Podpora přístupových klíčů v aplikaci Authenticator ve vašem tenantovi Microsoft Entra ID

Tento článek se zabývá problémy, které můžou uživatelé vidět, když používají klíče v authenticatoru a možné způsoby, jak je správci vyřešit.

Ukládání přístupových klíčů v profilech Androidu

Klíče v Androidu se používají jenom z profilu, kde jsou uložené. Pokud je klíč uložený v pracovním profilu Androidu, použije se z daného profilu. Pokud je klíč uložený v osobním profilu Androidu, použije se z daného profilu. Aby uživatelé měli přístup k klíči, který potřebují, a mohli ho používat, měli by uživatelé s osobním profilem Androidu i s pracovním profilem Androidu pro každý profil vytvořit svoje klíče.

Alternativní řešení

Pro problémy s klíči authenticatoru použijte následující alternativní řešení.

Alternativní řešení pro smyčku zásad podmíněného přístupu silného ověřování

Uživatelé se můžou dostat do smyčky, když se pokusí přidat přístupový klíč v aplikaci Authenticator, pokud zásada podmíněného přístupu vyžaduje ověřování odolné proti phishingu pro přístup k Všechny prostředky (dříve Všechny cloudové aplikace). Například:

• Podmínka: Všechna zařízení (Windows, Linux, macOS, Windows, Android)
• Cílový prostředek: Všechny prostředky (dříve Všechny cloudové aplikace)
• Udělení řízení: Síla ověřování – Vyžadování klíče v Authenticatoru

Zásady vyžadují, aby cíloví uživatelé použili bezpečnostní klíč k přihlášení ke všem cloudovým aplikacím, včetně aplikace Authenticator. Vyžaduje, aby uživatelé při pokusu o přidání přístupového kódu v aplikaci Authenticator na Androidu nebo iOS použili přístupový kód.

Tady je několik alternativních řešení:

• Můžete filtrovat aplikace a převést cíl zásad ze všech prostředků (dříve Všechny cloudové aplikace) na konkrétní aplikace. Začněte kontrolou aplikací, které se používají ve vašem tenantovi. Pomocí filtrů můžete označit Authenticator a další aplikace.

• Pokud chcete dále snížit náklady na podporu, můžete spustit interní kampaň, která uživatelům pomůže přijmout přístupové klíče dříve, než jejich použití vynutíte. Až budete připraveni vynutit použití klíče, vytvořte dvě zásady podmíněného přístupu:

  • Zásady pro verze operačního systému (OS)
  • Zásady pro desktopové verze operačního systému

  Pro každou zásadu potřebujete jinou sílu ověřování a nakonfigurujte další nastavení zásad uvedená v následující tabulce. Můžete povolit dočasného přístupového passu (TAP) pro uživatele nebo povolit jiné metody ověřování, které uživatelům pomůžou zaregistrovat klíč.

  Tap omezuje dobu, kdy uživatelé můžou zaregistrovat klíč. Můžete ji přijmout pouze na mobilních platformách, kde povolíte registraci klíče.

  Zásady podmíněného přístupu	Desktopový operační systém	Mobilní operační systém
  Název	Vyžadovat klíč v Authenticatoru pro přístup k desktopovém operačnímu systému.	Pro přístup k mobilnímu operačnímu systému vyžadovat TAP, phishingově odolné přihlašovací údaje nebo jakoukoli jinou zadanou metodu ověřování.
  Podmínka	Specifická zařízení (desktopové operační systémy).	Konkrétní zařízení (mobilní operační systémy).
  Zařízení	Není k dispozici.	Android, iOS.
  Vyloučení zařízení	Android, iOS.	Není k dispozici.
  Cílový prostředek	Všechny prostředky.	Všechny prostředky.
  Udělení ovládacího prvku	Síla autentizace.	Síla ověřování.1
  Metody	Přístupový klíč v Authenticatoru	TAP, klíč v Authenticatoru.
  Výsledek zásad	Uživatelé, kteří se nemůžou přihlásit pomocí klíče v Authenticatoru, jsou přesměrováni do režimu průvodce Moje přihlášení. Po registraci se zobrazí výzva, aby se přihlásili k Authenticatoru na svém mobilním zařízení.	Uživatelé, kteří se přihlásí k Authenticatoru pomocí TAP nebo jiné povolené metody, můžou klíč zaregistrovat přímo v Authenticatoru. Nedojde k žádné smyčce, protože uživatel splňuje požadavky na ověřování.

