Włączanie kluczy dostępu w aplikacji Microsoft Authenticator

W tym artykule wymieniono kroki włączania i wymuszania używania kluczy dostępu w aplikacji Authenticator dla identyfikatora Entra firmy Microsoft. Najpierw należy zaktualizować zasady metody uwierzytelniania, aby umożliwić użytkownikom końcowym rejestrowanie i logowanie się przy użyciu kluczy dostępu w aplikacji Authenticator. Następnie możesz użyć zasad uwierzytelniania dostępu warunkowego, aby wymusić logowanie z kluczem dostępu, gdy użytkownicy uzyskują dostęp do poufnego zasobu.

Wymagania

• Uwierzytelnianie wieloskładnikowe Microsoft Entra (MFA)
• System Android 14 lub nowszy lub iOS 17 lub nowszy
• Aktywne połączenie internetowe na dowolnym urządzeniu, które jest częścią procesu rejestracji/uwierzytelniania klucza dostępu. Łączność z tymi dwoma punktami końcowymi musi być dozwolona w organizacji, aby umożliwić rejestrację i uwierzytelnianie między urządzeniami:
  • cable.ua5v.com
  • cable.auth.com
• W przypadku rejestracji/uwierzytelniania między urządzeniami oba urządzenia muszą mieć włączoną funkcję Bluetooth

Uwaga

Użytkownicy muszą zainstalować najnowszą wersję aplikacji Authenticator dla systemu Android lub iOS, aby użyć klucza dostępu.

Aby dowiedzieć się więcej o tym, gdzie można używać kluczy dostępu w aplikacji Authenticator do logowania, zobacz Obsługa uwierzytelniania FIDO2 przy użyciu identyfikatora Entra firmy Microsoft.

Włączanie kluczy dostępu w aplikacji Authenticator w centrum administracyjnym

Administrator zasad uwierzytelniania musi wyrazić zgodę na zezwolenie aplikacji Authenticator w ustawieniach klucza dostępu (FIDO2) zasad metod uwierzytelniania. Muszą jawnie zezwolić na identyfikatory GUID zaświadczania Authenticator (AAGUID) dla aplikacji Microsoft Authenticator, aby umożliwić użytkownikom rejestrowanie kluczy dostępu w aplikacji Authenticator. W sekcji aplikacji Microsoft Authenticator zasad Metody uwierzytelniania nie ma żadnego ustawienia umożliwiającego włączenie kluczy dostępu.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

2. Przejdź do strony Zasady>metody uwierzytelniania Metod>uwierzytelniania ochrony.

3. W obszarze metody Passkey (FIDO2) wybierz pozycję Wszyscy użytkownicy lub Dodaj grupy , aby wybrać określone grupy. Obsługiwane są tylko grupy zabezpieczeń.

4. Na karcie Konfigurowanie:

   • Ustaw opcję Zezwalaj na konfigurowanie samoobsługi na wartość Tak. Jeśli ustawiono wartość Nie, użytkownicy nie będą mogli zarejestrować klucza dostępu przy użyciu informacji zabezpieczających, nawet jeśli w zasadach metod uwierzytelniania są włączone klucz dostępu (FIDO2).

   • Dla opcji Wymuszanie zaświadczania ustaw wartość Tak.

     Po włączeniu zaświadczania w zasadach klucza dostępu (FIDO) identyfikator Entra firmy Microsoft próbuje zweryfikować zasadność tworzonego klucza dostępu. Gdy użytkownik rejestruje klucz dostępu w aplikacji Authenticator, zaświadczanie sprawdza, czy legalna aplikacja Microsoft Authenticator utworzyła klucz dostępu przy użyciu usług Firmy Apple i Google. Oto więcej szczegółów:

     • iOS: zaświadczanie authenticatora używa usługi zaświadczania aplikacji systemu iOS w celu zapewnienia zasadności aplikacji Authenticator przed zarejestrowaniem klucza dostępu.

       Uwaga

       Obsługa rejestrowania kluczy dostępu w aplikacji Authenticator w przypadku wymuszania zaświadczania jest obecnie wdrażana dla użytkowników aplikacji Authenticator systemu iOS. Obsługa rejestrowania attestowanych kluczy dostępu w aplikacji Authenticator na urządzeniach z systemem Android jest dostępna dla wszystkich użytkowników w najnowszej wersji aplikacji.

