Share via

Включение секретных ключей (FIDO2) для вашей организации

  • Статья

Для предприятий, использующих пароли сегодня, секретные ключи (FIDO2) обеспечивают простой способ проверки подлинности работников без ввода имени пользователя или пароля. Секретные ключи обеспечивают улучшенную производительность для работников и имеют более высокую безопасность.

В этой статье перечислены требования и шаги для включения секретных ключей в организации. После выполнения этих действий пользователи в вашей организации могут зарегистрировать и войти в свою учетную запись Microsoft Entra с помощью секретного ключа, хранящегося в ключе безопасности FIDO2 или в Microsoft Authenticator.

Дополнительные сведения о включении секретных ключей в Microsoft Authenticator см. в статье "Как включить ключи доступа в Microsoft Authenticator".

Дополнительные сведения о сквозной проверке подлинности см. в разделе "Поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra".

Примечание.

Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.

Требования

  • Многофакторная проверка подлинности (MFA) Microsoft Entra.
  • Совместимые ключи безопасности FIDO2 или Microsoft Authenticator.
  • Устройства, поддерживающие сквозную проверку подлинности (FIDO2). Для устройств Windows, присоединенных к идентификатору Microsoft Entra, лучше всего использовать windows 10 версии 1903 или более поздней. Устройства, присоединенные к гибридной среде, должны работать под управлением Windows 10 версии 2004 или более поздней.

Секретные ключи поддерживаются в основных сценариях в Windows, macOS, Android и iOS. Дополнительные сведения о поддерживаемых сценариях см. в разделе "Поддержка проверки подлинности FIDO2" в идентификаторе Microsoft Entra ID.

Включение метода проверки подлинности секретного ключа

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.

  2. Перейдите к политике >метода проверки подлинности проверки подлинности защиты.>

  3. В разделе ключа безопасности FIDO2 установите переключатель в значение Enable. Выберите "Все пользователи" или "Добавить группы", чтобы выбрать определенные группы. Поддерживаются только группы безопасности.

  4. Сохраните конфигурацию.

    Примечание.

    Если при попытке сохранения появляется сообщение об ошибке, причиной может быть число добавляемых пользователей или групп. В качестве обходного решения замените пользователей и группы, которые вы пытаетесь добавить, одной группой в той же операции, а затем нажмите кнопку Сохранить еще раз.

Необязательные параметры секретного ключа

На вкладке "Настройка" есть некоторые необязательные параметры, помогающие управлять способом использования ключей доступа для входа.

Снимок экрана: параметры ключа безопасности FIDO2.

  • Параметр Разрешить самостоятельную настройку должен сохранять значение Да. Если задано значение "Нет", пользователи не могут зарегистрировать пароль через MySecurityInfo, даже если включена политика методов проверки подлинности.

  • Принудительное применение аттестации должно иметь значение Yes , если ваша организация хочет убедиться, что модель ключа безопасности FIDO2 или поставщик секретного ключа является подлинным и поступает от законного поставщика.

    • Для ключей безопасности FIDO2 требуется опубликовать и проверить метаданные ключа безопасности с помощью службы метаданных Альянса FIDO, а также передать другой набор проверки майкрософт. Дополнительные сведения см. в статье "Стать поставщиком ключей безопасности, совместимым с Майкрософт FIDO2".
    • Для секретных ключей в Microsoft Authenticator мы в настоящее время не поддерживаем аттестацию.

    Предупреждение

    Принудительное применение аттестации определяет, разрешен ли ключ доступа только во время регистрации. Пользователи, которые могут зарегистрировать секретный ключ без аттестации, не будут заблокированы во время входа, если принудительное аттестации установлено значение "Да " в дальнейшем.

Политика ограничения ключей

  • Принудительное применение ограничений ключей должно быть задано только в том случае, если ваша организация хочет разрешить или запретить использование определенных моделей ключей безопасности или поставщиков секретных ключей, которые определяются идентификатором GUID аттестации аутентификатора (AAGUID). Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID ключа доступа. Если ключ доступа уже зарегистрирован, можно найти AAGUID, просмотрев сведения о методе проверки подлинности для пользователя.

  • Если в центре администрирования отображается ограничение клавиш "Да", можно выбрать Microsoft Authenticator (предварительная версия), если поле проверка box отображается в центре администрирования. Это автоматически заполняет приложения AAGUID приложения Authenticator для вас в списке ограничений ключей. В противном случае можно вручную добавить следующие AAGUIDs, чтобы включить предварительную версию секретного ключа Authenticator:

    • Authenticator для Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator для iOS: 90a3ccdf-635c-4729-a248-9b709135078f

    Предупреждение

    Ключевые ограничения задают удобство использования определенных моделей или поставщиков для регистрации и проверки подлинности. При изменении ограничений ключа и удалении AAGUID, разрешенного ранее, пользователи, которые ранее зарегистрировали разрешенный метод, больше не могут использовать его для входа.

