Povolení přístupových klíčů (FIDO2) pro vaši organizaci

Pro podniky, které dnes používají hesla, poskytují přístupové klíče (FIDO2) bezproblémový způsob ověřování pracovních procesů bez zadání uživatelského jména nebo hesla. Přístupové klíče (FIDO2) poskytují vyšší produktivitu pro pracovníky a mají lepší zabezpečení.

Tento článek uvádí požadavky a kroky pro povolení přístupových klíčů ve vaší organizaci. Po dokončení těchto kroků se uživatelé ve vaší organizaci můžou zaregistrovat a přihlásit ke svému účtu Microsoft Entra pomocí klíče uloženého na klíči zabezpečení FIDO2 nebo v aplikaci Microsoft Authenticator.

Další informace o povolení přístupových klíčů v aplikaci Microsoft Authenticator naleznete v tématu Povolení klíčů v aplikaci Microsoft Authenticator.

Další informace o ověřování pomocí klíče naleznete v tématu Podpora ověřování FIDO2 pomocí Microsoft Entra ID.

Poznámka:

Id Microsoft Entra v současné době podporuje klíče vázané na zařízení uložené na klíčích zabezpečení FIDO2 a v aplikaci Microsoft Authenticator. Microsoft se zavazuje zabezpečit zákazníky a uživatele pomocí přístupových klíčů. Investovali jsme do synchronizovaných i zařízení vázaných přístupových klíčů pro pracovní účty.

Požadavky

• Vícefaktorové ověřování Microsoft Entra (MFA)
• Klíče zabezpečení FIDO2 mají nárok na ověření pomocí Microsoft Entra ID nebo Microsoft Authenticatoru.
• Zařízení, která podporují ověřování pomocí klíče (FIDO2). Pro zařízení s Windows, která jsou připojená k Microsoft Entra ID, je nejlepší prostředí ve Windows 10 verze 1903 nebo vyšší. Zařízení připojená k hybridnímu připojení musí používat Windows 10 verze 2004 nebo vyšší.

Klíče (FIDO2) se podporují ve velkých scénářích ve Windows, macOS, Androidu a iOSu. Další informace o podporovanýchscénářch

Poznámka:

Podpora registrace stejného zařízení v Edgi na Androidu bude brzy k dispozici.

Guid ověření identity ověřovacího objektu (FIDO2) (AAGUID)

Specifikace FIDO2 vyžaduje, aby každý dodavatel klíče zabezpečení během registrace poskytl GUID ověření identity authenticatoru (AAGUID). AAGUID je 128bitový identifikátor označující typ klíče, například make a model. Očekává se také, že poskytovatelé klíče (FIDO2) na stolních a mobilních zařízeních během registrace poskytnou AAGUID.

Poznámka:

Dodavatel musí zajistit, aby byl identifikátor AAGUID stejný pro všechny podstatně identické klíče zabezpečení nebo zprostředkovatele FIDO2 (FIDO2), které tento dodavatel vytvořil, a jiný (s vysokou pravděpodobností) od AAGUID všech ostatních typů klíčů zabezpečení nebo klíče (FIDO2). Aby se to zajistilo, měl by být AAGUID pro daný model klíče zabezpečení nebo zprostředkovatele klíče (FIDO2) náhodně vygenerován. Další informace najdete v tématu Ověřování webu: Rozhraní API pro přístup k přihlašovacím údajům veřejného klíče – úroveň 2 (w3.org).

S dodavatelem klíče zabezpečení můžete určit klíč AAGUID klíče (FIDO2) nebo zobrazit klíče zabezpečení FIDO2, které mají nárok na ověření identity pomocí Microsoft Entra ID. Pokud je klíč (FIDO2) již zaregistrovaný, můžete AAGUID najít zobrazením podrobností metody ověřování klíče (FIDO2) pro uživatele.

Povolení metody ověřování FIDO2 (Passkey)

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

2. Přejděte na zásady metody>ověřování ochrany.>

3. V části Klíč metody (FIDO2) nastavte přepínač na Enable. Vyberte Všechny uživatele nebo Přidat skupiny a vyberte konkrétní skupiny. Podporují se jenom skupiny zabezpečení.

4. Na kartě Konfigurace:

   • Nastavte možnost Povolit samoobslužné nastavení na Ano. Pokud je nastavená hodnota Ne, nemůžou uživatelé zaregistrovat klíč pomocí bezpečnostních údajů, i když zásady metod ověřování povolí klíče (FIDO2).

