在 Microsoft Authenticator 中启用通行密钥

本文列出了在 Authenticator 中为 Microsoft Entra ID 启用和强制使用通行密钥的步骤。 首先,更新身份验证方法策略以允许最终用户在 Authenticator 中使用通行密钥进行注册和登录。 然后,可以使用条件访问身份验证强度策略,以便在用户访问敏感资源时强制要求使用通行密钥登录。

要求

  • Microsoft Entra 多重身份验证 (MFA)
  • Android 14 及更高版本或 iOS 17 及更高版本
  • 任何设备上的活动 Internet 连接,它是通行密钥注册/身份验证过程的一部分。 贵组织必须允许连接到这两个终结点,这样才能实现跨设备注册和身份验证:
    • cable.ua5v.com
    • cable.auth.com
  • 对于跨设备注册/身份验证,两台设备都必须启用蓝牙

注意

用户需要安装适用于 Android 或 iOS 的最新版 Authenticator 才能使用通行密钥。

若要详细了解在 Authenticator 中使用通行密钥进行登录的位置,请参阅支持使用 Microsoft Entra ID 进行 FIDO2 身份验证

在管理中心启用 Authenticator 通行密钥

身份验证策略管理员必须同意在身份验证方法策略的 Passkey (FIDO2) 设置 中允许 Authenticator。 他们需要为 Microsoft Authenticator 显式允许 Authenticator 证明 GUID (AAGUID),使用户能够在 Authenticator 应用中注册通行密钥。 身份验证方法策略的 Microsoft Authenticator 应用部分中没有启用密钥的设置。

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“身份验证方法”>“身份验证方法策略”。

  3. 在“通行密钥(FIDO2)”方法下,选择“所有用户”,或选择“添加组”以选择特定的组仅支持安全组

  4. 在“配置”选项卡上:

    • 将“允许自助服务设置”设置为“是”。 如果设置为“否”,则用户无法使用安全信息来注册通行密钥,即便身份验证方法策略启用了通行密钥 (FIDO2)。

    • 将“强制认证”设置为“否”

      如果已在通行密钥 (FIDO) 策略中启用证明功能,Microsoft Entra ID 将尝试验证正在创建的通行密钥的合法性。 当用户在 Authenticator 中注册通行密钥时,证明功能会验证合法的 Microsoft Authenticator 应用是否使用 Apple 和 Google 服务创建了通行密钥。 下面提供了更多详细信息:

      • iOS:Authenticator 的证明功能将在注册通行密钥前使用 iOS 应用证明服务来确保 Authenticator 应用的合法性。

        注意

        目前正面向 iOS Authenticator 应用用户推出对强制实施证明时在 Authenticator 中注册通行密钥的支持。 对在 Android 设备上的 Authenticator 中注册经证明的通行密钥的支持适用于最新版本的应用中的所有用户。

      • Android:

        • 对于 Play 完整性证明,Authenticator 的证明功能将在注册通行密钥前使用 Play 完整性 API 来确保 Authenticator 应用的合法性。
        • 对于密钥证明,Authenticator 的证明功能将使用 Android 密钥证明来验证注册的通行密钥是否受硬件支持。

      注意

      对于 iOS 和 Android,Authenticator 的证明功能将依靠 Apple 和 Google 服务来验证 Authenticator 应用的真实性。 服务使用量过大可能会导致通行密钥注册失败,此时用户可能需要重试。 如果 Apple 和 Google 服务关闭,Authenticator 证明功能会阻止需要证明的注册活动,直到相应服务恢复为止。 若要监视 Google Play 完整性服务的状态,请参阅 Google Play 状态仪表板。 若要监视 iOS 应用证明服务的状态,请参阅系统状态

    • 对于注册和身份验证,密钥限制设置了特定通行密钥的可用性。 将“强制实施密钥限制”设置为“是”,仅允许或阻止 AAGUID 标识的某些通行密钥。

      此设置必须为“是”,你需要添加 Microsoft Authenticator AAGUID,以允许用户在 Authenticator 中注册通行密钥,方法是登录到 Authenticator 应用,或从安全信息在 Microsoft Authenticator 中添加通行密钥

      安全信息要求将此设置设置为“是”,以便用户能够在 Authenticator 中选择通行密钥,并执行专用的 Authenticator 通行密钥注册流。 如果选择“否”,用户可能仍可以通过选择“安全密钥或通行密钥”方法,在 Microsoft Authenticator 中添加通行密钥,这具体取决于所用操作系统和浏览器。 但是,我们不希望许多用户发现和使用该方法。

