Aktivieren von Passkeys in Authenticator
In diesem Artikel werden die Schritte zum Aktivieren und Durchsetzen von Passkeys in Authenticator für Microsoft Entra ID aufgeführt. Zuerst aktualisieren Sie die Richtlinie für Authentifizierungsmethoden, um Benutzern das Registrieren und Anmelden mit Passkeys in Authenticator zu ermöglichen. Anschließend können Sie Richtlinien für bedingten Zugriff mit Authentifizierungsstärken verwenden, um die Passkey-Anmeldung zu erzwingen, wenn Benutzer auf eine vertrauliche Ressource zugreifen.
Anforderungen
Android 14 und höher oder iOS 17 und höher.
Für geräteübergreifende Registrierung und Authentifizierung:
- Beide Geräte müssen Bluetooth aktiviert haben.
- Die Internetverbindung mit diesen beiden Endpunkten muss in Ihrer Organisation zulässig sein:
https://cable.ua5v.comhttps://cable.auth.com
Hinweis
Benutzer können die geräteübergreifende Registrierung nicht verwenden, wenn Sie die Attestierung aktivieren.
Weitere Informationen zur FIDO2-Unterstützung finden Sie unter Unterstützung der FIDO2-Authentifizierung mit Microsoft Entra ID.
Aktivieren von Passkeys in Authenticator im Admin Center
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinie für Authentifizierungsmethoden.
Wählen Sie unter der Methode Passkey (FIDO2) die Option Alle Benutzer oder Gruppen hinzufügen aus, um bestimmte Gruppen auszuwählen. Es werden nur Sicherheitsgruppen unterstützt.
Auf der Registerkarte Konfigurieren:
Legen Sie Self-Service-Setup zulassen auf Ja fest. Wenn sie auf Neinfestgelegt ist, können Benutzer einen Schlüssel nicht mithilfe Sicherheitsinformationenregistrieren, auch wenn Passkeys (FIDO2) von der Richtlinie für Authentifizierungsmethoden aktiviert sind.
Legen Sie Nachweis erzwingen auf Ja oder Nein fest.
Wenn der Nachweis in der FIDO2-Richtlinie (PassKey) aktiviert ist, versucht Microsoft Entra-ID, die Legitimität des zu erstellenden Schlüssels zu überprüfen. Wenn der Benutzer einen Passkey im Authenticator registriert, überprüft die Bescheinigung, dass die legitime Authenticator-App den Passkey mithilfe von Apple- und Google-Diensten erstellt hat. Hier sind weitere Details:
iOS: Der Authenticator-Nachweis verwendet den iOS App Attest-Dienst, um die Legitimität der Authenticator-App sicherzustellen, bevor der Passkey registriert wird.
Android:
- Beim Play Integrity-Nachweis verwendet der Authenticator-Nachweis die Play Integrity-API, um die Legitimität der Authenticator-App sicherzustellen, bevor der Passkey registriert wird.
- Für den Schlüsselnachweis verwendet der Authenticator-Nachweis den Schlüsselnachweis von Android, um zu überprüfen, ob der zu registrierende Passkey hardwaregestützt ist.
Hinweis
Bei iOS und Android nutzt der Authenticator-Nachweis Apple- und Google-Dienste, um die Echtheit der Authenticator-App zu überprüfen. Die hohe Dienstverwendung kann zu einem Fehler bei der Schlüsselregistrierung führen, und Benutzer müssen es möglicherweise erneut versuchen. Wenn Apple- und Google-Dienste nicht verfügbar sind, blockiert der Authenticator-Nachweis die Registrierung, die einen Nachweis erfordert, bis die Dienste wieder verfügbar sind. Informationen zum Überwachen des Status des Google Play Integrity-Diensts finden Sie unter Google Play Status Dashboard (Statusdashboard von Google Play). Informationen zum Überwachen des Status des iOS App Attest-Diensts finden Sie unter System Status.
Hinweis
Benutzer können attestierte Schlüssel nur direkt in der Authenticator-App registrieren. Geräteübergreifende Registrierungsabläufe unterstützen die Registrierung von attestierten Schlüsseln nicht.
