Delen via


Wachtwoordsleutels inschakelen in Microsoft Authenticator

In dit artikel vindt u de stappen voor het inschakelen en afdwingen van het gebruik van wachtwoordsleutels in Authenticator voor Microsoft Entra-id. Eerst werkt u het beleid voor verificatiemethoden bij zodat eindgebruikers zich kunnen registreren en aanmelden met wachtwoordsleutels in Authenticator. Vervolgens kunt u beleidsregels voor verificatie met voorwaardelijke toegang gebruiken om aanmelding met wachtwoordsleutels af te dwingen wanneer gebruikers toegang hebben tot een gevoelige resource.

Vereisten

Notitie

Gebruikers moeten de nieuwste versie van Authenticator voor Android of iOS installeren om een wachtwoordsleutel te gebruiken.

Zie Ondersteuning voor FIDO2-verificatie met Microsoft Entra ID voor meer informatie over waar u wachtwoordsleutels in Authenticator kunt gebruiken om u aan te melden.

Wachtwoordsleutels inschakelen in Authenticator in het beheercentrum

Een verificatiebeleidsbeheerder moet toestemming geven om Authenticator toe te staan in de FIDO2-instellingen (Passkey) van het beleid voor verificatiemethoden. Ze moeten de Authenticator Attestation GUID's (AAGUIDs) expliciet toestaan voor Microsoft Authenticator om gebruikers in staat te stellen wachtwoordsleutels te registreren in de Authenticator-app. Er is geen instelling om wachtwoordsleutels in te schakelen in de sectie Microsoft Authenticator-app van het beleid Verificatiemethoden.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar >verificatiemethodebeleid voor beveiligingsverificatiemethoden.>

  3. Selecteer onder de methode Passkey (FIDO2) alle gebruikers of groepen toevoegen om specifieke groepen te selecteren. Alleen beveiligingsgroepen worden ondersteund.

  4. Op het tabblad Configureren :

    • Stel Selfservice toestaan in op Ja. Als deze optie is ingesteld op Nee, kunnen gebruikers geen wachtwoordsleutel registreren met behulp van beveiligingsgegevens, zelfs als wachtwoordsleutels (FIDO2) zijn ingeschakeld door het beleid voor verificatiemethoden.

    • Stel Attestation afdwingen in op Ja.

      Wanneer attestation is ingeschakeld in het fido-beleid (passkey), probeert Microsoft Entra ID te controleren of de geldigheid van de wachtwoordsleutel die wordt gemaakt. Wanneer de gebruiker een wachtwoordsleutel registreert in de Authenticator, controleert attestation of de legitieme Microsoft Authenticator-app de wachtwoordsleutel heeft gemaakt met behulp van Apple- en Google-services. Hier vindt u meer informatie:

      • iOS: Authenticator Attestation maakt gebruik van de iOS App Attest-service om de geldigheid van de Authenticator-app te garanderen voordat de wachtwoordsleutel wordt geregistreerd.

        Notitie

        Ondersteuning voor het registreren van wachtwoordsleutels in Authenticator wanneer attestation wordt afgedwongen, wordt momenteel geïmplementeerd voor iOS Authenticator-app-gebruikers. Ondersteuning voor het registreren van geteste wachtwoordsleutels in Authenticator op Android-apparaten is beschikbaar voor alle gebruikers in de nieuwste versie van de app.

      • Android:

        • Voor Play Integrity Attestation maakt Authenticator-attestation gebruik van de Play Integrity-API om de geldigheid van de Authenticator-app te garanderen voordat de wachtwoordsleutel wordt geregistreerd.
        • Voor sleutelverklaring gebruikt Authenticator-attestation van Android sleutelattest om te controleren of de wachtwoordsleutel die wordt geregistreerd, wordt ondersteund door hardware.