   • Pokud vaše organizace chce mít jistotu, že model klíče zabezpečení FIDO2 nebo poskytovatel klíče FIDO2 je pravý a pochází od oprávněného dodavatele, nastavte možnost Vynutit ověření identity na Ano .

     • U klíčů zabezpečení FIDO2 vyžadujeme publikování a ověření metadat klíče zabezpečení pomocí služby FIDO Alliance Metadata Service a také předání další sady ověřovacích testů od Microsoftu. Další informace naleznete v tématu Stát se dodavatelem klíče zabezpečení kompatibilního s technologií FIDO2 kompatibilním s Microsoftem.
     • U klíčů v Microsoft Authenticatoru se podpora ověření identity plánuje pro všeobecnou dostupnost.

     Upozorňující

     Vynucení ověření identity určuje, jestli je klíč (FIDO2) povolený pouze během registrace. Uživatelé, kteří zaregistrují klíč (FIDO2) bez ověření identity, nebudou přihlášení zablokovaní, pokud je ověření identity vynucené později nastaveno na Ano .

   Zásady omezení klíče

   • Vynucení omezení klíče by mělo být nastaveno na Ano pouze v případě, že vaše organizace chce povolit nebo zakázat pouze určité modely klíčů zabezpečení nebo poskytovatele klíče, které jsou identifikovány jejich AAGUID. S dodavatelem klíče zabezpečení můžete určit klíč AAGUID klíče. Pokud je klíč již zaregistrovaný, najdete AAGUID zobrazením podrobností metody ověřování klíče pro uživatele.

   Pokud je omezení vynucení klíče nastavena na Ano, můžete vybrat Microsoft Authenticator a automaticky přidat AAGUID aplikace Authenticator pro vás do seznamu omezení klíčů. Další informace naleznete v tématu Povolení přístupových klíčů v aplikaci Microsoft Authenticator.

   Upozorňující

   Klíčová omezení nastavily použitelnost konkrétních modelů nebo poskytovatelů pro registraci i ověřování. Pokud změníte omezení klíče a odeberete identifikátor AAGUID, který jste dříve povolili, uživatelé, kteří dříve zaregistrovali povolenou metodu, ji už nemůžou používat pro přihlášení.

   Pokud vaše organizace v současné době nevynucuje omezení klíče a už má aktivní použití klíče, měli byste shromáždit identifikátory AAGUID klíčů, které se dnes používají. Přidejte je do seznamu povolených společně s identifikátory AAGUID authenticatoru, abyste povolili klíče (FIDO2). Tuto úlohu je možné provést pomocí automatizovaného skriptu, který analyzuje protokoly, jako jsou podrobnosti registrace a protokoly přihlašování.

   Poznámka:

   Pokud vypnete přetržení kláves, ujistěte se, že zrušíte zaškrtnutí políčka Microsoft Authenticator , aby uživatelé nebyli vyzváni k nastavení klíče v aplikaci Authenticator v bezpečnostních údajích.

   

5. Po dokončení konfigurace vyberte Uložit.

   Poznámka:

   Pokud se při pokusu o uložení zobrazí chyba, nahraďte více skupin jednou skupinou v jedné operaci a potom znovu klikněte na Uložit .

Zřízení klíčů zabezpečení FIDO2 pomocí rozhraní Microsoft Graph API (Preview)

V současné době ve verzi Preview můžou správci k zřizování klíčů zabezpečení FIDO2 jménem uživatelů používat Microsoft Graph a vlastní klienty. Zřizování vyžaduje roli Správce ověřování nebo klientskou aplikaci s oprávněním UserAuthenticationMethod.ReadWrite.All. Mezi vylepšení zřizování patří:

• Možnost vyžádat možnosti vytváření protokolu WebAuthn z ID Microsoft Entra
• Možnost registrace zřízeného klíče zabezpečení přímo u Microsoft Entra ID

Díky těmto novým rozhraním API můžou organizace vytvářet své vlastní klienty, aby jménem uživatele zřídily přihlašovací údaje k klíči zabezpečení (FIDO2). Pro zjednodušení tohoto procesu se vyžadují tři hlavní kroky.

