Поделиться через

Активация секретных ключей (FIDO2) для вашей организации

  • Статья

Для предприятий, использующих пароли сегодня, секретные ключи (FIDO2) обеспечивают простой способ проверки подлинности работников без ввода имени пользователя или пароля. Секретные ключи (FIDO2) обеспечивают улучшенную производительность для работников и имеют более высокую безопасность.

В этой статье перечислены требования и шаги для включения ключей доступа в вашей организации. После выполнения этих действий пользователи в организации могут зарегистрировать и войти в свою учетную запись Microsoft Entra с помощью секретного ключа, хранящегося в ключе безопасности FIDO2 или в Microsoft Authenticator.

Дополнительные сведения о включении секретных ключей в Microsoft Authenticator см. в статье "Как включить ключи доступа в Microsoft Authenticator".

Для получения дополнительных сведений о проверке подлинности с помощью ключа доступа см. Поддержка проверки подлинности FIDO2 с помощью Microsoft Entra ID.

Примечание.

Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.

Требования

  • Пользователи должны завершить многофакторную проверку подлинности (MFA) за последние пять минут, прежде чем они смогут зарегистрировать ключ доступа (FIDO2).
  • Пользователям требуется ключ безопасности FIDO2, подходящий для аттестации с помощью идентификатора Microsoft Entra ID или Microsoft Authenticator.
  • Устройства должны поддерживать аутентификацию с использованием ключей доступа (FIDO2). Для устройств Windows, присоединенных к идентификатору Microsoft Entra, лучше всего использовать windows 10 версии 1903 или более поздней. Устройства, присоединенные к гибридной среде, должны работать под управлением Windows 10 версии 2004 или более поздней.

Секретные ключи (FIDO2) поддерживаются в основных сценариях в Windows, macOS, Android и iOS. Дополнительные сведения о поддерживаемых сценариях см. в разделе "Поддержка проверки подлинности FIDO2" в идентификаторе Microsoft Entra ID.

Примечание.

Поддержка регистрации на том же устройстве в Edge для Android появится скоро.

Ключ доступа (FIDO2) Удостоверение подлинности аутентификатора GUID (AAGUID)

Спецификация FIDO2 требует, чтобы каждый поставщик ключей безопасности предоставил GUID аттестации аутентификатора (AAGUID) во время регистрации. 128-разрядное значение идентификатора AAGUID указывает тип ключа, например, бренд и модель. Поставщики ключей доступа (FIDO2) на настольных и мобильных устройствах, также должны предоставлять AAGUID во время регистрации.

Примечание.

Поставщик должен убедиться, что AAGUID идентичен всем существенно идентичным ключам безопасности или средствам входа (FIDO2), сделанным этим поставщиком, и отличается (с высокой вероятностью) от AAGUID всех других типов ключей безопасности или средств входа (FIDO2). Чтобы гарантировать это, AAGUID для данной модели ключа безопасности или секретного ключа (FIDO2) должен быть случайным образом сгенерирован. Дополнительные сведения см. в статье Web Authentication: An API for accessing Public Key Credentials - Level 2 (Проверка подлинности веб-приложений. API для доступа к учетным данным открытого ключа, уровень 2) на сайте w3.org.

Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID ключа (FIDO2) или просмотреть ключи безопасности FIDO2, подходящие для аттестации с использованием Microsoft Entra ID. Если ключ доступа (FIDO2) уже зарегистрирован, вы можете найти AAGUID, просмотрев сведения о методе проверки подлинности ключа доступа (FIDO2) для пользователя.

Снимок экрана с инструкцией по просмотру AAGUID для ключа доступа.

Активировать метод аутентификации ключа доступа FIDO2

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора политики проверки подлинности.

  2. Перейдите к защите>методам проверки подлинности>политики.

  3. В методе Passkey (FIDO2) установите переключатель в положение Включено. Выберите "Все пользователи" или "Добавить группы", чтобы выбрать определенные группы. Поддерживаются только группы безопасности.