Schlüsseleinschränkungen die Benutzerfreundlichkeit bestimmter Schlüssel sowohl für die Registrierung als auch für die Authentifizierung festlegen. Sie können Schlüsseleinschränkungen erzwingen auf Nein festlegen, damit Benutzende alle unterstützten Passkeys registrieren können, einschließlich der Passkeyregistrierung direkt in der Authenticator-App.
Sie können Schlüsseleinschränkungen erzwingen auf Ja festlegen, um nur bestimmte Passkeys zuzulassen oder zu blockieren, die von ihren AAGUIDs identifiziert werden. Bis Mitte Februar muss die Sicherheitsinformation auf Ja festgelegt sein, damit Benutzer Passkey in Authenticator auswählen und den speziellen Authenticator-Kennwortregistrierungsprozess durchlaufen können. Wenn Sie Neinauswählen, können Benutzer, die zu SecurityInfo navigieren, möglicherweise trotzdem einen Kennungsschlüssel in Authenticator hinzufügen, indem Sie je nach Betriebssystem und Browser den Sicherheitsschlüssel oder die Kennung Methode auswählen. Es wird jedoch nicht erwartet, dass diese Methode von vielen Benutzern entdeckt und verwendet wird.
Wenn Sie Schlüsselbeschränkungen erzwingen und bereits über eine aktive Nutzung von Passkeys verfügen, sollten Sie die AAGUIDs der heute verwendeten Passkeys erfassen. Sie können ein PowerShell-Skript verwenden, um AAGUIDs zu finden, die in Ihrem Mandanten verwendet werden. Weitere Informationen finden Sie unter Find AAGUIDs.
Wenn Sie Bestimmte Schlüssel einschränken auf Zulassen festlegen, wählen Sie Microsoft Authenticator aus, um die AAGUIDs der Authenticator-App automatisch zur Liste der Schlüsseleinschränkungen hinzuzufügen. Sie können auch die folgenden AAGUIDs manuell hinzufügen, damit Benutzer Passkeys in Authenticator registrieren können, indem Sie sich bei der Authenticator-App anmelden oder einen geführten Fluss zu Sicherheitsinformationendurchlaufen:
- Authenticator für Android:
de1e552d-db1d-4423-a619-566b625cdc84 - Authenticator für iOS:
90a3ccdf-635c-4729-a248-9b709135078f
Wenn Sie Schlüsseleinschränkungen ändern und eine zuvor zulässige AAGUID entfernen, können Benutzer*innen, die zuvor eine zulässige Methode registriert haben, sie nicht mehr für die Anmeldung verwenden.
Hinweis
Wenn Sie Schlüsseleinschränkungen deaktivieren, stellen Sie sicher, dass Sie das Kontrollkästchen Microsoft Authenticator deaktivieren, damit Benutzer in der Authenticator-App keinen Passkey unter Sicherheitsinformationeneinrichten müssen.
- Authenticator für Android:
Wählen Sie nach Abschluss der Konfiguration Speichern aus.
Wenn beim Speichern ein Fehler angezeigt wird, ersetzen Sie mehrere Gruppen durch eine einzelne Gruppe in einem Vorgang, und wählen Sie dann Speichern erneut aus.
Aktivieren von Passschlüsseln in Authenticator mit dem Graph-Explorer
Sie können Passkeys in Authenticator nicht nur über das Microsoft Entra Admin Center, sondern auch mithilfe des Graph-Testers aktivieren. Wenn Sie mindestens der Rolle Authentifizierungsrichtlinienadministrator zugewiesen sind, können Sie die Richtlinie für Authentifizierungsmethoden aktualisieren, um die AAGUIDs für Authenticator zuzulassen.
So konfigurieren Sie die Richtlinie mithilfe von Graph-Tester
Melden Sie sich bei Graph-Tester an, und stimmen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zu.