     • Android:

       • W przypadku zaświadczania integralności odtwarzania zaświadczanie Authenticator używa interfejsu API integralności odtwarzania w celu zapewnienia zasadności aplikacji Authenticator przed zarejestrowaniem klucza dostępu.
       • W przypadku zaświadczania klucza zaświadczanie authenticator używa zaświadczania klucza przez system Android w celu sprawdzenia, czy zarejestrowany klucz dostępu jest wspierany przez sprzęt.

     Uwaga

     W przypadku systemów iOS i Android zaświadczenie Authenticator opiera się na usługach firmy Apple i Google w celu zweryfikowania autentyczności aplikacji Authenticator. Duże użycie usługi może spowodować niepowodzenie rejestracji klucza dostępu, a użytkownicy mogą próbować ponownie. Jeśli usługi Apple i Google nie działają, zaświadczanie Authenticator blokuje rejestrację, która wymaga zaświadczania do czasu przywrócenia usług. Aby monitorować stan usługi integralności sklepu Google Play, zobacz Pulpit nawigacyjny stanu sklepu Google Play. Aby monitorować stan usługi zaświadczania aplikacji systemu iOS, zobacz Stan systemu.

   • Ograniczenia klucza ustawiają użyteczność określonych kluczy dostępu zarówno na potrzeby rejestracji, jak i uwierzytelniania. Ustaw opcję Wymuszaj ograniczenia klucza na Wartość Tak , aby zezwalać na określone klucze dostępu lub blokować je tylko przez ich identyfikatory AAGUID.

     To ustawienie musi mieć wartość Tak i należy dodać identyfikatory AAGUID aplikacji Microsoft Authenticator, aby umożliwić użytkownikom rejestrowanie kluczy dostępu w aplikacji Authenticator przez zalogowanie się do aplikacji Authenticator lub dodanie klucza dostępu w aplikacji Microsoft Authenticator z poziomu informacji zabezpieczających.

     Informacje zabezpieczające wymagają ustawienia Tak , aby użytkownicy mogli wybrać klucz dostępu w aplikacji Authenticator i przejść przez dedykowany przepływ rejestracji klucza dostępu aplikacji Authenticator . Jeśli wybierzesz pozycję Nie, użytkownicy mogą nadal mieć możliwość dodania klucza dostępu w aplikacji Microsoft Authenticator, wybierając metodę Klucz zabezpieczeń lub klucz dostępu , w zależności od systemu operacyjnego i przeglądarki. Nie spodziewamy się jednak, że wielu użytkowników odnajdzie tę metodę i użyje jej.

     Jeśli twoja organizacja nie wymusza obecnie ograniczeń kluczy i ma już aktywne użycie klucza dostępu, należy zebrać identyfikatory AAGUID używanych obecnie kluczy. Uwzględnij tych użytkowników i identyfikatory AAGUID authenticator. Można to zrobić za pomocą zautomatyzowanego skryptu, który analizuje dzienniki, takie jak szczegóły rejestracji i dzienniki logowania.

     Jeśli zmienisz ograniczenia klucza i usuniesz wcześniej dozwolony identyfikator AAGUID, użytkownicy, którzy wcześniej zarejestrowali dozwoloną metodę, nie będą mogli używać jej do logowania.

   • Ustaw opcję Ogranicz określone klucze na Wartość Zezwalaj.

   • Wybierz pozycję Microsoft Authenticator , aby automatycznie dodać identyfikatory AAGUID aplikacji Authenticator do listy ograniczeń klucza lub ręcznie dodać następujące identyfikatory AAGUID, aby umożliwić użytkownikom rejestrowanie kluczy dostępu w aplikacji Authenticator przez zalogowanie się do aplikacji Authenticator lub przejście przez przepływ z przewodnikiem na stronie Informacje o zabezpieczeniach:

     • Authenticator dla systemu Android: de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator dla systemu iOS: 90a3ccdf-635c-4729-a248-9b709135078f

     Uwaga

     Jeśli wyłączysz ponowne pobieranie kluczy, upewnij się, że wyczyść pole wyboru Microsoft Authenticator , aby użytkownicy nie monitowali o skonfigurowanie klucza dostępu w aplikacji Authenticator w obszarze Informacje zabezpieczające.

