為您的組織啟用通行密鑰 (FIDO2)

對於目前使用密碼的企業，密鑰 (FIDO2) 提供順暢的方式讓工作者進行驗證，而不需要輸入使用者名稱或密碼。 密鑰 (FIDO2) 可為工作者提供更佳的生產力，並提供更優異的安全性。

本文列出在組織中啟用密鑰的需求和步驟。 完成這些步驟之後，組織中的使用者就可以使用儲存在 FIDO2 安全性密鑰或 Microsoft Authenticator 上的複雜金鑰，註冊並登入其Microsoft Entra 帳戶。

如需在 Microsoft Authenticator 啟用通行金鑰的詳細資訊，請參閱如何在 Microsoft Authenticator 中啟用通行金鑰。

如需金鑰驗證的詳細資訊，請參閱使用 Microsoft Entra ID 支援 FIDO2 驗證。

註

Microsoft Entra ID 目前支援將與裝置綁定的通行金鑰儲存於 FIDO2 安全金鑰和 Microsoft Authenticator 中。 Microsoft 致力於利用通行金鑰保護客戶和使用者。 我們正在為工作帳戶投入同步和與裝置綁定的通行密鑰。

需求

• 用戶必須在過去五分鐘內完成多重要素驗證（MFA），才能註冊通行密鑰（FIDO2）。
• 使用者需要 FIDO2 安全性密鑰，才能使用 Microsoft Entra ID 或 Microsoft Authenticator 進行證明。
• 裝置必須支援複雜金鑰 （FIDO2） 驗證。 針對已聯結 Microsoft Entra ID 的 Windows 裝置，在 Windows 10 1903 版或更高版本可享有最佳體驗。 已使用混合式聯結的裝置必須執行 Windows 10 2004 版或更高版本。

Windows、macOS、Android 和 iOS 的主要應用情境都支援通行密碼 (FIDO2)。 如需支援案例的詳細資訊，請參閱 Microsoft Entra ID 中的 FIDO2 驗證支援。

註

即將推出支援 Android 上 Edge 的同一設備註冊。

通行密鑰 (FIDO2) 驗證器證明 GUID (AAGUID)

FIDO2 規範要求每個安全金鑰供應商在註冊時提供一個驗證器證明唯一標識碼 (AAGUID)。 AAGUID 是表示金鑰類型的 128 個位元識別碼，例如品牌和型號。 桌上型和行動裝置的密鑰 (FIDO2) 提供者，應該也會在註冊期間提供 AAGUID。

註

廠商必須確定 AAGUID 在該廠商所製造的所有本質上相同的安全性金鑰或密鑰 (FIDO2) 是相同的，以及與所有其他類型安全性金鑰或密鑰 (FIDO2) 提供者的 AAGUID 不同 (機率很高)。 若要確保這一點，應該隨機產生指定之安全性金鑰模型或密鑰 (FIDO2) 提供者的 AAGUID。 如需詳細資訊，請參閱 Web 驗證：存取公開金鑰認證的 API - 等級 2 (w3.org)。

您可以與安全性金鑰廠商合作，以判斷密鑰的 AAGUID (FIDO2)，或查看符合使用 Microsoft Entra ID 證明資格的 FIDO2 安全性金鑰。 如果密鑰 (FIDO2) 已經註冊，您也可以透過檢視使用者的密鑰 (FIDO2) 驗證方法詳細資料來找到 AAGUID。

啟用密鑰 (FIDO2) 驗證方法

1. 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 保護>驗證方法>原則。

3. 在密鑰 (FIDO2) 方法底下，將切換設定為 [啟用]。 選取 [所有使用者]或 [新增群組]以選取特定群組。 僅支援安全性群組。

4. 在 [設定] 頁籤上：

   • 將 [允許自助設定] 設定為 [是]。 如果設定為 [否]，使用者就無法使用 安全性資訊來註冊密鑰，即使驗證方法原則已啟用密鑰 (FIDO2)。

   • [強制證明] 應設定為 [是]，如果您的組織想要確保 FIDO2 安全性金鑰模型或密鑰提供者是正版，而且來自合法廠商。

     • 針對 FIDO2 安全性金鑰，我們要求安全性金鑰的中繼資料必須發佈並通過 FIDO 聯盟中繼資料服務的驗證，還需通過 Microsoft 的另一套驗證測試。 如需詳細資訊，請參閱成為 Microsoft 相容的 FIDO2 安全金鑰廠商。
     • Microsoft Authenticator 中的通行密鑰也支援證明。 如需詳細資訊，請參閱 通行密鑰證明如何與 Authenticator 搭配運作。

     警告

     憑證強制執行控管是否僅在註冊期間允許使用通行密鑰（FIDO2）。 如果 [強制證明]稍後設定為 [是]，使用者在未提供證明註冊密鑰 (FIDO2) 的情況下，也不會遭到登入封鎖。

   金鑰限制原則

   • 只有當貴組織想要允許或不允許特定的安全性金鑰模型或密鑰提供者 (由其 AAGUID 識別) 時，才應該將 [強制執行金鑰限制] 設定為 [是]。 您可以與安全性金鑰廠商合作來判斷通行密鑰的 AAGUID。 如果密鑰已經註冊，您也可以透過檢視使用者的密鑰驗證方法詳細資料來找到 AAGUID。

