Udostępnij za pośrednictwem

Włączanie kluczy dostępu w aplikacji Microsoft Authenticator

  • Artykuł

W tym artykule wymieniono kroki włączania i wymuszania używania kluczy dostępu w aplikacji Authenticator dla identyfikatora Entra firmy Microsoft. Najpierw należy zaktualizować zasady metody uwierzytelniania, aby umożliwić użytkownikom końcowym rejestrowanie i logowanie się przy użyciu kluczy dostępu w aplikacji Authenticator. Następnie możesz użyć zasad uwierzytelniania dostępu warunkowego, aby wymusić logowanie z kluczem dostępu, gdy użytkownicy uzyskują dostęp do poufnego zasobu.

Wymagania

  • Uwierzytelnianie wieloskładnikowe Microsoft Entra (MFA)
  • System Android 14 lub nowszy lub iOS 17 lub nowszy
  • Aktywne połączenie internetowe na dowolnym urządzeniu, które jest częścią procesu rejestracji/uwierzytelniania klucza dostępu. Łączność z tymi dwoma punktami końcowymi musi być dozwolona w organizacji, aby umożliwić rejestrację i uwierzytelnianie między urządzeniami:
    • https://cable.ua5v.com
    • https://cable.auth.com
  • W przypadku rejestracji/uwierzytelniania między urządzeniami oba urządzenia muszą mieć włączoną funkcję Bluetooth

Uwaga

Użytkownicy muszą zainstalować najnowszą wersję aplikacji Authenticator dla systemu Android lub iOS, aby użyć klucza dostępu.

Aby dowiedzieć się więcej o tym, gdzie można używać kluczy dostępu w aplikacji Authenticator do logowania, zobacz Obsługa uwierzytelniania FIDO2 przy użyciu identyfikatora Entra firmy Microsoft.

Włączanie kluczy dostępu w aplikacji Authenticator w centrum administracyjnym

Administrator zasad uwierzytelniania musi wyrazić zgodę na zezwolenie aplikacji Authenticator w ustawieniach klucza dostępu (FIDO2) zasad metod uwierzytelniania. Muszą jawnie zezwolić na identyfikatory GUID zaświadczania Authenticator (AAGUID) dla aplikacji Microsoft Authenticator, aby umożliwić użytkownikom rejestrowanie kluczy dostępu w aplikacji Authenticator. W sekcji aplikacji Microsoft Authenticator zasad Metody uwierzytelniania nie ma żadnego ustawienia umożliwiającego włączenie kluczy dostępu.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do strony Zasady>metody uwierzytelniania Metod>uwierzytelniania ochrony.

  3. W obszarze metody Passkey (FIDO2) wybierz pozycję Wszyscy użytkownicy lub Dodaj grupy , aby wybrać określone grupy. Obsługiwane są tylko grupy zabezpieczeń.

  4. Na karcie Konfigurowanie:

    • Ustaw opcję Zezwalaj na konfigurowanie samoobsługi na wartość Tak. Jeśli ustawiono wartość Nie, użytkownicy nie będą mogli zarejestrować klucza dostępu przy użyciu informacji zabezpieczających, nawet jeśli w zasadach metod uwierzytelniania są włączone klucz dostępu (FIDO2).

    • Dla opcji Wymuszanie zaświadczania ustaw wartość Tak.

      Po włączeniu zaświadczania w zasadach klucza dostępu (FIDO) identyfikator Entra firmy Microsoft próbuje zweryfikować zasadność tworzonego klucza dostępu. Gdy użytkownik rejestruje klucz dostępu w aplikacji Authenticator, zaświadczanie sprawdza, czy legalna aplikacja Microsoft Authenticator utworzyła klucz dostępu przy użyciu usług Firmy Apple i Google. Oto więcej szczegółów:

      • iOS: zaświadczanie authenticatora używa usługi zaświadczania aplikacji systemu iOS w celu zapewnienia zasadności aplikacji Authenticator przed zarejestrowaniem klucza dostępu.

        Uwaga

        Obsługa rejestrowania kluczy dostępu w aplikacji Authenticator w przypadku wymuszania zaświadczania jest obecnie wdrażana dla użytkowników aplikacji Authenticator systemu iOS. Obsługa rejestrowania attestowanych kluczy dostępu w aplikacji Authenticator na urządzeniach z systemem Android jest dostępna dla wszystkich użytkowników w najnowszej wersji aplikacji.

      • Android:

        • W przypadku zaświadczania integralności odtwarzania zaświadczanie Authenticator używa interfejsu API integralności odtwarzania w celu zapewnienia zasadności aplikacji Authenticator przed zarejestrowaniem klucza dostępu.
        • W przypadku zaświadczania klucza zaświadczanie authenticator używa zaświadczania klucza przez system Android w celu sprawdzenia, czy zarejestrowany klucz dostępu jest wspierany przez sprzęt.