  4. На вкладке "Настройка" :

    • Установите разрешение на самостоятельную настройку на Да. Если задано значение "Нет", пользователи не могут зарегистрировать пароль с помощью сведений о безопасности, даже если ключи доступа (FIDO2) включены политикой методов проверки подлинности.

    • Установите «Применить аттестацию» на «Да», если ваша организация хочет быть уверенной в том, что модель ключа безопасности FIDO2 или поставщик ключей являются подлинными и поступают от законного поставщика.

      • Для ключей безопасности FIDO2 требуется опубликовать и проверить метаданные ключа безопасности с помощью службы метаданных Альянса FIDO, а также пройти другое испытание на проверку Microsoft. Дополнительные сведения см. в статье "Стать поставщиком ключей безопасности, совместимым с Майкрософт FIDO2".
      • Ключи доступа в Microsoft Authenticator также поддерживают аттестацию. Дополнительные сведения см. в статье Как работает аттестация ключей доступа с помощью Authenticator.

      Предупреждение

      Применение аттестации регулирует, разрешено ли использовать ключ доступа (FIDO2) исключительно в момент регистрации. Пользователи, которые регистрируют ключ доступа (FIDO2) без аттестации, не блокируются при входе, если Принудительная аттестация установлена на Да позже.

    Политика ограничения ключей

    • Принудительное применение ограничений ключей должно быть установлено на Да только в том случае, если ваша организация хочет разрешить или запретить использование определенных моделей ключей безопасности или поставщиков ключей доступа, которые определяются их AAGUID. Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID ключа доступа. Если ключ доступа уже зарегистрирован, можно найти AAGUID, просмотрев сведения об аутентификационном методе ключа доступа пользователя.

    Предупреждение

    Ключевые ограничения задают удобство использования определенных моделей или поставщиков для регистрации и проверки подлинности. При изменении ограничений ключа и удалении AAGUID, разрешенного ранее, пользователи, которые ранее зарегистрировали разрешенный метод, больше не могут использовать его для входа.

    Снимок экрана: Microsoft Authenticator включен для секретного ключа.

  5. После завершения настройки нажмите кнопку "Сохранить".

    Примечание.

    Если при попытке сохранить возникает ошибка, замените несколько групп одной группой в одной операции и нажмите кнопку "Сохранить еще раз".

Подготовка ключей безопасности FIDO2 с помощью API Microsoft Graph (предварительная версия)

В настоящее время администраторы могут использовать Microsoft Graph и пользовательские клиенты для подготовки ключей безопасности FIDO2 от имени пользователей. Для предоставления требуется роль администратора аутентификации или клиентское приложение с разрешением UserAuthenticationMethod.ReadWrite.All. Улучшения в обеспечении включают:

  • Возможность запрашивать параметры создания WebAuthn из идентификатора Microsoft Entra
  • Возможность зарегистрировать подготовленный ключ безопасности непосредственно с помощью идентификатора Microsoft Entra

С помощью этих новых API организации могут создавать собственные клиенты для подготовки учетных данных доступа (FIDO2) для ключей безопасности от имени пользователя. Чтобы упростить этот процесс, необходимо выполнить три основных шага.

  1. Запрос creationOptions для пользователя: идентификатор Microsoft Entra возвращает необходимые данные для клиента для подготовки учетных данных доступа (FIDO2). К ним относятся такие сведения, как сведения о пользователях, идентификатор проверяющей стороны, требования к политике учетных данных, алгоритмы, проблема регистрации и многое другое.
  2. Настройте учетные данные доступа (FIDO2) с параметрами создания: используйте creationOptions, а также клиент, поддерживающий протокол взаимодействия с аутентификатором (CTAP). На этом шаге необходимо вставить ключ безопасности и задать ПИН-код.
  3. Зарегистрируйте подготовленные учетные данные в Microsoft Entra ID: используйте форматированные выходные данные процесса подготовки, чтобы предоставить Microsoft Entra ID необходимые данные для регистрации учетных данных доступа (FIDO2) для целевого пользователя.