1. Request creationOptions for a user: Microsoft Entra ID vrátí potřebná data pro vašeho klienta pro zřízení přihlašovacích údajů klíče (FIDO2). Patří sem informace, jako jsou informace o uživateli, ID předávající strany, požadavky na zásady přihlašovacích údajů, algoritmy, výzva k registraci a další.
2. Pomocí možností vytvoření zřiďte přihlašovací údaje klíče (FIDO2): Ke zřízení přihlašovacích údajů použijte creationOptions klienta, který podporuje protokol CTAP (Client to Authenticator Protocol). V tomto kroku budete muset vložit bezpečnostní klíč a nastavit PIN.
3. Zaregistrujte zřízené přihlašovací údaje pomocí ID Microsoft Entra: Pomocí formátovaného výstupu z procesu zřizování zadejte id Microsoft Entra, která jsou potřebná k registraci přihlašovacích údajů klíče (FIDO2) pro cílového uživatele.

Povolení přístupových klíčů (FIDO2) pomocí rozhraní Microsoft Graph API

Kromě používání Centra pro správu Microsoft Entra můžete také povolit přístupové klíče (FIDO2) pomocí rozhraní Microsoft Graph API. Pokud chcete povolit přístupové klíče (FIDO2), musíte zásady metod ověřování aktualizovat alespoň jako správce zásad ověřování.

Konfigurace zásad pomocí Graph Exploreru:

1. Přihlaste se k Graph Explorerua odsouhlaste oprávnění Policy.Read.All a Policy.ReadWrite.AuthenticationMethod .

2. Načtěte zásady metod ověřování:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Pokud chcete zakázat vynucení ověření identity a vynutit omezení klíče tak, aby povolovala pouze AAGUID pro RSA DS100, proveďte operaci PATCH pomocí následujícího textu požadavku:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Ujistěte se, že jsou správně aktualizované zásady klíče (FIDO2).

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Odstranění klíče (FIDO2)

Pokud chcete odebrat klíč (FIDO2) přidružený k uživatelskému účtu, odstraňte ho z metody ověřování uživatele.

1. Přihlaste se do Centra pro správu Microsoft Entra a vyhledejte uživatele, jehož klíč (FIDO2) je potřeba odebrat.
2. Vyberte metody> ověřování, klikněte pravým tlačítkem myši na Klíč (vázané na zařízení) a vyberte Odstranit.

Vynucení přihlášení k klíči (FIDO2)

Pokud chcete, aby se uživatelé při přístupu k citlivému prostředku přihlásili pomocí klíče (FIDO2), můžete:

• Použití integrované síly ověřování odolné proti útokům phishing

  Nebo

• vytvořte vlastní sílu ověřování.

Následující kroky ukazují, jak vytvořit vlastní zásady podmíněného přístupu silného ověřování, které umožňují přihlášení pomocí klíče (FIDO2) pouze pro konkrétního zprostředkovatele klíče zabezpečení nebo klíče (FIDO2). Seznam poskytovatelů FIDO2 najdete v tématu Klíče zabezpečení FIDO2, které mají nárok na ověření pomocí Microsoft Entra ID.

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
2. Přejděte na silné stránky>ochrany>.
3. Vyberte Novou sílu ověřování.
4. Zadejte název nové síly ověřování.
5. Volitelně zadejte popis.
6. Vyberte klíč (FIDO2).a0>
7. Pokud chcete omezit konkrétní možnosti AAGUID, vyberte Rozšířené možnosti a pak přidejte AAGUID. Zadejte povolené identifikátory AAGUID. Zvolte Uložit.
8. Zvolte Další a zkontrolujte konfiguraci zásad.

Známé problémy

Zřizování klíčů zabezpečení

Zřizování klíčů zabezpečení správce je ve verzi Preview. Informace o zřízení klíčů zabezpečení FIDO2 jménem uživatelů najdete v Microsoft Graphu a vlastních klientech.

Uživatelé spolupráce B2B

Registrace přihlašovacích údajů pro klíč (FIDO2) není podporovaná pro uživatele spolupráce B2B v tenantovi prostředků.

Změny hlavního názvu uživatele (UPN)

Pokud se hlavní název uživatele změní, nebudete už moct měnit klíče (FIDO2) tak, aby se za tuto změnu zohlednily. Pokud má uživatel klíč (FIDO2), musí se přihlásit k bezpečnostním údajům, odstranit starý klíč (FIDO2) a přidat nový.

Další kroky

Nativní aplikace a podpora prohlížeče ověřování bez hesla (FIDO2)

Přihlášení klíče zabezpečení FIDO2 pro Windows 10

Povolení ověřování FIDO2 pro místní prostředky

Registrace klíčů zabezpečení jménem uživatelů

Další informace o registraci zařízení

Další informace o vícefaktorové ověřování Microsoft Entra