Guid аттестации сквозного ключа Authenticator (AAGUID)

Спецификация FIDO2 требует, чтобы каждый поставщик ключей безопасности предоставил guid аттестации Authenticator (AAGUID) во время регистрации. 128-разрядное значение идентификатора AAGUID определяет тип ключа, то есть модель и издателя. Поставщики секретных ключей на настольных и мобильных устройствах также должны предоставлять AAGUID во время регистрации.

Примечание.

Поставщик должен убедиться, что AAGUID идентичен всем существенно идентичным ключам безопасности или поставщикам секретных ключей, сделанным этим поставщиком, и другим (с высокой вероятностью) от AAGUID всех других типов ключей безопасности или поставщиков ключей доступа. Чтобы убедиться, что AAGUID для данной модели ключей безопасности или поставщика секретного ключа следует создавать случайным образом. Дополнительные сведения см. в статье Web Authentication: An API for accessing Public Key Credentials - Level 2 (Проверка подлинности веб-приложений. API для доступа к учетным данным открытого ключа, уровень 2) на сайте w3.org.

У вас есть два способа узнать значение AAGUID. Вы можете попросить ключа безопасности или поставщика ключей доступа или просмотреть сведения о методе проверки подлинности для каждого пользователя.

Снимок экрана: просмотр AAGUID для секретного ключа.

Включение ключей доступа с помощью API Microsoft Graph

Помимо использования Центра администрирования Microsoft Entra, вы также можете включить ключи доступа с помощью API Microsoft Graph. Чтобы включить ключи доступа, необходимо обновить политику методов проверки подлинности как глобальный Администратор istrator или Администратор istrator политики проверки подлинности.

Чтобы настроить политику с помощью песочницы Graph, сделайте следующее:

  1. Войдите в Graph Обозреватель и согласились с разрешениями Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.

  2. Получите политику методов проверки подлинности:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Чтобы отключить принудительное применение аттестации и применить ограничения ключей, чтобы разрешить только AAGUID для RSA DS100, выполните операцию PATCH с помощью следующего текста запроса:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Убедитесь, что политика доступа (FIDO2) обновлена должным образом.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Удаление ключа доступа

Чтобы удалить секретный ключ, связанный с учетной записью пользователя, удалите ключ из метода проверки подлинности пользователя.

  1. Войдите в Центр администрирования Microsoft Entra и найдите пользователя, ключ доступа которого необходимо удалить.

  2. Выберите методы> проверки подлинности правой кнопкой мыши "Пароль" (привязанный к устройству) и нажмите кнопку "Удалить".

    Снимок экрана: просмотр сведений о методе проверки подлинности.

Принудительное выполнение входа в секретный ключ

Чтобы сделать пользователей входить с помощью секретного ключа при доступе к конфиденциальному ресурсу, можно:

  • Использование встроенной защиты от фишинга проверки подлинности

    Or

  • Создайте индивидуальную силу проверки подлинности

В следующих шагах показано, как создать настраиваемую политику условного доступа проверки подлинности, которая разрешает вход с ключом доступа только для определенной модели ключа безопасности или поставщика ключей доступа. Список поставщиков FIDO2 см. в разделе "Текущие партнеры по поставщику оборудования FIDO2".

  1. Войдите в Центр администрирования Microsoft Entra в качестве условного доступа Администратор istrator.
  2. Перейдите к преимуществам проверки подлинности методов>проверки подлинности защиты>.
  3. Выберите "Новая сила проверки подлинности".
  4. Укажите имя для новой силы проверки подлинности.
  5. При необходимости укажите описание.
  6. Выберите "Секретные ключи" (FIDO2).
  7. При необходимости, если вы хотите ограничить определенные идентификаторы AAGUID, выберите дополнительные параметры , а затем добавьте AAGUID. Введите разрешенные идентификаторы AAGUID. Выберите Сохранить.
  8. Нажмите кнопку "Далее " и просмотрите конфигурацию политики.

Известные проблемы

Пользователи для совместной работы B2B

Регистрация учетных данных FIDO2 не поддерживается для пользователей службы совместной работы B2B в клиенте ресурсов.

Подготовка ключа безопасности

Администратор istrator подготовка и отмена подготовки ключей безопасности недоступна.

Изменения имени субъекта-пользователя

Если имя участника-пользователя изменяет имя участника-пользователя, вы больше не сможете изменить ключи доступа для учетной записи об изменении. Если у пользователя есть ключ доступа, он должен войти в my Security info, удалить старый секретный ключ и добавить новый.

Следующие шаги

Поддержка собственного приложения и браузера для проверки подлинности без пароля (FIDO2)

Включение входа с ключом безопасности без пароля для устройств Windows 10 с Azure Active Directory

Разрешение входа в локальные ресурсы с помощью ключа безопасности без пароля с использованием Azure Active Directory

Дополнительные сведения о регистрации устройств

Дополнительные сведения о многофакторной проверке подлинности Microsoft Entra