在 Microsoft Authenticator 中启用通行密钥(预览)

本文列出了在 Authenticator 中为 Microsoft Entra ID 启用和强制使用通行密钥的步骤。 首先,更新身份验证方法策略以允许最终用户在 Authenticator 中使用通行密钥进行注册和登录。 然后,可以使用条件访问身份验证强度策略,以便在用户访问敏感资源时强制要求使用通行密钥登录。

要求

  • Microsoft Entra 多重身份验证 (MFA)
  • Android 14 及更高版本或 iOS 17 及更高版本
  • 作为密钥注册/身份验证过程的一部分的任何设备上的活动 Internet 连接。 必须在组织中允许连接到这两个终结点,才能启用跨设备注册和身份验证:
    • cable.ua5v.com
    • cable.auth.com
  • 对于跨设备注册/身份验证,两台设备都必须启用蓝牙

注意

用户需要安装适用于 Android 或 iOS 的最新版 Authenticator 才能使用通行密钥。

若要详细了解在 Authenticator 中使用通行密钥进行登录的位置,请参阅支持使用 Microsoft Entra ID 进行 FIDO2 身份验证

在管理中心启用 Authenticator 通行密钥

身份验证策略管理员必须同意在身份验证方法策略的 Passkey (FIDO2) 设置 中允许 Authenticator。 他们需要为 Microsoft Authenticator 显式允许 Authenticator 证明 GUID (AAGUID),使用户能够在 Authenticator 应用中注册通行密钥。 身份验证方法策略的 Microsoft Authenticator 应用部分中没有启用密钥的设置。

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“身份验证方法”>“身份验证方法策略”。

  3. 在“通行密钥(FIDO2)”方法下,选择“所有用户”,或选择“添加组”以选择特定的组仅支持安全组

  4. 在“配置”选项卡上:

    • 将“允许自助服务设置”设置为“是”。 如果设置为“否”,则用户无法使用安全信息来注册通行密钥,即便身份验证方法策略启用了通行密钥 (FIDO2)。

    • 将“强制证明”设置为“是”。

      在密钥 (FIDO) 策略中启用证明时,Microsoft Entra ID 会尝试验证正在创建的密钥的合法性。 当用户在 Authenticator 中注册密钥时,证明会验证是否使用 Apple 和 Google 服务创建了密码的合法Microsoft Authenticator 应用。 下面是更多详细信息:

      • iOS:验证器证明使用 iOS 应用证明服务 来确保 Authenticator 应用的合法性,然后再注册密钥。

        注意

        在强制实施证明时,支持在 Authenticator 中注册通行密钥,目前正在向 iOS Authenticator 应用用户推出。 在 Android 设备上的 Authenticator 中注册经证明的密钥的支持适用于最新版本的应用中的所有用户。

      • Android:

        • 对于 Play 完整性证明,Authenticator 证明使用 Play 完整性 API 来确保验证器应用的合法性,然后再注册密钥。
        • 对于密钥证明,Authenticator 证明使用 Android 提供的密钥证明来验证注册的密钥是否受硬件支持。

      注意

      对于 iOS 和 Android,Authenticator 证明依赖于 Apple 和 Google 服务来验证 Authenticator 应用的真实性。 大量服务使用可能会使密钥注册失败,用户可能需要重试。 如果 Apple 和 Google 服务关闭,Authenticator 证明会阻止注册,这需要证明,直到服务恢复为止。 若要监视 Google Play 完整性服务的状态,请参阅 Google Play 状态仪表板。 若要监视 iOS 应用证明服务的状态,请参阅 系统状态

    • 对于注册和身份验证,密钥限制设置了特定通行密钥的可用性。 将“强制实施密钥限制”设置为“是”,仅允许或阻止 AAGUID 标识的某些通行密钥。

      此设置必须为“是”,你需要添加 Microsoft Authenticator AAGUID,以允许用户在 Authenticator 中注册通行密钥,方法是登录到 Authenticator 应用,或从安全信息在 Microsoft Authenticator 中添加通行密钥

      安全信息要求将此设置设置为“是”,以便用户能够在 Authenticator 中选择通行密钥,并执行专用的 Authenticator 通行密钥注册流。 如果选择“ ”,用户仍可以通过选择 安全密钥或密码 方法(具体取决于其操作系统和浏览器)在 Microsoft Authenticator 中添加密钥。 但是,我们不希望许多用户发现和使用该方法。