   

5. Po zakończeniu konfiguracji wybierz pozycję Zapisz.

   Uwaga

   Jeśli podczas próby zapisania wystąpi błąd, zastąp wiele grup pojedynczą grupą w jednej operacji, a następnie kliknij przycisk Zapisz ponownie.

Włączanie kluczy dostępu w aplikacji Authenticator przy użyciu Eksploratora programu Graph

Oprócz korzystania z centrum administracyjnego firmy Microsoft Entra można również włączyć klucz dostępu w aplikacji Authenticator przy użyciu Eksploratora programu Graph. Przypisana co najmniej rola administratora zasad uwierzytelniania może zaktualizować zasady metod uwierzytelniania, aby zezwolić na używanie identyfikatorów AAGUID dla wystawcy Authenticator.

Aby skonfigurować zasady przy użyciu Eksploratora programu Graph:

1. Zaloguj się do Eksploratora programu Graph i wyrażaj zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .

2. Pobierz zasady metody uwierzytelniania:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Aby wyłączyć wymuszanie zaświadczania i wymuszać ograniczenia klucza, aby zezwalać na używanie tylko identyfikatorów AAGUID dla aplikacji Microsoft Authenticator, wykonaj operację PATCH przy użyciu następującej treści żądania:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Upewnij się, że zasady klucza dostępu (FIDO2) zostały prawidłowo zaktualizowane.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Ograniczanie użycia funkcji Bluetooth do kluczy dostępu w aplikacji Authenticator

Niektóre organizacje ograniczają użycie protokołu Bluetooth, co obejmuje korzystanie z kluczy dostępu. W takich przypadkach organizacje mogą zezwalać na dostęp do kluczy dostępu, zezwalając na parowanie bluetooth wyłącznie z uwierzytelnianiem FIDO2 z obsługą klucza dostępu. Aby uzyskać więcej informacji na temat konfigurowania użycia protokołu Bluetooth tylko dla kluczy dostępu, zobacz Passkeys in Bluetooth-restricted environments (Klucze dostępu w środowiskach z ograniczeniami Bluetooth).

Usuwanie klucza dostępu

Jeśli użytkownik usunie klucz dostępu w aplikacji Authenticator, klucz dostępu zostanie również usunięty z metod logowania użytkownika. Administrator zasad uwierzytelniania może również wykonać następujące kroki, aby usunąć klucz dostępu z metod uwierzytelniania użytkownika, ale nie usunie klucza dostępu z aplikacji Authenticator.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra i wyszukaj użytkownika, którego klucz dostępu musi zostać usunięty.
2. Wybierz pozycję Metody> uwierzytelniania kliknij prawym przyciskiem myszy klucz zabezpieczeń FIDO2 i wybierz polecenie Usuń.

Uwaga

Jeśli użytkownik nie zainicjował usunięcia klucza dostępu w aplikacji Authenticator, musi również usunąć klucz dostępu w aplikacji Authenticator na swoim urządzeniu.

Wymuszanie logowania przy użyciu kluczy dostępu w aplikacji Authenticator

Aby umożliwić użytkownikom logowanie się przy użyciu klucza dostępu podczas uzyskiwania dostępu do poufnych zasobów, użyj wbudowanej siły uwierzytelniania odpornego na wyłudzenie informacji lub utwórz niestandardową siłę uwierzytelniania, wykonując następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator dostępu warunkowego.

2. Przejdź do strony Ochrona>metod>uwierzytelniania Mocnych stron uwierzytelniania.

3. Wybierz pozycję Nowa siła uwierzytelniania.

4. Podaj opisową nazwę nowej siły uwierzytelniania.

5. Opcjonalnie podaj opis.

6. Wybierz pozycję Passkeys (FIDO2), a następnie wybierz pozycję Opcje zaawansowane.

7. Możesz wybrać siłę uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji lub dodać identyfikatory AAGUID dla kluczy dostępu w aplikacji Authenticator:

   • Authenticator dla systemu Android: de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator dla systemu iOS: 90a3ccdf-635c-4729-a248-9b709135078f

8. Wybierz pozycję Dalej i przejrzyj konfigurację zasad.

Następne kroki

Obsługa klucza dostępu w systemie Windows