共用方式為

在您的 Microsoft Entra ID 租用戶中支援 Authenticator 中的通行密鑰

  • 發行項

本文涵蓋使用者在 Authenticator 中使用複雜金鑰時可能會看到的問題,以及系統管理員解決的可能方式。

在 Android 設定檔中儲存通行金鑰

Android 裝置上的通行密鑰只能在它們被儲存的個人資料中使用。 如果通行金鑰儲存在 Android 工作設定檔中,則會使用該設定檔。 如果通行密鑰儲存在 Android 個人設定檔中,則會使用該設定檔中的密鑰。 為了確保使用者可以存取和使用所需的通行密鑰,具有 Android Personal 配置檔和 Android Work 配置檔的使用者都應該在每個配置檔的 Authenticator 中建立其通行密鑰。

因應措施

針對 Authenticator 通行密鑰問題,請使用下列因應措施。

驗證強度條件式存取原則迴圈的因應措施

如果使用者嘗試在 Authenticator 中新增通行密碼時,他們可能會進入無窮迴圈,如果條件式存取原則要求需網路釣魚防護驗證才能存取 所有資源(先前稱為「所有雲端應用程式」)。 例如:

  • 條件:所有裝置(Windows、Linux、macOS、Windows、Android)
  • 目標資源: 所有資源(先前稱為「所有雲端應用程式」)
  • 授與控制: 驗證強度 – 驗證器中需要通行密鑰

此原則會強制目標使用者使用通行密鑰登入所有雲端應用程式,其中包括 Authenticator 應用程式。 當使用者嘗試在 Android 或 iOS 上於 Authenticator 中新增通行密鑰時,系統要求使用者使用通行密鑰。

以下是一些因應措施:

  • 您可以 篩選應用程式 ,並將原則目標從 [所有 資源] 轉換至特定應用程式。 開始檢閱在您的租戶中使用的應用程式。 使用篩選來標記 Authenticator 和其他應用程式。

  • 若要進一步降低支援成本,您可以發起內部宣傳活動,協助使用者在強制推行通行密鑰之前先行採用。 當您準備好強制執行複雜金鑰使用方式時,請建立兩個條件式存取原則:

    • 行動操作系統 (OS) 版本的原則
    • 傳統型OS版本的原則

    每個原則都需要不同的驗證強度,並設定下表所列的其他原則設定。 您可以為使用者啟用 暫時存取通行證 (TAP),或啟用其他驗證方法來協助用戶註冊通行密鑰。

    TAP 會限制用戶可以註冊通行密鑰的時間。 您只能在允許密碼金鑰註冊的行動平臺上使用。

    條件式存取原則 桌面作業系統 行動裝置操作系統
    名稱 需要 Authenticator 中的通行金鑰才能存取桌面作業系統。 需要 TAP、防網路釣魚認證或任何其他指定的驗證方法來存取行動作業系統。
    Condition 特定裝置(桌面作業系統)。 特定裝置(行動作業系統)。
    裝置 N/A. Android、iOS。
    排除裝置 Android、iOS。 N/A.
    目標資源 所有資源。 所有資源。
    授與控件 驗證強度。 驗證強度。1
    方法 驗證器中的通行密鑰。 TAP,驗證器中的傳遞金鑰。
    原則結果 無法以 Authenticator 中的傳遞金鑰登入的使用者,會導向至 [我的登入] 精靈模式 。 註冊之後,系統會要求他們在行動裝置上登入 Authenticator。 使用 TAP 或其他允許方法登入 Authenticator 的使用者可以直接在 Authenticator 中註冊通行密鑰。 因為使用者符合驗證需求,因此不會發生迴圈。

    1若要讓用戶註冊新的登入方法,您的行動原則授與控制權必須符合條件式存取原則以註冊 安全性資訊

注意

透過任一因應措施,用戶也必須滿足以 註冊安全性資訊 目標的任何條件式存取原則,或無法註冊通行密鑰。 如果您有使用 [所有資源] 政策設定的其他條件,則註冊通行密鑰時必須符合這些條件。

因為需要獲批准的用戶端應用程式或要求應用程式保護原則條件式存取授與控制而無法註冊通行密鑰的使用者

如果使用者被納入下列條件式存取原則,就無法在 Authenticator 應用程式中註冊通行密鑰:

  • 條件:所有裝置(Windows、Linux、macOS、Windows、Android)
  • 目標資源: 所有資源(先前稱為「所有雲端應用程式」)
  • 授與控制:需要核准的用戶端應用程式需要應用程式保護原則

此原則會強制使用者使用支援 Microsoft Intune 應用程式保護原則的應用程式,來登入所有雲端應用程式。 驗證器不支援 Android 或 iOS 上的此原則。

以下是一些因應措施:

  • 您可以 篩選應用程式 ,並將原則目標從 [所有 資源] 轉換至特定應用程式。 開始檢閱租戶中使用的應用程式。 使用篩選來標記適當的應用程式。

  • 您可以使用行動裝置管理 (MDM) 和 要求裝置被標示為合規 控制。 如果 MDM 完全管理裝置且符合規範,驗證器就可以滿足此授與控制權。 例如:

    • 條件:所有裝置(Windows、Linux、macOS、Windows、Android)
    • 目標資源: 所有資源(先前稱為「所有雲端應用程式」)
    • 授與控制:需要核准的用戶端應用程式,或 要求應用程式保護原則,或 要求裝置標示為符合規範

  • 您可以授與用戶條件式存取原則的暫時豁免。 建議您使用一或多個補償控制項:

    • 只允許豁免一段有限的時間。 當允許用戶註冊通行金鑰時,通知用戶。 在時限結束後移除豁免。 然後,如果使用者錯過了時間,請指示使用者撥打技術支援中心。
    • 使用另一個條件式存取原則,要求使用者只從特定網路位置或相容的裝置註冊。

注意

使用任何建議的因應措施時,用戶必須同時滿足符合以 註冊安全性資訊 為目標的任何條件式存取原則,否則無法註冊通行密鑰。 如果您以 [所有資源] 原則設定了其他條件,那麼在使用者能註冊通行密鑰前,這些條件也必須被滿足。

將藍牙使用限制為 Authenticator 中的通行密鑰

某些組織會限制藍牙使用方式,其中包括使用通行密鑰。 在這種情況下,組織可以允許藍牙與已啟用傳遞密鑰的 FIDO2 驗證器進行獨佔配對,以允許傳遞密鑰。 如需如何僅針對通行密鑰設定藍牙使用方式的詳細資訊,請參閱 藍牙限制環境中的Passkeys。

相關內容