Rufen Sie die Authentifizierungsmethodenrichtlinie ab:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2Um die Erzwingung von Nachweisen zu deaktivieren und wichtige Einschränkungen zu erzwingen, um nur AAGUIDs für Authenticator zuzulassen, führen Sie einen
PATCHVorgang mithilfe des folgenden Anforderungstexts aus:PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": true, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" <insert previous AAGUIDs here to keep them stored in policy> ] } }Stellen Sie sicher, dass die Passkey-Richtlinie (FIDO2) ordnungsgemäß aktualisiert wird.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Ermitteln von AAGUIDs
Verwenden Sie das Microsoft Graph PowerShell-Skript GetRegisteredPasskeyAAGUIDsForAllUsers.ps1, um die AAGUIDs aller registrierten Passkeys im Mandanten aufzulisten.
Speichern Sie den Textkörper dieses Skripts in einer Datei namens GetRegisteredPasskeyAAGUIDsForAllUsers.ps1.
# Disconnect from Microsoft Graph
Disconnect-MgGraph
# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'
# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"
# Initialize the file with a header
Set-Content -Path $file -Value '---'
# Retrieve all users
$UserArray = Get-MgBetaUser -All
# Iterate through each user
foreach ($user in $UserArray) {
# Retrieve Passkey authentication methods for the user
$fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id
if ($fidos -eq $null) {
# Log and write to file if no Passkey methods are found
Write-Host "User object ID $($user.Id) has no Passkey"
Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
} else {
# Iterate through each Passkey method
foreach ($fido in $fidos) {
# Log and write to file the Passkey details
Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
}
}
# Log and write a separator to file
Write-Host "==="
Add-Content -Path $file -Value "==="
}
Beschränken der Bluetooth-Nutzung auf Passkeys in Authenticator
Einige Organisationen schränken die Bluetooth-Nutzung ein. Dies schließt die Nutzung von Passkeys ein. In solchen Fällen können Organisationen Passkeys zulassen, indem sie die Bluetooth-Kopplung ausschließlich mit Passkey-fähigen FIDO2-Authentifikatoren zulassen. Weitere Informationen zum Konfigurieren der ausschließlichen Bluetooth-Nutzung für Passkeys finden Sie unter Passkeys in Umgebungen mit eingeschränkter Bluetooth-Nutzung.
Löschen eines Passkey
Wenn ein Benutzer einen Passkey in Authenticator löscht, wird der Passkey auch aus den Anmeldemethoden des Benutzers entfernt. Ein Authentifizierungsrichtlinienadministrator kann diese Schritte auch ausführen, um einen Passkey aus den Authentifizierungsmethoden des Benutzers zu löschen, aber er entfernt den Kennungsschlüssel nicht aus Authenticator.
Melden Sie sich beim Microsoft Entra Admin Centeran, und suchen Sie nach dem Benutzer, dessen Kennung entfernt werden muss.
Wählen Sie Authentifizierungsmethodenaus, klicken Sie mit der rechten Maustaste auf Passkey-, und wählen Sie Löschenaus.
Sofern der Benutzer den Löschvorgang für den Passkey nicht selbst in Authenticator initiiert hat, muss er den Passkey auch in Authenticator auf dem Gerät entfernen.
Durchsetzen der Anmeldung mit Passkeys in Authenticator
Wenn sich Benutzer mit einem Passkey anmelden sollen, wenn sie auf eine vertrauliche Ressource zugreifen, verwenden Sie die integrierte Phishing-resistente Authentifizierungsstärke, oder erstellen Sie eine benutzerdefinierte Authentifizierungsstärke. Führen Sie dazu die folgenden Schritte aus:
Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.
Browsen Sie zu Schutz>Authentifizierungsmethoden>Authentifizierungsstärken.
Wählen Sie Neue Authentifizierungsstärke aus.
Geben Sie einen beschreibenden Namen für ihre neue Authentifizierungsstärke an.
Geben Sie optional eine Beschreibung an.
Wählen Sie Passkeys (FIDO2) und dann Erweiterte Optionen aus.
Wählen Sie Stärke für Phishing-resistente MFA aus, oder fügen Sie AAGUIDs für Passkeys in Authenticator hinzu:
- Authenticator für Android:
de1e552d-db1d-4423-a619-566b625cdc84 - Authenticator für iOS:
90a3ccdf-635c-4729-a248-9b709135078f
- Authenticator für Android:
Wählen Sie Weiter aus, und überprüfen Sie die Richtlinienkonfiguration.