      Uwaga

      W przypadku systemów iOS i Android zaświadczenie Authenticator opiera się na usługach firmy Apple i Google w celu zweryfikowania autentyczności aplikacji Authenticator. Duże użycie usługi może spowodować niepowodzenie rejestracji klucza dostępu, a użytkownicy mogą próbować ponownie. Jeśli usługi Apple i Google nie działają, zaświadczanie Authenticator blokuje rejestrację, która wymaga zaświadczania do czasu przywrócenia usług. Aby monitorować stan usługi integralności sklepu Google Play, zobacz Pulpit nawigacyjny stanu sklepu Google Play. Aby monitorować stan usługi zaświadczania aplikacji systemu iOS, zobacz Stan systemu.

    • Ograniczenia klucza ustawiają użyteczność określonych kluczy dostępu zarówno na potrzeby rejestracji, jak i uwierzytelniania. Ustaw opcję Wymuszaj ograniczenia klucza na Wartość Tak , aby zezwalać na określone klucze dostępu lub blokować je tylko przez ich identyfikatory AAGUID.

      To ustawienie musi mieć wartość Tak i należy dodać identyfikatory AAGUID aplikacji Microsoft Authenticator, aby umożliwić użytkownikom rejestrowanie kluczy dostępu w aplikacji Authenticator przez zalogowanie się do aplikacji Authenticator lub dodanie klucza dostępu w aplikacji Microsoft Authenticator z poziomu informacji zabezpieczających.

      Informacje zabezpieczające wymagają ustawienia Tak , aby użytkownicy mogli wybrać klucz dostępu w aplikacji Authenticator i przejść przez dedykowany przepływ rejestracji klucza dostępu aplikacji Authenticator . Jeśli wybierzesz pozycję Nie, użytkownicy mogą nadal mieć możliwość dodania klucza dostępu w aplikacji Microsoft Authenticator, wybierając metodę Klucz zabezpieczeń lub klucz dostępu , w zależności od systemu operacyjnego i przeglądarki. Nie spodziewamy się jednak, że wielu użytkowników odnajdzie tę metodę i użyje jej.

      Jeśli twoja organizacja nie wymusza obecnie ograniczeń kluczy i ma już aktywne użycie klucza dostępu, należy zebrać identyfikatory AAGUID używanych obecnie kluczy dostępu. Uwzględnij te identyfikatory AAGUID kluczy dostępu razem z identyfikatorami AAGUID uwierzytelniającego.

      Możesz użyć skryptu PowerShell do znajdowania identyfikatorów AAGUID używanych w Twojej dzierżawie. Aby uzyskać więcej informacji, zobacz Find AAGUIDs.

      Jeśli zmienisz ograniczenia klucza i usuniesz wcześniej dozwolony identyfikator AAGUID, użytkownicy, którzy wcześniej zarejestrowali dozwoloną metodę, nie będą mogli używać jej do logowania.

    • Ustaw opcję Ogranicz określone klucze na Wartość Zezwalaj.

    • Wybierz pozycję Microsoft Authenticator, aby automatycznie dodać identyfikatory AAGUID aplikacji Authenticator do listy ograniczeń kluczy lub ręcznie dodaj następujące identyfikatory AAGUID, aby umożliwić użytkownikom rejestrowanie kluczy bezpieczeństwa w aplikacji Authenticator, logując się do niej lub korzystając z przewodnika na stronie Informacje o zabezpieczeniach.

      • Authenticator dla systemu Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator dla systemu iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Uwaga

      Jeśli wyłączysz ograniczenia klucza, upewnij się, że odznaczysz pole wyboru Microsoft Authenticator, aby użytkownicy nie otrzymywali monitu o skonfigurowanie klucza dostępu w aplikacji Authenticator w Informacje zabezpieczające.

    Zrzut ekranu przedstawiający usługę Microsoft Authenticator włączoną dla klucza dostępu.

  5. Po zakończeniu konfiguracji wybierz pozycję Zapisz.

    Uwaga

    Jeśli podczas próby zapisania wystąpi błąd, zastąp wiele grup pojedynczą grupą w jednej operacji, a następnie kliknij przycisk Zapisz ponownie.

Włączanie kluczy dostępu w aplikacji Authenticator przy użyciu Eksploratora programu Graph

Oprócz korzystania z centrum administracyjnego firmy Microsoft Entra można również włączyć klucz dostępu w aplikacji Authenticator przy użyciu Eksploratora programu Graph. Przypisana co najmniej rola administratora zasad uwierzytelniania może zaktualizować zasady metod uwierzytelniania, aby zezwolić na używanie identyfikatorów AAGUID dla wystawcy Authenticator.

