Delen via

Wachtwoordsleutels (FIDO2) inschakelen voor uw organisatie

  • Artikel

Voor ondernemingen die tegenwoordig wachtwoorden gebruiken, bieden wachtwoordsleutels (FIDO2) een naadloze manier voor werknemers om te verifiëren zonder een gebruikersnaam of wachtwoord in te voeren. Wachtwoordsleutels (FIDO2) bieden verbeterde productiviteit voor werknemers en hebben betere beveiliging.

Dit artikel bevat vereisten en stappen voor het inschakelen van wachtwoordsleutels in uw organisatie. Nadat u deze stappen hebt voltooid, kunnen gebruikers in uw organisatie hun Microsoft Entra-account registreren en aanmelden met een wachtwoordsleutel die is opgeslagen op een FIDO2-beveiligingssleutel of in Microsoft Authenticator.

Zie Hoe wachtwoordsleutels inschakelen in Microsoft Authenticator voor meer informatie over het inschakelen van wachtwoordsleutels in Microsoft Authenticator.

Zie Ondersteuning voor FIDO2-verificatie met Microsoft Entra-id voor meer informatie over wachtwoordsleutelverificatie.

Notitie

Microsoft Entra ID ondersteunt momenteel apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels en in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen. We investeren in zowel gesynchroniseerde als apparaatgebonden wachtwoordsleutels voor werkaccounts.

Vereisten

  • Gebruikers moeten de afgelopen vijf minuten meervoudige verificatie (MFA) voltooien voordat ze een wachtwoordsleutel (FIDO2) kunnen registreren.
  • Gebruikers hebben een FIDO2-beveiligingssleutel nodig die in aanmerking komt voor attestation met Microsoft Entra ID of Microsoft Authenticator.
  • Apparaten moeten fido2-verificatie (wachtwoordsleutel) ondersteunen. Voor Windows-apparaten die lid zijn van Microsoft Entra ID, is de beste ervaring op Windows 10 versie 1903 of hoger. Hybride apparaten moeten Windows 10 versie 2004 of hoger uitvoeren.

Wachtwoordsleutels (FIDO2) worden ondersteund in belangrijke scenario's in Windows, macOS, Android en iOS. Zie Ondersteuning voor FIDO2-verificatie in Microsoft Entra-id voor meer informatie over ondersteunde scenario's.

Notitie

Ondersteuning voor registratie van hetzelfde apparaat in Edge op Android is binnenkort beschikbaar.

Passkey (FIDO2) Authenticator Attestation GUID (AAGUID)

Voor de FIDO2-specificatie moet elke leverancier van de beveiligingssleutel een Authenticator Attestation GUID (AAGUID) opgeven tijdens de registratie. Een AAGUID is een 128-bits id die het sleuteltype aangeeft, zoals het merk en model. Fido2-providers (Wachtwoordsleutels) op desktop- en mobiele apparaten worden ook verwacht een AAGUID te leveren tijdens de registratie.

Notitie

De leverancier moet ervoor zorgen dat de AAGUID identiek is voor alle aanzienlijk identieke fido2-providers (beveiligingssleutels of wachtwoordsleutels) die door die leverancier zijn gemaakt, en dat de AAGUIDs (met een hoge waarschijnlijkheid) van alle andere typen beveiligingssleutels of wachtwoordsleutelproviders (FIDO2) verschillen. Om dit te garanderen, moet de AAGUID voor een bepaalde FIDO2-provider (Security Key Model of PassKey) willekeurig worden gegenereerd. Zie Webverificatie: een API voor toegang tot referenties voor openbare sleutels - niveau 2 (w3.org) voor meer informatie.

U kunt samenwerken met de leverancier van uw beveiligingssleutel om de AAGUID van de wachtwoordsleutel (FIDO2) te bepalen of fido2-beveiligingssleutels te zien die in aanmerking komen voor attestation met Microsoft Entra-id. Als de wachtwoordsleutel (FIDO2) al is geregistreerd, kunt u de AAGUID vinden door de details van de verificatiemethode van de wachtwoordsleutel (FIDO2) voor de gebruiker weer te geven.

Schermopname van het weergeven van de AAGUID voor een wachtwoordsleutel.

Verificatiemethode voor wachtwoordsleutel (FIDO2) inschakelen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar Bescherming>Authenticatiemethoden>Beleid.

  3. Stel onder de methode Passkey (FIDO2) de wisselknop in op Inschakelen. Selecteer Alle gebruikers of Groepen toevoegen om specifieke groepen te selecteren. Alleen beveiligingsgroepen worden ondersteund.