   警告

   使用限制會設定特定模型或提供者在註冊和驗證中的可用性。 如果您變更金鑰限制並移除您先前允許的 AAGUID，則先前註冊允許方法的使用者會無法再將其用來登入。

   

5. 完成設定之後，請選取 [儲存]。

   註

   如果在嘗試儲存時看到錯誤，請在一個作業中以單一群組取代多個群組，然後再次按一下 [儲存]。

使用 Microsoft Graph API 佈建 FIDO2 安全性金鑰 (預覽)

目前處於預覽狀態，系統管理員可以使用 Microsoft Graph 和自訂用戶端，代表使用者佈建 FIDO2 安全性密鑰。 佈建需要具有 UserAuthenticationMethod.ReadWrite.All 權限的驗證系統管理員角色或用戶端應用程式。 佈建改進包括：

• 能夠從 Microsoft Entra ID 請求 WebAuthn 創建選項
• 能夠使用 Microsoft Entra ID 直接註冊佈建的安全性密鑰

透過這些新的 API，組織可以建立自己的用戶端應用程式，代表使用者在安全性密鑰上配置通行碼 (FIDO2) 憑證。 若要簡化此過程，需要三個主要步驟。

1. 要求建立選項：Microsoft Entra ID 傳回用戶端配置通行密鑰（FIDO2）憑證所需的資料。 這包括使用者資訊、信賴憑證者 ID、認證原則需求、演算法、註冊挑戰等資訊。
2. 使用建立選項提供密碼（金鑰）憑證（FIDO2）：使用 creationOptions 和支援客戶端到認證器通訊協定（CTAP）的用戶端來提供憑證。 在此步驟中，您需要插入安全性密鑰並設定 PIN。
3. 使用 Microsoft Entra ID 註冊已佈建的認證：利用佈建過程中的格式化輸出，將目標使用者的通行密鑰 (FIDO2) 認證所需的資料提供給 Microsoft Entra ID 進行註冊。

使用 Microsoft Graph API 啟用密鑰 (FIDO2)

除了使用 Microsoft Entra 系統管理中心之外，您也可以使用 Microsoft Graph API 啟用密鑰 (FIDO2)。 若要啟用通行密鑰 (FIDO2)，您需要具有至少驗證原則管理員的身分，才能更新驗證方法原則。

若要使用 Graph Explorer 來配置政策：

1. 登入 Graph Explorer，並同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 權限。

2. 取得驗證方法政策：

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. 若要停用憑證驗證的強制性執行並對金鑰設置限制，例如僅允許 RSA DS100 的 AAGUID，請使用下列要求本文執行 PATCH 作業：

   PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. 請確定密鑰 (FIDO2) 政策已正確更新。

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

刪除密鑰 (FIDO2)

若要移除與使用者帳戶相關聯的密鑰 (FIDO2)，請從使用者的驗證方法中刪除該金鑰。

1. 登入 [Microsoft Entra 系統管理中心]，並搜尋需要移除其密鑰 (FIDO2) 的使用者。
2. 選取 [驗證方法]>，以滑鼠右鍵按一下 [密鑰 (裝置繫結)]，然後選取 [刪除]。

強制執行密鑰 (FIDO2) 登入

若要讓使用者在存取敏感性資源時使用密鑰 (FIDO2) 登入，您可以：

• 使用內建的防網路釣魚驗證強度

  或

• 建立自訂驗證強度

下列步驟示範如何建立自定義驗證強度。 這是允許僅使用特定安全性密鑰模型或 FIDO2 提供者的通行碼進行登入的條件式存取原則。 如需 FIDO2 提供者的清單，請參閱符合 Microsoft Entra ID 證明資格的 FIDO2 安全性密鑰。

1. 以至少條件式存取管理員的身分登入Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]> [驗證方法] > [驗證強度]。
3. 選取 [新驗證強度]。
4. 提供新驗證強度的 名稱。
5. 選擇性地提供 [描述]。
6. 選取通行金鑰 (FIDO2)。
7. 您可以選擇性地限制特定的AAGUID，請選取 [[進階選項]>[新增AAGUID]。 輸入 AAGUID，然後選取 儲存。
8. 選擇 [下一步] 並檢閱原則設定。

已知問題

安全性金鑰佈建

系統管理員提供的安全性金鑰目前處於預覽階段。 請參閱 Microsoft Graph 和自訂用戶端來為使用者設定 FIDO2 安全金鑰。

B2B 共同作業使用者

資源租用戶中的 B2B 合作使用者不支援 FIDO2 憑證的註冊。

UPN 變更

如果使用者的 UPN 變更，您就無法因應變更再修改密鑰 (FIDO2)。 如果使用者有密鑰 (FIDO2)，則必須登入 [安全性資訊]、刪除舊的密鑰 (FIDO2)，然後新增一個密鑰。

下一步

支援通行金鑰 (FIDO2) 無密碼驗證的原生應用程式和瀏覽器

FIDO2 安全性金鑰 Windows 10 登入

啟用內部部署資源的 FIDO2 驗證

代表使用者註冊安全性金鑰

深入了解裝置註冊

深入了解 Microsoft Entra 多重要素驗證