Включение секретных ключей (FIDO2) для вашей организации
Для предприятий, использующих пароли сегодня, секретные ключи (FIDO2) обеспечивают простой способ проверки подлинности работников без ввода имени пользователя или пароля. Секретные ключи (FIDO2) обеспечивают улучшенную производительность для работников и имеют более высокую безопасность.
В этой статье перечислены требования и шаги для включения секретных ключей в организации. После выполнения этих действий пользователи в вашей организации могут зарегистрировать и войти в свою учетную запись Microsoft Entra с помощью секретного ключа, хранящегося в ключе безопасности FIDO2 или в Microsoft Authenticator.
Дополнительные сведения о включении секретных ключей в Microsoft Authenticator см. в статье "Как включить ключи доступа в Microsoft Authenticator".
Дополнительные сведения о сквозной проверке подлинности см. в разделе "Поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra".
Примечание.
Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.
Требования
- Многофакторная проверка подлинности (MFA) Microsoft Entra.
- Ключи безопасности FIDO2, доступные для аттестации с помощью идентификатора Microsoft Entra или Microsoft Authenticator.
- Устройства, поддерживающие сквозную проверку подлинности (FIDO2). Для устройств Windows, присоединенных к идентификатору Microsoft Entra, лучше всего использовать windows 10 версии 1903 или более поздней. Устройства, присоединенные к гибридной среде, должны работать под управлением Windows 10 версии 2004 или более поздней.
Секретные ключи (FIDO2) поддерживаются в основных сценариях в Windows, macOS, Android и iOS. Дополнительные сведения о поддерживаемых сценариях см. в разделе "Поддержка проверки подлинности FIDO2" в идентификаторе Microsoft Entra ID.
Примечание.
Поддержка регистрации с тем же устройством в Edge на Android скоро.
Секретный ключ (FIDO2) Authenticator Attestation GUID (AAGUID)
Спецификация FIDO2 требует, чтобы каждый поставщик ключей безопасности предоставил guid аттестации Authenticator (AAGUID) во время регистрации. 128-разрядное значение идентификатора AAGUID определяет тип ключа, то есть модель и издателя. Поставщики доступа (FIDO2) на настольных и мобильных устройствах также должны предоставлять AAGUID во время регистрации.
Примечание.
Поставщик должен убедиться, что AAGUID идентичен всем поставщикам ключей безопасности или секретных ключей (FIDO2), сделанных этим поставщиком, и разные (с высокой вероятностью) от AAGUIDs всех других типов ключей безопасности или поставщиков секретного ключа (FIDO2). Чтобы обеспечить это, поставщик AAGUID для заданной модели ключа безопасности или поставщика секретного ключа (FIDO2) должен быть случайным образом создан. Дополнительные сведения см. в статье Web Authentication: An API for accessing Public Key Credentials - Level 2 (Проверка подлинности веб-приложений. API для доступа к учетным данным открытого ключа, уровень 2) на сайте w3.org.
Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID ключа доступа (FIDO2) или просмотреть ключи безопасности FIDO2, подходящие для аттестации с идентификатором Microsoft Entra. Если ключ доступа (FIDO2) уже зарегистрирован, можно найти AAGUID, просмотрев сведения о методе проверки подлинности для пользователя.
Включение метода проверки подлинности passkey (FIDO2)
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к политике >метода проверки подлинности проверки подлинности защиты.>
В разделе метода Passkey (FIDO2) установите переключатель в значение Enable. Выберите "Все пользователи" или "Добавить группы", чтобы выбрать определенные группы. Поддерживаются только группы безопасности.
На вкладке "Настройка" :
Задайте для самостоятельной настройки значение "Да". Если задано значение "Нет", пользователи не могут зарегистрировать пароль с помощью сведений о безопасности, даже если ключи доступа (FIDO2) включены политикой методов проверки подлинности.
Установите значение "Применить аттестацию " значение "Да ", если ваша организация хочет убедиться, что модель ключа безопасности FIDO2 или поставщик секретного ключа является подлинным и поступает от законного поставщика.
