Wachtwoordsleutels (FIDO2) inschakelen voor uw organisatie

  • Artikel

Voor ondernemingen die tegenwoordig wachtwoorden gebruiken, bieden wachtwoordsleutels (FIDO2) een naadloze manier voor werknemers om te verifiëren zonder een gebruikersnaam of wachtwoord in te voeren. Wachtwoordsleutels bieden verbeterde productiviteit voor werknemers en hebben betere beveiliging.

Dit artikel bevat vereisten en stappen voor het inschakelen van wachtwoordsleutels in uw organisatie. Na het voltooien van deze stappen kunnen gebruikers in uw organisatie hun Microsoft Entra-account registreren en aanmelden met een wachtwoordsleutel die is opgeslagen op een FIDO2-beveiligingssleutel of in Microsoft Authenticator.

Zie Wachtwoordsleutels inSchakelen in Microsoft Authenticator voor meer informatie over het inschakelen van wachtwoordsleutels in Microsoft Authenticator.

Zie Ondersteuning voor FIDO2-verificatie met Microsoft Entra-id voor meer informatie over wachtwoordsleutelverificatie.

Notitie

Microsoft Entra ID ondersteunt momenteel apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels en in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen. We investeren in zowel gesynchroniseerde als apparaatgebonden wachtwoordsleutels voor werkaccounts.

Vereisten

  • Meervoudige verificatie (MFA) van Microsoft Entra.
  • Compatibele FIDO2-beveiligingssleutels of Microsoft Authenticator.
  • Apparaten die fido2-verificatie (wachtwoordsleutel) ondersteunen. Voor Windows-apparaten die lid zijn van Microsoft Entra ID, is de beste ervaring op Windows 10 versie 1903 of hoger. Hybride apparaten moeten Windows 10 versie 2004 of hoger uitvoeren.

Wachtwoordsleutels worden ondersteund in belangrijke scenario's in Windows, macOS, Android en iOS. Zie Ondersteuning voor FIDO2-verificatie in Microsoft Entra-id voor meer informatie over ondersteunde scenario's.

Verificatiemethode voor wachtwoordsleutel inschakelen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.

  2. Blader naar >verificatiemethodebeleid voor beveiligingsverificatiemethoden.>

  3. Stel onder de fido2-beveiligingssleutel van de methode de wisselknop in op Inschakelen. Selecteer Alle gebruikers of Groepen toevoegen om specifieke groepen te selecteren. Alleen beveiligingsgroepen worden ondersteund.

  4. Sla de configuratie op.

    Notitie

    Als er een fout wordt weergegeven wanneer u probeert op te slaan, kan dit worden veroorzaakt door het aantal gebruikers of groepen dat wordt toegevoegd. Als tijdelijke oplossing vervangt u de gebruikers en groepen die u wilt toevoegen door één groep in dezelfde bewerking en klikt u nogmaals op Opslaan.

Optionele wachtwoordsleutelinstellingen

Er zijn enkele optionele instellingen op het tabblad Configureren om te beheren hoe wachtwoordsleutels kunnen worden gebruikt voor aanmelding.

Schermopname van opties voor FIDO2-beveiligingssleutels.

  • Self-service instellen toestaan moet op Ja ingesteld blijven. Als deze optie is ingesteld op nee, kunnen uw gebruikers geen wachtwoordsleutel registreren via MySecurityInfo, zelfs niet als dit is ingeschakeld door het verificatiemethodenbeleid.

  • Attestation afdwingen moet zijn ingesteld op Ja als uw organisatie er zeker van wil zijn dat een FIDO2-beveiligingssleutelmodel of wachtwoordsleutelprovider echt is en afkomstig is van de legitieme leverancier.