  ¹. Aby uživatelé mohli registrovat nové metody přihlašování, musí řízení mobilních zásad odpovídat zásadám podmíněného přístupu, aby mohli registrovat bezpečnostní údaje.

Poznámka:

Při použití alternativního řešení musí uživatelé také splňovat všechny zásady podmíněného přístupu, které cílí na registraci bezpečnostních údajů, jinak nemohou zaregistrovat přístupový klíč. Pokud máte nastavené další podmínky se zásadami Všechny prostředky, musí být tyto podmínky splněny při registraci přístupového klíče.

Uživatelé, kteří nemůžou registrovat přístupové klíče kvůli vyžadování schválené klientské aplikace nebo vyžadování zásad ochrany aplikací – Podmíněné řízení přístupu

Uživatelé nemůžou v Authenticatoru zaregistrovat přístupové klíče, pokud jsou zahrnuté v následujících zásadách podmíněného přístupu:

• Podmínka: Všechna zařízení (Windows, Linux, macOS, Windows, Android)
• Cílový prostředek: Všechny prostředky (dříve Všechny cloudové aplikace)
• Řízení udělení: Vyžadovat schválené klientské aplikace nebo Vyžadovat zásady ochrany aplikací

Zásady vynutí, aby se uživatelé přihlásili ke všem cloudovým aplikacím pomocí aplikace, která podporuje zásady ochrany aplikací Microsoft Intune. Authenticator tuto zásadu nepodporuje v Androidu nebo iOSu.

Tady je několik alternativních řešení:

• Můžete filtrovat aplikace a převést cíl zásad ze všech prostředků (dříve Všechny cloudové aplikace) na konkrétní aplikace. Začněte kontrolou aplikací, které se používají ve vašem tenantovi. K označení vhodných aplikací použijte filtry.

• Můžete použít správu mobilních zařízení (MDM) a Vyžadovat, aby bylo zařízení označené jako vyhovující řízení. Authenticator může splňovat toto udělovací pravidlo, pokud je zařízení plně spravováno prostřednictvím MDM a je v souladu s předpisy. Například:

  • Podmínka: Všechna zařízení (Windows, Linux, macOS, Windows, Android)
  • Cílový prostředek: Všechny prostředky (dříve Všechny cloudové aplikace)
  • Řízení přístupu: Vyžadovat schválenou klientskou aplikaci, nebo Vyžadovat zásadu ochrany aplikace, nebo Vyžadovat, aby zařízení bylo označeno jako vyhovující

• Uživatelům můžete udělit dočasnou výjimku ze zásad podmíněného přístupu. Doporučujeme použít jeden nebo více kompenzačních ovládacích prvků:

  • Povolit výjimku pouze po omezenou dobu. Oznámte uživateli, když jim bude dovoleno registrovat přístupový klíč. Odeberte výjimku po uplynutí lhůty. Pak nasměrujte uživatele, aby volali na helpdesk, pokud jim chybí čas.
  • Použijte jinou zásadu podmíněného přístupu, která vyžaduje, aby se uživatelé zaregistrovali pouze z konkrétního síťového umístění nebo vyhovujícího zařízení.

Poznámka:

S jakýmkoli navrhovaným řešením musí uživatelé také splňovat všechny zásady podmíněného přístupu, které cílí na registraci bezpečnostních údajů, nebo nemůžou přístupový klíč zaregistrovat. Pokud máte nastavené další podmínky se zásadami Všechny prostředky, musí být splněny také, aby uživatelé mohli zaregistrovat klíč.

Omezení použití Bluetooth na klíče v Authenticatoru

Některé organizace omezují používání Bluetooth, což zahrnuje použití klíčů. V takových případech můžou organizace povolit přístupové klíče tím, že povolí párování Bluetooth výhradně s ověřovacími znaky FIDO2 s povoleným klíčem. Další informace o tom, jak nakonfigurovat použití Bluetooth pouze pro klíče, najdete v tématu Přístupové klíče v prostředích s omezeným přístupem Bluetooth.

Související obsah

• Další informace o klíčích v authenticatoru naleznete v tématu Metoda ověřování Microsoft Authenticator.
• Pokud chcete povolit přístupové klíče v Authenticatoru jako způsob, jak se uživatelé přihlásit, přečtěte si téma Povolení přístupových klíčů v aplikaci Microsoft Authenticator.