- Для ключей безопасности FIDO2 требуется опубликовать и проверить метаданные ключа безопасности с помощью службы метаданных Альянса FIDO, а также передать другой набор проверки майкрософт. Дополнительные сведения см. в статье "Стать поставщиком ключей безопасности, совместимым с Майкрософт FIDO2".
- Для секретных ключей в Microsoft Authenticator поддержка аттестации планируется для общедоступной доступности.
Предупреждение
Принудительное применение аттестации определяет, разрешено ли ключ доступа (FIDO2) только во время регистрации. Пользователи, которые регистрируют ключ доступа (FIDO2) без аттестации, не блокируются при входе, если для принудительной аттестации установлено значение Yes позже.
Политика ограничения ключей
- Принудительное применение ограничений ключей должно быть задано только в том случае, если ваша организация хочет разрешить или запретить использование определенных моделей ключей безопасности или поставщиков секретных ключей, которые определяются их AAGUID. Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID ключа доступа. Если ключ доступа уже зарегистрирован, можно найти AAGUID, просмотрев сведения о методе проверки подлинности для пользователя.
Если для принудительного применения ограничений ключей задано значение "Да", вы можете выбрать Microsoft Authenticator, чтобы автоматически добавить приложение Authenticator AAGUID для вас в список ограничений ключей. Дополнительные сведения см. в разделе "Включение ключей доступа" в Microsoft Authenticator.
Предупреждение
Ключевые ограничения задают удобство использования определенных моделей или поставщиков для регистрации и проверки подлинности. При изменении ограничений ключа и удалении AAGUID, разрешенного ранее, пользователи, которые ранее зарегистрировали разрешенный метод, больше не могут использовать его для входа.
Если в настоящее время ваша организация не применяет ограничения ключей и уже имеет активное использование ключей, необходимо собрать AAGUID ключей, используемых сегодня. Добавьте их в список разрешений вместе с AAGUIDs Authenticator, чтобы включить ключи доступа (FIDO2). Эта задача может выполняться с помощью автоматизированного скрипта, который анализирует журналы, такие как сведения о регистрации и журналы входа.
Примечание.
Если отключить ретрикции ключей, снимите флажок Microsoft Authenticator, чтобы пользователям не было предложено настроить ключ доступа в приложении Authenticator в сведениях о безопасности.
После завершения настройки нажмите кнопку "Сохранить".
Примечание.
Если при попытке сохранить возникает ошибка, замените несколько групп одной группой в одной операции и нажмите кнопку "Сохранить еще раз".
Подготовка ключей безопасности FIDO2 с помощью API Microsoft Graph (предварительная версия)
В настоящее время администраторы могут использовать Microsoft Graph и пользовательские клиенты для подготовки ключей безопасности FIDO2 от имени пользователей. Для подготовки требуется роль администратора проверки подлинности или клиентское приложение с разрешением UserAuthenticationMethod.ReadWrite.All. К улучшениям подготовки относятся следующие:
- Возможность запрашивать параметры создания WebAuthn из идентификатора Microsoft Entra
- Возможность зарегистрировать подготовленный ключ безопасности непосредственно с помощью идентификатора Microsoft Entra
С помощью этих новых API организации могут создавать собственные клиенты для подготовки учетных данных доступа (FIDO2) для ключей безопасности от имени пользователя. Чтобы упростить этот процесс, необходимо выполнить три основных шага.
- Запрос creationOptions для пользователя: идентификатор Microsoft Entra возвращает необходимые данные для клиента для подготовки учетных данных доступа (FIDO2). К ним относятся такие сведения, как сведения о пользователях, идентификатор проверяющей стороны, требования к политике учетных данных, алгоритмы, проблема регистрации и многое другое.