    • Voor FIDO2-beveiligingssleutels is vereist dat metagegevens van beveiligingssleutels worden gepubliceerd en geverifieerd met de FIDO Alliance Metadata Service, en dat microsoft ook een andere set validatietests doorgeeft. Zie Een leverancier van fido2-beveiligingssleutels worden die compatibel is met Microsoft voor meer informatie.
    • Voor wachtwoordsleutels in Microsoft Authenticator bieden we momenteel geen ondersteuning voor attestation.

    Waarschuwing

    Attestation-afdwinging bepaalt of een wachtwoordsleutel alleen is toegestaan tijdens de registratie. Gebruikers die een wachtwoordsleutel zonder attestation kunnen registreren, worden niet geblokkeerd tijdens het aanmelden als afdwingen van attestation is ingesteld op Ja op een later tijdstip.

Beleid voor sleutelbeperkingen

  • Afdwingen van sleutelbeperkingen moet alleen worden ingesteld op Ja als uw organisatie alleen bepaalde beveiligingssleutelmodellen of wachtwoordsleutelproviders wil toestaan of weigeren, die worden geïdentificeerd door hun Authenticator Attestation GUID (AAGUID). U kunt samenwerken met de leverancier van uw beveiligingssleutel om de AAGUID van de wachtwoordsleutel te bepalen. Als de wachtwoordsleutel al is geregistreerd, kunt u de AAGUID vinden door de details van de verificatiemethode van de wachtwoordsleutel voor de gebruiker weer te geven.

  • Wanneer Sleutelbeperkingen afdwingen is ingesteld op Ja, kunt u Microsoft Authenticator (preview) selecteren als het selectievakje wordt weergegeven in het beheercentrum. Hiermee worden de AAGUIDs van de Authenticator-app automatisch voor u ingevuld in de lijst met sleutelbeperkingen. Anders kunt u de volgende AAGUID's handmatig toevoegen om de preview van de Authenticator-wachtwoordsleutel in te schakelen:

    • Verificator voor Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Verificator voor iOS: 90a3ccdf-635c-4729-a248-9b709135078f

    Waarschuwing

    Sleutelbeperkingen stellen de bruikbaarheid van specifieke modellen of providers in voor zowel registratie als verificatie. Als u sleutelbeperkingen wijzigt en een AAGUID verwijdert die u eerder hebt toegestaan, kunnen gebruikers die eerder een toegestane methode hebben geregistreerd, deze niet meer gebruiken voor aanmelding.

Passkey Authenticator Attestation GUID (AAGUID)

Voor de FIDO2-specificatie moet elke leverancier van de beveiligingssleutel een Authenticator Attestation GUID (AAGUID) opgeven tijdens de registratie. Een AAGUID is een 128-bits id die het sleuteltype aangeeft, zoals het merk en model. Van wachtwoordsleutelproviders op desktop- en mobiele apparaten wordt verwacht dat ze tijdens de registratie een AAGUID leveren.

Notitie

De leverancier moet ervoor zorgen dat de AAGUID identiek is voor alle aanzienlijk identieke beveiligingssleutels of wachtwoordsleutelproviders die door die leverancier zijn gemaakt, en dat de AAGUIDs (met hoge waarschijnlijkheid) van alle andere typen beveiligingssleutels of wachtwoordsleutelproviders verschillen. Om dit te garanderen, moet de AAGUID voor een bepaald beveiligingssleutelmodel of de wachtwoordsleutelprovider willekeurig worden gegenereerd. Zie Webverificatie: een API voor toegang tot referenties voor openbare sleutels - niveau 2 (w3.org) voor meer informatie.

U kunt de AAGUID op twee manieren verkrijgen. U kunt de leverancier van uw beveiligingssleutel of wachtwoordsleutelprovider vragen of de details van de verificatiemethode per gebruiker bekijken.

Schermopname van View AAGUID voor wachtwoordsleutel.

Wachtwoordsleutels inschakelen met behulp van Microsoft Graph API

Naast het Microsoft Entra-beheercentrum kunt u ook wachtwoordsleutels inschakelen met behulp van de Microsoft Graph API. Als u wachtwoordsleutels wilt inschakelen, moet u het beleid voor verificatiemethoden bijwerken als een globale Beheer istrator of verificatiebeleid Beheer istrator.