      如果你的组织当前未强制实施密钥限制,并且已具有活动密钥使用情况,那么你应收集当前使用的密钥的 AAGUID。 包括这些用户和 Authenticator AAGUID 以启用此预览版。 你可以使用可分析日志(例如注册详细信息和登录日志)的自动化脚本来完成此任务。

      如果更改密钥限制,并移除以前允许的 AAGUID,那么以前注册允许方法的用户无法再使用该方法来进行登录。

    • 将“限制特定密钥”设置为“允许”。

    • 选择 Microsoft Authenticator(预览版),自动将 Authenticator 应用 AAGUID 添加到密钥限制列表中,或手动添加以下 AAGUID,允许用户通过登录到 Authenticator 应用或在“安全信息”页上执行引导式流程,在 Authenticator 中注册通行密钥:

      • 适用于 Android 的 Authenticator:de1e552d-db1d-4423-a619-566b625cdc84
      • 适用于 iOS 的 Authenticator:90a3ccdf-635c-4729-a248-9b709135078f

      注意

      如果关闭密钥限制,请务必清除“Microsoft Authenticator(预览版)”复选框,这样就不会提示用户在 Authenticator 应用中的“安全信息”中设置通行密钥。

    显示启用 Microsoft Authenticator 通行密钥的屏幕截图。

  5. 完成配置后,选择“保存”

    注意

    如果在尝试保存时发现错误,请在一个操作中将多个组替换为单个组,然后再次单击“保存”。

使用 Graph 浏览器启用 Authenticator 通行密钥

除了使用 Microsoft Entra 管理中心之外,还可以使用 Graph 浏览器启用 Authenticator 通行密钥。 至少分配有身份验证策略管理员角色的用户可以更新身份验证方法策略,以允许使用 Authenticator 的 AAGUID。

若要使用 Graph 浏览器配置策略,请执行以下操作:

  1. 登录到 Graph 浏览器,并同意授予“Policy.Read.All”和“Policy.ReadWrite.AuthenticationMethod”权限

  2. 检索身份验证方法策略:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. 若要禁用证明强制实施,并强制实施密钥限制以便仅允许使用 Microsoft Authenticator 的 AAGUID,请使用以下请求正文执行 PATCH 操作:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": true,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "90a3ccdf-635c-4729-a248-9b709135078f",
                "de1e552d-db1d-4423-a619-566b625cdc84"
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. 确保正确更新通行密钥 (FIDO2) 策略。

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

限制蓝牙的使用,使其仅支持 Authenticator 中的通行密钥

某些组织会限制蓝牙的使用,其中包括使用通行密钥。 在这种情况下,组织可以通过仅允许蓝牙与已启用通行密钥的 FIDO2 验证器进行配对来允许通行密钥。 有关如何仅针对通行密钥配置蓝牙使用的详细信息,请参阅蓝牙受限环境中的通行密钥

删除通行密钥

如果用户删除 Authenticator 中的通行密钥,则该通行密钥也会从用户的登录方法中移除。 身份验证策略管理员也可以按照以下步骤从用户的身份验证方法中删除通行密钥,但其操作不会从 Authenticator 中移除通行密钥。

  1. 登录到 Microsoft Entra 管理中心并搜索需要删除其通行密钥的用户。
  2. 选中“身份验证方法”> 右击“FIDO2 安全密钥”,然后选择“删除”。

注意

除非用户在 Authenticator 中自行启动了通行密钥删除,否则他们还需要在其设备上移除 Authenticator 中的通行密钥。

在 Authenticator 中强制使用通行密钥登录

若要让用户在访问敏感资源时使用通行密钥登录,请使用内置的防钓鱼身份验证强度,或者执行以下步骤来创建自定义身份验证强度:

  1. 以条件访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“身份验证方法”>“身份验证强度”。

  3. 选择“新建身份验证强度”。

  4. 为你的新身份验证强度提供一个描述性名称。

  5. (可选)提供说明。

  6. 选择“通行密钥 (FIDO2)”,然后选择“高级选项”

  7. 你可以选择防网络钓鱼 MFA 强度,也可以为 Authenticator 中的通行密钥添加 AAGUID:

    • 适用于 Android 的 Authenticator:de1e552d-db1d-4423-a619-566b625cdc84
    • 适用于 iOS 的 Authenticator:90a3ccdf-635c-4729-a248-9b709135078f
  8. 选择“下一步”并查看策略配置。

后续步骤

Windows 中对通行密钥的支持