  4. Op het tabblad Configureren :

    • Stel Selfservice toestaan in opJa. Als deze optie is ingesteld op Nee, kunnen gebruikers geen wachtwoordsleutel registreren met behulp van beveiligingsgegevens, zelfs als wachtwoordsleutels (FIDO2) zijn ingeschakeld door het beleid voor verificatiemethoden.

    • Stel Attestation afdwingen in op Ja als uw organisatie er zeker van wil zijn dat een FIDO2-beveiligingssleutelmodel of wachtwoordsleutelprovider echt is en afkomstig is van de legitieme leverancier.

      • Voor FIDO2-beveiligingssleutels is het vereist dat de metagegevens van beveiligingssleutels worden gepubliceerd en geverifieerd met de FIDO Alliance Metadata Service en dat ze ook een aanvullende set validatietests van Microsoft doorstaan. Zie Een leverancier van fido2-beveiligingssleutels worden die compatibel is met Microsoft voor meer informatie.
      • Wachtwoordsleutels in Microsoft Authenticator ondersteunen ook attestation. Zie How passkey attestation werkt met Authenticatorvoor meer informatie.

      Waarschuwing

      Attestation-afdwinging bepaalt of een wachtwoordsleutel (FIDO2) alleen tijdens de registratie is toegestaan. Gebruikers die een wachtwoordsleutel (FIDO2) zonder attestation registreren, worden niet geblokkeerd voor aanmelding als afdwingen van attestation is ingesteld op Ja later.

    Beleid voor sleutelbeperkingen

    • Afdwingen van sleutelbeperkingen moet alleen worden ingesteld op Ja als uw organisatie alleen bepaalde beveiligingssleutelmodellen of wachtwoordsleutelproviders wil toestaan of weigeren, die worden geïdentificeerd door hun AAGUID. U kunt samenwerken met de leverancier van uw beveiligingssleutel om de AAGUID van de wachtwoordsleutel te bepalen. Als de wachtwoordsleutel al is geregistreerd, kunt u de AAGUID vinden door de details van de verificatiemethode van de wachtwoordsleutel voor de gebruiker weer te geven.

    Waarschuwing

    Sleutelbeperkingen stellen de bruikbaarheid van specifieke modellen of providers in voor zowel registratie als verificatie. Als u sleutelbeperkingen wijzigt en een AAGUID verwijdert die u eerder hebt toegestaan, kunnen gebruikers die eerder een toegestane methode hebben geregistreerd, deze niet meer gebruiken voor aanmelding.

    Schermopname van Microsoft Authenticator ingeschakeld voor wachtwoordsleutel.

  5. Nadat u de configuratie hebt voltooid, selecteert u Opslaan.

    Notitie

    Als er een fout optreedt wanneer u probeert op te slaan, vervangt u meerdere groepen door één groep in één bewerking en klikt u nogmaals op Opslaan .

FIDO2-beveiligingssleutels inrichten met Behulp van Microsoft Graph API (preview)

Momenteel in preview kunnen beheerders Microsoft Graph en aangepaste clients gebruiken om FIDO2-beveiligingssleutels in te richten namens gebruikers. Voor het inrichten is de rol van Verificatiebeheerder of een clientapplicatie met de machtiging UserAuthenticationMethod.ReadWrite.All vereist. De inrichtingsverbeteringen zijn onder andere:

  • De mogelijkheid om Opties voor het maken van WebAuthn aan te vragen vanuit Microsoft Entra-id
  • De mogelijkheid om de ingerichte beveiligingssleutel rechtstreeks te registreren bij Microsoft Entra-id

Met deze nieuwe API's kunnen organisaties hun eigen clients bouwen om wachtwoordsleutelreferenties (FIDO2) in te richten voor beveiligingssleutels namens een gebruiker. Om dit proces te vereenvoudigen, zijn drie belangrijke stappen vereist.

  1. Verzoek creationOptions voor een gebruiker: Microsoft Entra ID retourneert de benodigde gegevens voor uw client om een wachtwoordreferentie (FIDO2) in te richten. Dit omvat informatie zoals gebruikersgegevens, relying party-id, vereisten voor referentiebeleid, algoritmen, registratievraag en meer.
  2. Configureer de veiligheidssleutel (FIDO2) met de creatie-opties: gebruik de creationOptions en een client die het Client to Authenticator Protocol (CTAP) ondersteunt om de sleutel te configureren. Tijdens deze stap moet u de beveiligingssleutel invoegen en een pincode instellen.
  3. Registreer de geconfigureerde referentie bij Microsoft Entra ID: gebruik de opgemaakte uitvoer van het inrichtingsproces om Microsoft Entra ID van de benodigde gegevens te voorzien om de passkey-referentie (FIDO2) voor de doelgebruiker te registreren.