Ga als volgende te werk om het beleid te configureren met Graph Explorer:

  1. Meld u aan bij Graph Explorer en geef toestemming voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod .

  2. Haal het beleid voor verificatiemethoden op:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Als u attestation-afdwinging wilt uitschakelen en sleutelbeperkingen wilt afdwingen om alleen de AAGUID voor RSA DS100 toe te staan, voert u bijvoorbeeld een PATCH-bewerking uit met behulp van de volgende aanvraagbody:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Zorg ervoor dat het beleid voor wachtwoordsleutels (FIDO2) correct is bijgewerkt.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Een wachtwoordsleutel verwijderen

Als u een wachtwoordsleutel wilt verwijderen die is gekoppeld aan een gebruikersaccount, verwijdert u de sleutel uit de verificatiemethode van de gebruiker.

  1. Meld u aan bij het Microsoft Entra-beheercentrum en zoek naar de gebruiker waarvan de wachtwoordsleutel moet worden verwijderd.

  2. Selecteer Verificatiemethoden> met de rechtermuisknop op Wachtwoordsleutel (apparaatgebonden) en selecteer Verwijderen.

    Schermopname van details van verificatiemethode weergeven.

Aanmelden met wachtwoordsleutel afdwingen

Als u wilt dat gebruikers zich aanmelden met een wachtwoordsleutel wanneer ze toegang hebben tot een gevoelige resource, kunt u het volgende doen:

  • Een ingebouwde phishingbestendige verificatiesterkte gebruiken

    Or

  • Maak een aangepaste verificatiesterkte

De volgende stappen laten zien hoe u een aangepast beleid voor verificatiesterkte voor voorwaardelijke toegang maakt waarmee wachtwoordsleutels kunnen worden aangemeld voor alleen een specifiek beveiligingssleutelmodel of een wachtwoordsleutelprovider. Zie De huidige FIDO2-hardwareleverancierpartners voor een lijst met FIDO2-providers.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als een Beheer istrator voor voorwaardelijke toegang.
  2. Blader naar >beveiligingsverificatiemethoden>verificatiesterkten.
  3. Selecteer Nieuwe verificatiesterkte.
  4. Geef een naam op voor de nieuwe verificatiesterkte.
  5. Geef desgewenst een beschrijving op.
  6. Selecteer Wachtwoordsleutels (FIDO2).
  7. Als u wilt beperken door specifieke AAGUID(s), selecteert u geavanceerde opties en voegt u AAGUID toe. Voer de AAGUID(s) in die u toestaat. Selecteer Opslaan.
  8. Kies Volgende en controleer de beleidsconfiguratie.

Bekende problemen

B2B-samenwerkingsgebruikers

Registratie van FIDO2-referenties wordt niet ondersteund voor B2B-samenwerkingsgebruikers in de resourcetenant.

Beveiligingssleutels inrichten

Beheer istrator inrichten en ongedaan maken van de inrichting van beveiligingssleutels is niet beschikbaar.

UPN-wijzigingen

Als de UPN van een gebruiker wordt gewijzigd, kunt u geen wachtwoordsleutels meer wijzigen om rekening te houden met de wijziging. Als de gebruiker een wachtwoordsleutel heeft, moet hij of zij zich aanmelden bij Mijn beveiligingsgegevens, de oude wachtwoordsleutel verwijderen en een nieuwe sleutel toevoegen.

Volgende stappen

Systeemeigen app- en browserondersteuning voor verificatie zonder wachtwoordsleutel (FIDO2)

Windows 10-aanmelding met FIDO2-beveiligingssleutel

FIDO2-verificatie inschakelen voor on-premises resources

Meer informatie over apparaatregistratie

Meer informatie over Meervoudige Verificatie van Microsoft Entra