v Authenticatoru v Centru pro správu

Správce zásad ověřování musí udělit souhlas s povolením authenticatoru v nastavení klíče (FIDO2) zásad ověřování. Musí explicitně povolit identifikátory GUID ověřování authenticatoru (AAGUIDs) pro Microsoft Authenticator, aby mohli uživatelé registrovat klíče v aplikaci Authenticator. V části aplikace Microsoft Authenticator zásad metod ověřování není k dispozici žádné nastavení pro povolení přístupových klíčů.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

2. Přejděte na zásady metody>ověřování ochrany.>

3. V části Klíč metody (FIDO2) vyberte Všichni uživatelé nebo Přidat skupiny a vyberte konkrétní skupiny. Podporují se jenom skupiny zabezpečení.

4. Na kartě Konfigurace:

   • Nastavte možnost Povolit samoobslužné nastavení na Ano. Pokud je nastavená hodnota Ne, nemůžou uživatelé zaregistrovat klíč pomocí bezpečnostních údajů, i když zásady metod ověřování povolí klíče (FIDO2).

   • Nastavte ověření identity vynucení na Ano.

     Pokud je v zásadách FIDO (Passkey) povolená ověření identity, pokusí se ID Microsoft Entra ověřit oprávněnost vytvářeného klíče. Když uživatel registruje klíč v authenticatoru, ověření identity ověří, že legitimní aplikace Microsoft Authenticator vytvořila klíč pomocí služeb Apple a Google. Tady jsou další podrobnosti:

     • iOS: Ověření identity authenticatoru používá službu App Attest pro iOS k zajištění oprávněnosti aplikace Authenticator před registrací klíče.

       Poznámka:

       Podpora registrace klíčů v authenticatoru při vynucení ověření identity se aktuálně zavádí pro uživatele aplikace iOS Authenticator. Podpora registrace atestovaných klíčů v authenticatoru na zařízeních s Androidem je dostupná všem uživatelům v nejnovější verzi aplikace.

     • Android:

       • Pro ověření integrity play používá ověření identity Authenticator rozhraní API integrity play k zajištění důvěryhodnosti aplikace Authenticator před registrací klíče.
       • V případě ověření identity klíče používá ověření identity pomocí ověření klíče androidem ověření klíče, aby ověřil, že zaregistrovaný klíč je hardwarem.

     Poznámka:

     Ověření identity pro iOS i Android spoléhá na služby Apple a Google k ověření pravosti aplikace Authenticator. Vysoké využití služby může selhat při registraci klíče a uživatelé můžou zkusit to znovu. Pokud jsou služby Apple a Google spuštěné, služba Authenticator zablokuje registraci, která vyžaduje ověření identity, dokud se služby neobnoví. Pokud chcete monitorovat stav služby Integrity Google Play, podívejte se na řídicí panel stavu Google Play. Pokud chcete monitorovat stav služby App Attest pro iOS, podívejte se na stav systému.

   • Omezení klíče nastavují použitelnost konkrétních klíčů pro registraci i ověřování. Nastavte vynucení omezení klíče na Ano , pokud chcete povolit nebo blokovat jenom určité klíče, které jsou identifikované jejich identifikátory AAGUID.

     Toto nastavení musí být Ano a potřebujete přidat Identifikátory AAGUID microsoft Authenticatoru, abyste uživatelům umožnili registrovat klíče v aplikaci Authenticator, a to buď přihlášením k aplikaci Authenticator, nebo přidáním klíče v Microsoft Authenticatoru z bezpečnostních údajů.

     Bezpečnostní údaje vyžadují, aby toto nastavení bylo nastaveno na Ano , aby uživatelé mohli zvolit klíč v authenticatoru a prošli vyhrazeným tokem registrace klíče ověřovacího klíče. Pokud zvolíte Ne, uživatelé budou moct v Aplikaci Microsoft Authenticator stále přidat klíč tak, že zvolí metodu Klíč zabezpečení nebo klíč v závislosti na operačním systému a prohlížeči. Neočekáváme ale, že by tuto metodu objevilo a používalo mnoho uživatelů.

     Pokud vaše organizace v současné době nevynucuje omezení klíče a už má aktivní použití klíče, měli byste shromáždit identifikátory AAGUID klíčů, které se dnes používají. Zahrňte tyto uživatele a identifikátory AAGUID authenticatoru. Můžete to provést pomocí automatizovaného skriptu, který analyzuje protokoly, jako jsou podrobnosti o registraci a protokoly přihlašování.