Conceptueel diagram met de stappen die nodig zijn voor het inrichten van wachtwoordsleutels (FIDO2).

Wachtwoordsleutels (FIDO2) inschakelen met behulp van Microsoft Graph API

Naast het gebruik van het Microsoft Entra-beheercentrum kunt u ook wachtwoordsleutels (FIDO2) inschakelen met behulp van de Microsoft Graph API. Als u wachtwoordsleutels (FIDO2) wilt inschakelen, moet u het beleid voor authenticatiemethoden bijwerken als ten minste een verificatiebeleidsbeheerder.

Ga als volgende te werk om het beleid te configureren met Graph Explorer:

  1. Meld u aan bij Graph Explorer en geef toestemming voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod .

  2. Haal het beleid voor verificatiemethoden op:

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Als u attestation-afdwinging wilt uitschakelen en sleutelbeperkingen wilt afdwingen om alleen de AAGUID voor RSA DS100 toe te staan, voert u bijvoorbeeld een PATCH-bewerking uit met behulp van de volgende aanvraagbody:

    PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Zorg ervoor dat het beleid voor wachtwoordsleutels (FIDO2) correct is bijgewerkt.

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Een wachtwoordsleutel verwijderen (FIDO2)

Als u een wachtwoordsleutel (FIDO2) wilt verwijderen die is gekoppeld aan een gebruikersaccount, verwijdert u deze uit de verificatiemethode van de gebruiker.

  1. Meld u aan bij het Microsoft Entra-beheercentrum en zoek de gebruiker waarvan de wachtwoordsleutel (FIDO2) moet worden verwijderd.
  2. Selecteer Verificatiemethoden> met de rechtermuisknop op Wachtwoordsleutel (apparaatgebonden) en selecteer Verwijderen.

Aanmelden met wachtwoordsleutel (FIDO2) afdwingen

Als u wilt dat gebruikers zich aanmelden met een wachtwoordsleutel (FIDO2) wanneer ze toegang hebben tot een gevoelige resource, kunt u het volgende doen:

  • Een ingebouwde phishingbestendige verificatiesterkte gebruiken

    Or

  • Maak een aangepaste verificatiesterkte

De volgende stappen laten zien hoe u een aangepaste verificatiesterkte maakt. Het is een Voorwaardelijke Toegang-beleid dat aanmelding met een passkey (FIDO2) alleen toestaat voor een specifiek model van een beveiligingssleutel of een FIDO2-provider. Zie FIDO2-beveiligingssleutels die in aanmerking komen voor attestation met Microsoft Entra ID voor een lijst met FIDO2-providers.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
  2. Blader naar >beveiligingsverificatiemethoden>verificatiesterkten.
  3. Selecteer Nieuwe verificatiesterkte.
  4. Geef een naam op voor de nieuwe verificatiesterkte.
  5. Geef desgewenst een beschrijving op.
  6. Selecteer Wachtwoordsleutels (FIDO2).
  7. Als u een specifieke AAGUID wilt beperken, selecteert u desgewenst Geavanceerde opties>AAGUID-toevoegen. Voer de AAGUID in en selecteer Opslaan.
  8. Kies Volgende en controleer de beleidsconfiguratie.

Bekende problemen

Beveiligingssleutels voorzien

Het inrichten van beveiligingssleutels voor beheerders is in de previewfase. Zie Microsoft Graph en aangepaste clients voor het inrichten van FIDO2-beveiligingssleutels namens gebruikers.

B2B-samenwerkingsgebruikers

Registratie van fido2-referenties (passkey) wordt niet ondersteund voor B2B-samenwerkingsgebruikers in de resourcetenant.

UPN-wijzigingen

Als de UPN van een gebruiker wordt gewijzigd, kunt u de wachtwoordsleutels (FIDO2) niet meer wijzigen om rekening te houden met de wijziging. Als de gebruiker een wachtwoordsleutel (FIDO2) heeft, moet hij of zij zich aanmelden bij Beveiligingsgegevens, de oude wachtwoordsleutel (FIDO2) verwijderen en een nieuwe sleutel toevoegen.

Volgende stappen

Systeemeigen app- en browserondersteuning voor verificatie zonder wachtwoordsleutel (FIDO2)

Windows 10-aanmelding met FIDO2-beveiligingssleutel

FIDO2-verificatie inschakelen voor on-premises resources

Beveiligingssleutels registreren namens gebruikers

Meer informatie over apparaatregistratie

Meer informatie over Meervoudige Verificatie van Microsoft Entra