      Notitie

      Voor zowel iOS als Android is Authenticator-attestation afhankelijk van Apple- en Google-services om de echtheid van de Authenticator-app te verifiëren. Intensief servicegebruik kan ervoor zorgen dat de registratie van wachtwoordsleutels mislukt en gebruikers moeten het mogelijk opnieuw proberen. Als Apple- en Google-services niet beschikbaar zijn, blokkeert Authenticator-attestation de registratie waarvoor attestation is vereist totdat de services zijn hersteld. Als u de status van de Google Play Integrity-service wilt controleren, raadpleegt u het Google Play-statusdashboard. Zie Systeemstatus om de status van de iOS App Attest-service te controleren.

    • Sleutelbeperkingen stellen de bruikbaarheid van specifieke wachtwoordsleutels in voor zowel registratie als verificatie. Stel Sleutelbeperkingen afdwingen in op Ja om alleen bepaalde wachtwoordsleutels toe te staan of te blokkeren, die worden geïdentificeerd door hun AAGUIDs.

      Deze instelling moet Ja zijn en u moet de Microsoft Authenticator AAGUIDs toevoegen om gebruikers toe te staan wachtwoordsleutels te registreren in de Authenticator-app, hetzij door u aan te melden bij de Authenticator-app of door wachtwoordsleutel toe te voegen in Microsoft Authenticator vanuit hun beveiligingsgegevens.

      Voor beveiligingsgegevens moet deze instelling zijn ingesteld op Ja, zodat gebruikers wachtwoordsleutel in Authenticator kunnen kiezen en een speciale verificatiestroom voor wachtwoordsleutelregistratie kunnen doorlopen. Als u Nee kiest, kunnen gebruikers mogelijk nog steeds een wachtwoordsleutel toevoegen in Microsoft Authenticator door de methode Beveiligingssleutel of wachtwoordsleutel te kiezen, afhankelijk van hun besturingssysteem en browser. We verwachten echter niet dat veel gebruikers die deze methode ontdekken en gebruiken.

      Als uw organisatie momenteel geen sleutelbeperkingen afdwingt en al actief wachtwoordsleutelgebruik heeft, moet u de AAGUIDs verzamelen van de sleutels die momenteel worden gebruikt. Neem deze gebruikers en de Authenticator AAGUIDs op. U kunt dit doen met een geautomatiseerd script dat logboeken analyseert, zoals registratiegegevens en aanmeldingslogboeken.

      Als u sleutelbeperkingen wijzigt en een AAGUID verwijdert die u eerder hebt toegestaan, kunnen gebruikers die eerder een toegestane methode hebben geregistreerd, deze niet meer gebruiken voor aanmelding.

    • Stel Specifieke sleutels beperken in op Toestaan.

    • Selecteer Microsoft Authenticator om de Authenticator-app AAGUIDs automatisch toe te voegen aan de lijst met sleutelbeperkingen of voeg de volgende AAGUIDs handmatig toe om gebruikers toe te staan wachtwoordsleutels in de Authenticator-app te registreren door u aan te melden bij de Authenticator-app of door een begeleide stroom op de pagina Beveiligingsgegevens te doorlopen:

      • Verificator voor Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Verificator voor iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Notitie

      Als u belangrijke beperkingen uitschakelt, schakelt u het selectievakje Microsoft Authenticator uit, zodat gebruikers niet worden gevraagd een wachtwoordsleutel in te stellen in de Authenticator-app in Beveiligingsgegevens.

    Schermopname van Microsoft Authenticator ingeschakeld voor wachtwoordsleutel.

  5. Nadat u de configuratie hebt voltooid, selecteert u Opslaan.

    Notitie

    Als er een fout optreedt wanneer u probeert op te slaan, vervangt u meerdere groepen door één groep in één bewerking en klikt u nogmaals op Opslaan .