     Pokud změníte omezení klíče a odeberete identifikátor AAGUID, který jste dříve povolili, uživatelé, kteří dříve zaregistrovali povolenou metodu, ji už nemůžou používat pro přihlášení.

   • Nastavte možnost Omezit konkrétní klíče na Povolit.

   • Pokud chcete automaticky přidat AAGUID aplikace Authenticator do seznamu omezení klíčů, vyberte Microsoft Authenticator , nebo ručně přidejte následující identifikátory AAGUID, které uživatelům umožní registrovat klíče v authenticatoru přihlášením k aplikaci Authenticator nebo procházením toku s asistencí na stránce Bezpečnostní údaje:

     • Authenticator pro Android: de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator pro iOS: 90a3ccdf-635c-4729-a248-9b709135078f

     Poznámka:

     Pokud vypnete přetržení kláves, ujistěte se, že zrušíte zaškrtnutí políčka Microsoft Authenticator , aby uživatelé nebyli vyzváni k nastavení klíče v aplikaci Authenticator v bezpečnostních údajích.

   

5. Po dokončení konfigurace vyberte Uložit.

   Poznámka:

   Pokud se při pokusu o uložení zobrazí chyba, nahraďte více skupin jednou skupinou v jedné operaci a potom znovu klikněte na Uložit .

Povolení přístupových klíčů v Authenticatoru pomocí Graph Exploreru

Kromě používání Centra pro správu Microsoft Entra můžete také povolit přístupové klíče v Authenticatoru pomocí Graph Exploreru. Ti, kteří mají přiřazenou alespoň roli Správce zásad ověřování, mohou aktualizovat zásady metod ověřování tak, aby povolily AAGUID pro Authenticator.

Konfigurace zásad pomocí Graph Exploreru:

1. Přihlaste se k Graph Exploreru a odsouhlaste oprávnění Policy.Read.All a Policy.ReadWrite.AuthenticationMethod .

2. Načtěte zásady metod ověřování:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Pokud chcete zakázat vynucení ověření identity a vynutit omezení klíče tak, aby povolovat pouze AAGUID pro Microsoft Authenticator, proveďte operaci PATCH pomocí následujícího textu požadavku:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Ujistěte se, že jsou správně aktualizované zásady klíče (FIDO2).

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Omezení použití Bluetooth na klíče v Authenticatoru

Některé organizace omezují používání Bluetooth, což zahrnuje použití klíčů. V takových případech můžou organizace povolit přístupové klíče tím, že povolí párování Bluetooth výhradně s ověřovacími znaky FIDO2 s povoleným klíčem. Další informace o tom, jak nakonfigurovat použití Bluetooth pouze pro klíče, najdete v tématu Přístupové klíče v prostředích s omezeným přístupem Bluetooth.

Odstranění klíče

Pokud uživatel odstraní klíč v Authenticatoru, klíč se odebere také z přihlašovacích metod uživatele. Správce zásad ověřování může také pomocí těchto kroků odstranit klíč z metod ověřování uživatele, ale neodebere klíč z Authenticatoru.

1. Přihlaste se do Centra pro správu Microsoft Entra a vyhledejte uživatele, jehož klíč je potřeba odebrat.
2. Vyberte metody> ověřování pravým tlačítkem myši na klíč zabezpečení FIDO2 a vyberte Odstranit.

Poznámka:

Pokud uživatel nespravoval odstranění klíče sám v Authenticatoru, musí na svém zařízení také odebrat klíč v authenticatoru.

Vynucení přihlášení pomocí přístupových klíčů v Authenticatoru

Pokud chcete, aby se uživatelé při přístupu k citlivému prostředku přihlásili pomocí klíče, použijte integrovanou sílu ověřování odolnou proti útokům phishing nebo vytvořte vlastní sílu ověřování pomocí následujícího postupu:

1. Přihlaste se do Centra pro správu Microsoft Entra jako správce podmíněného přístupu.

2. Přejděte na silné stránky ověřování metod>ochrany>.

3. Vyberte Novou sílu ověřování.

4. Zadejte popisný název nové síly ověřování.

5. Volitelně zadejte popis.

6. Vyberte Klíče (FIDO2) a pak vyberte Upřesnit možnosti.

7. Můžete buď vybrat sílu MFA odolnou proti útokům phishing, nebo přidat AAGUID pro klíče v Authenticatoru:

   • Authenticator pro Android: de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator pro iOS: 90a3ccdf-635c-4729-a248-9b709135078f

8. Zvolte Další a zkontrolujte konfiguraci zásad.

Další kroky

Podpora pro klíč ve Windows