      如果你的组织当前未强制实施密钥限制,并且已具有活动密钥使用情况,那么你应收集当前使用的密钥的 AAGUID。 包括这些用户和 Authenticator AAGUID 以启用此预览版。 可以使用用于分析日志(例如注册详细信息和登录日志)的自动化脚本执行此操作。

      如果更改密钥限制,并移除以前允许的 AAGUID,那么以前注册允许方法的用户无法再使用该方法来进行登录。

    • 将“限制特定密钥”设置为“允许”。

    • 选择 Microsoft Authenticator(预览版),自动将 Authenticator 应用 AAGUID 添加到密钥限制列表中,或手动添加以下 AAGUID,允许用户通过登录到 Authenticator 应用或在“安全信息”页上执行引导式流程,在 Authenticator 中注册通行密钥:

      • 适用于 Android 的 Authenticator:de1e552d-db1d-4423-a619-566b625cdc84
      • 适用于 iOS 的 Authenticator:90a3ccdf-635c-4729-a248-9b709135078f

      注意

      如果关闭密钥限制,请务必清除“Microsoft Authenticator(预览版)”复选框,这样就不会提示用户在 Authenticator 应用中的“安全信息”中设置通行密钥。

    显示启用 Microsoft Authenticator 通行密钥的屏幕截图。

  5. 完成配置后,选择“保存”

    注意

    如果在尝试保存时发现错误,请在一个操作中将多个组替换为单个组,然后再次单击“保存”。

使用 Graph 浏览器启用 Authenticator 通行密钥

除了使用 Microsoft Entra 管理中心之外,还可以使用 Graph 浏览器启用 Authenticator 通行密钥。 至少分配有身份验证策略管理员角色的用户可以更新身份验证方法策略,以允许使用 Authenticator 的 AAGUID。

若要使用 Graph 浏览器配置策略,请执行以下操作:

  1. 登录到 Graph 浏览器,并同意授予“Policy.Read.All”和“Policy.ReadWrite.AuthenticationMethod”权限

  2. 检索身份验证方法策略:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. 若要禁用证明强制实施,并强制实施密钥限制以便仅允许使用 Microsoft Authenticator 的 AAGUID,请使用以下请求正文执行 PATCH 操作:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": true,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "90a3ccdf-635c-4729-a248-9b709135078f",
                "de1e552d-db1d-4423-a619-566b625cdc84"
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. 确保正确更新通行密钥 (FIDO2) 策略。

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

将蓝牙使用情况限制为 Authenticator 中的密钥

某些组织会限制蓝牙的使用,其中包括使用密钥。 在这种情况下,组织可以通过允许蓝牙与已启用密钥的 FIDO2 验证器进行独占配对来允许传递密钥。 有关如何仅为通行密钥配置蓝牙使用情况的详细信息,请参阅 蓝牙受限环境中的 Passkeys。

删除通行密钥

如果用户删除 Authenticator 中的通行密钥,则密码密钥也会从用户的登录方法中删除。 身份验证策略管理员还可以按照以下步骤从用户的身份验证方法中删除通行密钥,但不会从 Authenticator 中删除通行密钥。

  1. 登录到 Microsoft Entra 管理中心并搜索需要删除其通行密钥的用户。
  2. 选中“身份验证方法”> 右击“FIDO2 安全密钥”,然后选择“删除”。

注意

除非用户在 Authenticator 中自行启动了密钥删除,否则他们需要在其设备上删除 Authenticator 中的通行密钥。

在 Authenticator 中强制使用通行密钥登录

若要让用户在访问敏感资源时使用通行密钥登录,请使用内置的防钓鱼身份验证强度,或者执行以下步骤来创建自定义身份验证强度:

  1. 以条件访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“身份验证方法”>“身份验证强度”。

  3. 选择“新建身份验证强度”。

  4. 为你的新身份验证强度提供一个描述性名称。

  5. (可选)提供说明。

  6. 选择“通行密钥 (FIDO2)”,然后选择“高级选项”

  7. 可以选择 防钓鱼 MFA 强度 ,也可以为 Authenticator 中的密钥添加 AAGUID:

    • 适用于 Android 的 Authenticator:de1e552d-db1d-4423-a619-566b625cdc84
    • 适用于 iOS 的 Authenticator:90a3ccdf-635c-4729-a248-9b709135078f
  8. 选择“下一步”并查看策略配置。

后续步骤

Windows 中对通行密钥的支持