Wachtwoordsleutels in Authenticator inschakelen met Graph Explorer

Naast het Microsoft Entra-beheercentrum kunt u ook wachtwoordsleutels in Authenticator inschakelen met Behulp van Graph Explorer. Gebruikers die ten minste de rol Verificatiebeleidbeheerder hebben toegewezen, kunnen het beleid voor verificatiemethoden bijwerken om de AAGUIDs voor Verificator toe te staan.

Ga als volgende te werk om het beleid te configureren met Graph Explorer:

  1. Meld u aan bij Graph Explorer en geef toestemming voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod .

  2. Haal het beleid voor verificatiemethoden op:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. Als u attestation-afdwinging wilt uitschakelen en sleutelbeperkingen wilt afdwingen om alleen AAGUIDs toe te staan voor Microsoft Authenticator, voert u een PATCH-bewerking uit met behulp van de volgende aanvraagbody:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": true,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "90a3ccdf-635c-4729-a248-9b709135078f",
                "de1e552d-db1d-4423-a619-566b625cdc84"
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. Zorg ervoor dat het beleid voor wachtwoordsleutels (FIDO2) correct is bijgewerkt.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

Bluetooth-gebruik beperken tot wachtwoordsleutels in Authenticator

Sommige organisaties beperken het Bluetooth-gebruik, waaronder het gebruik van wachtwoordsleutels. In dergelijke gevallen kunnen organisaties wachtwoordsleutels toestaan door uitsluitend Bluetooth-koppeling toe te staan met FIDO2-verificators waarvoor een wachtwoord is ingeschakeld. Zie Wachtwoordsleutels in beperkte Bluetooth-omgevingen voor meer informatie over het configureren van Bluetooth-gebruik alleen voor wachtwoordsleutels.

Een wachtwoordsleutel verwijderen

Als een gebruiker een wachtwoordsleutel in Authenticator verwijdert, wordt de wachtwoordsleutel ook verwijderd uit de aanmeldingsmethoden van de gebruiker. Een verificatiebeleidsbeheerder kan ook deze stappen volgen om een wachtwoordsleutel te verwijderen uit de verificatiemethoden van de gebruiker, maar de wachtwoordsleutel wordt niet verwijderd uit Authenticator.

  1. Meld u aan bij het Microsoft Entra-beheercentrum en zoek naar de gebruiker waarvan de wachtwoordsleutel moet worden verwijderd.
  2. Selecteer Verificatiemethoden> met de rechtermuisknop op FIDO2-beveiligingssleutel en selecteer Verwijderen.

Notitie

Tenzij de gebruiker de verwijdering van de wachtwoordsleutel zelf in Authenticator heeft geïnitieerd, moeten ze ook de wachtwoordsleutel verwijderen in Authenticator op hun apparaat.

Aanmelden met wachtwoordsleutels afdwingen in Authenticator

Als u wilt dat gebruikers zich aanmelden met een wachtwoordsleutel wanneer ze toegang hebben tot een gevoelige resource, gebruikt u de ingebouwde sterkte van phishing-bestendige verificatie of maakt u een aangepaste verificatiesterkte door de volgende stappen uit te voeren:

  1. Meld u als beheerder voor voorwaardelijke toegang aan bij het Microsoft Entra-beheercentrum .

  2. Blader naar >beveiligingsverificatiemethoden>verificatiesterkten.

  3. Selecteer Nieuwe verificatiesterkte.

  4. Geef een beschrijvende naam op voor de nieuwe verificatiesterkte.

  5. Geef desgewenst een beschrijving op.

  6. Selecteer Wachtwoordsleutels (FIDO2) en selecteer vervolgens Geavanceerde opties.

  7. U kunt phishingbestendige MFA-sterkte selecteren of AAGUIDs toevoegen voor wachtwoordsleutels in Authenticator:

    • Verificator voor Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Verificator voor iOS: 90a3ccdf-635c-4729-a248-9b709135078f
  8. Kies Volgende en controleer de beleidsconfiguratie.

Volgende stappen

Ondersteuning voor wachtwoordsleutel in Windows