Концептуальная схема, показывающая шаги, необходимые для предоставления ключей доступа (FIDO2).

Включение ключей доступа (FIDO2) с помощью API Microsoft Graph

Помимо использования Центра администрирования Microsoft Entra, вы также можете включить ключи доступа (FIDO2) с помощью API Microsoft Graph. Чтобы включить ключи доступа (FIDO2), необходимо обновить политику методов проверки подлинности, будучи как минимум администратором политики проверки подлинности.

Чтобы настроить политику с помощью Graph Explorer, сделайте следующее:

  1. Войдите в Graph Explorer и дайте согласие на разрешения Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.

  2. Получите политику методов проверки подлинности:

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Чтобы отключить принудительное применение аттестации и применить ограничения ключей, разрешающие использование только AAGUID для RSA DS100, выполните операцию PATCH с помощью следующего тела запроса:

    PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Убедитесь, что политика доступа (FIDO2) обновлена должным образом.

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Удаление ключа доступа (FIDO2)

Чтобы удалить ключ доступа (FIDO2), связанный с учетной записью пользователя, удалите его из метода проверки подлинности пользователя.

  1. Войдите в Центр администрирования Microsoft Entra и найдите пользователя, ключ доступа которого (FIDO2) необходимо удалить.
  2. Выберите методы проверки подлинности>, щелкните правой кнопкой мыши Ключ доступа (привязанный к устройству) и выберите "Удалить".

Принуждение использовать пароль-доступ (FIDO2)

Чтобы пользователи входили в систему с помощью ключа доступа (с FIDO2) при доступе к конфиденциальному ресурсу, вы можете:

  • Используйте встроенную устойчивую к фишингу прочность аутентификации

    Или

  • Создайте индивидуальную силу проверки подлинности

Ниже показано, как создать настраиваемую силу проверки подлинности. Это политика условного доступа, которая разрешает вход с ключом доступа (FIDO2) только для определенной модели ключей безопасности или поставщика ключей доступа (FIDO2). Список поставщиков FIDO2 см. в разделе "Ключи безопасности FIDO2", доступные для аттестации с идентификатором Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к защите>методам аутентификации>уровням надежности аутентификации.
  3. Выберите "Новая сила проверки подлинности".
  4. Укажите имя для новой силы проверки подлинности.
  5. При необходимости укажите описание.
  6. Выберите "Секретные ключи" (FIDO2).
  7. При необходимости, если вы хотите ограничить конкретный AAGUID, выберите дополнительные параметры>Добавить AAGUID. Введите AAGUID и выберите Сохранить.
  8. Нажмите кнопку "Далее " и просмотрите конфигурацию политики.

Известные проблемы

Подготовка ключа безопасности

Подготовка ключей безопасности администратора выполняется в предварительной версии. См. Microsoft Graph и пользовательских клиентов для управления ключами безопасности FIDO2 от имени пользователей.

Пользователи сотрудничества B2B

Регистрация учетных данных доступа (FIDO2) не поддерживается для пользователей службы совместной работы B2B в клиенте ресурсов.

Изменения UPN

Если имя пользователя UPN изменится, вы больше не сможете изменить ключи доступа (FIDO2), чтобы учесть это изменение. Если у пользователя есть ключ доступа (FIDO2), необходимо войти в сведения о безопасности, удалить старый ключ доступа (FIDO2) и добавить новый.

Следующие шаги

Поддержка нативных приложений и браузера для безпарольной аутентификации (FIDO2)

Ключ безопасности FIDO2 для входа в Windows 10

Включение аутентификации FIDO2 для локальных ресурсов

Регистрация ключей безопасности от имени пользователей

Дополнительные сведения о регистрации устройств

Дополнительные сведения о многофакторной проверке подлинности Microsoft Entra