- Подготовьте учетные данные доступа (FIDO2) с помощью параметров создания: используйте
creationOptions
клиент, поддерживающий протокол CTAP клиента для проверки подлинности (CTAP). На этом шаге необходимо вставить ключ безопасности и задать ПИН-код. - Зарегистрируйте подготовленные учетные данные с помощью идентификатора Microsoft Entra ID: используйте форматированные выходные данные процесса подготовки, чтобы предоставить идентификатору Microsoft Entra идентификатор необходимых данных для регистрации учетных данных доступа (FIDO2) для целевого пользователя.
Включение ключей доступа (FIDO2) с помощью API Microsoft Graph
Помимо использования Центра администрирования Microsoft Entra, вы также можете включить ключи доступа (FIDO2) с помощью API Microsoft Graph. Чтобы включить ключи доступа (FIDO2), необходимо обновить политику методов проверки подлинности по крайней мере администратором политики проверки подлинности.
Чтобы настроить политику с помощью песочницы Graph, сделайте следующее:
Войдите в обозреватель Graph и согласились с разрешениями Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.
Получите политику методов проверки подлинности:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Чтобы отключить принудительное применение аттестации и применить ограничения ключей, чтобы разрешить только AAGUID для RSA DS100, выполните операцию PATCH с помощью следующего текста запроса:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }
Убедитесь, что политика доступа (FIDO2) обновлена должным образом.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Удаление ключа доступа (FIDO2)
Чтобы удалить ключ доступа (FIDO2), связанный с учетной записью пользователя, удалите его из метода проверки подлинности пользователя.
- Войдите в Центр администрирования Microsoft Entra и найдите пользователя, ключ доступа которого (FIDO2) необходимо удалить.
- Выберите методы> проверки подлинности правой кнопкой мыши "Пароль" (привязанный к устройству) и нажмите кнопку "Удалить".
Принудительное выполнение входа в систему (FIDO2)
Чтобы пользователи входить с помощью ключа доступа (FIDO2) при доступе к конфиденциальному ресурсу, можно:
Использование встроенной защиты от фишинга проверки подлинности
Or
Создайте индивидуальную силу проверки подлинности
В следующих шагах показано, как создать настраиваемую политику условного доступа проверки подлинности, которая разрешает вход с ключом доступа (FIDO2) только для определенной модели ключа безопасности или поставщика доступа (FIDO2). Список поставщиков FIDO2 см. в разделе "Ключи безопасности FIDO2", доступные для аттестации с идентификатором Microsoft Entra.
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к преимуществам проверки подлинности методов>проверки подлинности защиты>.
- Выберите "Новая сила проверки подлинности".
- Укажите имя для новой силы проверки подлинности.
- При необходимости укажите описание.
- Выберите "Секретные ключи" (FIDO2).
- При необходимости, если вы хотите ограничить определенные идентификаторы AAGUID, выберите дополнительные параметры , а затем добавьте AAGUID. Введите разрешенные идентификаторы AAGUID. Выберите Сохранить.
- Нажмите кнопку "Далее " и просмотрите конфигурацию политики.
Известные проблемы
Подготовка ключа безопасности
Подготовка ключей безопасности администратора выполняется в предварительной версии. Сведения о подготовке ключей безопасности FIDO2 от имени пользователей см. в Microsoft Graph и пользовательских клиентах.
Пользователи для совместной работы B2B
Регистрация учетных данных доступа (FIDO2) не поддерживается для пользователей службы совместной работы B2B в клиенте ресурсов.
Изменения имени субъекта-пользователя
Если имя участника-пользователя изменяет имя участника-пользователя, вы больше не сможете изменить ключи доступа (FIDO2), чтобы учесть это изменение. Если у пользователя есть ключ доступа (FIDO2), необходимо войти в сведения о безопасности, удалить старый ключ доступа (FIDO2) и добавить новый.
Следующие шаги
Поддержка собственного приложения и браузера для проверки подлинности без пароля (FIDO2)
Включение входа с ключом безопасности без пароля для устройств Windows 10 с Azure Active Directory
Регистрация ключей безопасности от имени пользователей
Дополнительные сведения о регистрации устройств
Дополнительные сведения о многофакторной проверке подлинности Microsoft Entra