Aby skonfigurować zasady przy użyciu Eksploratora programu Graph:

  1. Zaloguj się do Eksploratora programu Graph i wyrażaj zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .

  2. Pobierz zasady metody uwierzytelniania:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Aby wyłączyć wymuszanie zaświadczania i wymuszać ograniczenia klucza, aby zezwalać na używanie tylko identyfikatorów AAGUID dla aplikacji Microsoft Authenticator, wykonaj operację PATCH przy użyciu następującej treści żądania:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": true,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Upewnij się, że zasady klucza dostępu (FIDO2) zostały prawidłowo zaktualizowane.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Znajdowanie identyfikatorów AAGUID

Użyj skryptu programu PowerShell GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 Microsoft Graph, aby wyliczyć identyfikatory AAGUID wszystkich zarejestrowanych kluczy dostępu w dzierżawie. Zapisz treść tego skryptu w pliku o nazwie GetRegisteredPasskeyAAGUIDsForAllUsers.ps1.

# Disconnect from Microsoft Graph
Disconnect-MgGraph

# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'

# Define the output file [If the script is run more than once delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"

# Initialize the file with a header
Set-Content -Path $file -Value '---'

# Retrieve all users
$UserArray = Get-MgBetaUser -All

# Iterate through each user
foreach ($user in $UserArray) {
    # Retrieve Passkey authentication methods for the user
    $fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id

    if ($fidos -eq $null) {
        # Log and write to file if no Passkey methods are found
        Write-Host "User object ID $($user.Id) has no Passkey"
        Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
    } else {
        # Iterate through each Passkey method
        foreach ($fido in $fidos) {
            # Log and write to file the Passkey details
            Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
            Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
        }
    }

    # Log and write a separator to file
    Write-Host "==="
    Add-Content -Path $file -Value "==="
}

Ograniczanie użycia funkcji Bluetooth do kluczy dostępu w aplikacji Authenticator

Niektóre organizacje ograniczają użycie protokołu Bluetooth, co obejmuje korzystanie z kluczy dostępu. W takich przypadkach organizacje mogą zezwalać na dostęp do kluczy dostępu, zezwalając na parowanie bluetooth wyłącznie z uwierzytelnianiem FIDO2 z obsługą klucza dostępu. Aby uzyskać więcej informacji na temat konfigurowania użycia protokołu Bluetooth tylko dla kluczy dostępu, zobacz Passkeys in Bluetooth-restricted environments (Klucze dostępu w środowiskach z ograniczeniami Bluetooth).

Usuwanie klucza dostępu

Jeśli użytkownik usunie klucz dostępu w aplikacji Authenticator, klucz dostępu zostanie również usunięty z metod logowania użytkownika. Administrator zasad uwierzytelniania może również wykonać następujące kroki, aby usunąć klucz dostępu z metod uwierzytelniania użytkownika, ale nie usunie klucza dostępu z aplikacji Authenticator.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra i wyszukaj użytkownika, którego klucz dostępu musi zostać usunięty.
  2. Wybierz pozycję Metody> uwierzytelniania kliknij prawym przyciskiem myszy klucz zabezpieczeń FIDO2 i wybierz polecenie Usuń.

Uwaga

Jeśli użytkownik nie zainicjował usunięcia klucza dostępu w aplikacji Authenticator, musi również usunąć klucz dostępu w aplikacji Authenticator na swoim urządzeniu.

Wymuszanie logowania przy użyciu kluczy dostępu w aplikacji Authenticator

Aby umożliwić użytkownikom logowanie się przy użyciu klucza dostępu podczas uzyskiwania dostępu do poufnych zasobów, użyj wbudowanej siły uwierzytelniania odpornego na wyłudzenie informacji lub utwórz niestandardową siłę uwierzytelniania, wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator dostępu warunkowego.

  2. Przejdź do strony Ochrona>metod>uwierzytelniania Mocnych stron uwierzytelniania.

  3. Wybierz pozycję Nowa siła uwierzytelniania.

  4. Podaj opisową nazwę nowej siły uwierzytelniania.

  5. Opcjonalnie podaj opis.

  6. Wybierz pozycję Passkeys (FIDO2), a następnie wybierz pozycję Opcje zaawansowane.

  7. Możesz wybrać siłę uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji lub dodać identyfikatory AAGUID dla kluczy dostępu w aplikacji Authenticator:

    • Authenticator dla systemu Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator dla systemu iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  8. Wybierz pozycję Dalej i przejrzyj konfigurację zasad.

Następne kroki

Obsługa klucza dostępu w systemie Windows