为组织启用通行密钥 (FIDO2)
对于目前使用密码的企业,通行密钥 (FIDO2) 为工作者提供了无需输入用户名或密码即可进行身份验证的无缝方式。 通行密钥可提高工作者的工作效率,并且安全性更高。
本文介绍了在组织中启用通行密钥的要求和步骤。 完成这些步骤后,组织中的用户可以使用存储在 FIDO2 安全密钥或 Microsoft Authenticator 上的通行密钥注册并登录到其 Microsoft Entra 帐户。
有关在 Microsoft Authenticator 中启用通行密钥的详细信息,请参阅如何在 Microsoft Authenticator 中启用通行密钥。
有关通行密钥身份验证的详细信息,请参阅支持使用 Microsoft Entra ID 进行 FIDO2 身份验证。
注意
Microsoft Entra ID 目前支持存储在 FIDO2 安全密钥和 Microsoft Authenticator 中的设备绑定通行密钥。 Microsoft 致力于使用通行密钥保护客户和用户。 我们正在投资为工作帐户构建同步通行密钥和设备绑定通行密钥。
要求
- Microsoft Entra 多重身份验证 (MFA)。
- 兼容的 FIDO2 安全密钥或 Microsoft Authenticator。
- 支持通行密钥 (FIDO2) 身份验证的设备。 对于已联接到 Microsoft Entra ID 的 Windows 设备,可在 Windows 10 版本 1903 或更高版本上获得最佳体验。 已建立混合联接的设备必须运行 Windows 10 版本 2004 或更高版本。
Windows、macOS、Android 和 iOS 上的主要场景都支持通行密钥。 有关受支持的场景的详细信息,请参阅 Microsoft Entra ID 中对 FIDO2 身份验证的支持。
启用通行密钥身份验证方法
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“身份验证方法”>“身份验证方法策略”。
在“FIDO2 安全密钥”方法下,选择“所有用户”或选择“添加组”以选择特定组。 仅支持安全组。
“保存”配置。
注意
如果尝试保存时出现错误,原因可能是添加的用户或组的数量过多。 变通方法是,在同一操作中将尝试添加的用户和组替换为单个组,然后再次单击“保存”。
通行密钥可选设置
“配置”选项卡上有一些可选设置,可帮助管理如何使用通行密钥进行登录。
“允许自助设置”应保持设置为“是”。 如果设置为“否”,那么你的用户将无法通过 MySecurityInfo 注册通行密钥,即使已通过“身份验证方法”策略启用了通行密钥。
如果你的组织希望确保 FIDO2 安全密钥模型或通行密钥提供程序是真实的并且来自合法供应商,则“强制证明”应设置为“是”。
- 对于 FIDO2 安全密钥,我们需要安全密钥元数据通过 FIDO 联盟元数据服务进行发布和验证,还要求该元数据通过 Microsoft 的另外一组验证测试。 有关详细信息,请参阅成为与 Microsoft 兼容的 FIDO2 安全密钥供应商。
- 对于 Microsoft Authenticator 中的通行密钥,我们目前不支持证明。
警告
证明强制控制是否仅在注册期间允许通行密钥。 如果“强制证明”设置为“是”,则在没有证明的情况下注册通行密钥的用户在登录期间不会被阻止。
密钥限制策略
“强制密钥限制”设置为“是”,只有当你的组织仅允许或禁止特定的安全密钥模型或通行密钥提供程序(由它们的 Authenticator 证明 GUID (AAGUID) 进行标识)时才能这样做。 可以与安全密钥供应商合作,确定通行密钥的 AAGUID。 如果已注册通行密钥,可查看用户的通行密钥的身份验证方法详细信息来找到 AAGUID。
将“强制实施密钥限制”设置为“是”时,如果管理中心显示了“Microsoft Authenticator(预览版)”复选框,请将其选中。 这会在密钥限制列表中自动为你填充 Authenticator 应用 AAGUID。 否则,可以手动添加以下 AAGUID 以启用 Authenticator 通行密钥预览:
- 适用于 Android 的 Authenticator:de1e552d-db1d-4423-a619-566b625cdc84
- 适用于 iOS 的 Authenticator:90a3ccdf-635c-4729-a248-9b709135078f
警告
对于注册和身份验证,密钥限制设置了特定模型或提供程序的可用性。 如果更改密钥限制,并移除以前允许的 AAGUID,那么以前注册允许方法的用户无法再使用该方法来进行登录。
通行密钥 Authenticator 证明 GUID (AAGUID)
FIDO2 规范要求每个安全密钥供应商在注册期间提供 Authenticator 证明 GUID (AAGUID)。 AAGUID 是指示密钥类型的 128 位标识符,如制造商和型号。 桌面设备和移动设备上的通行密码提供程序也需要在注册期间提供 AAGUID。
注意
供应商必须确保该供应商所产生的所有完全相同的安全密钥或通行密钥提供程序的 AAGUID 相同,并且不同于(概率较高)所有其他类型安全密钥或通行密钥提供程序的 AAGUID。 为了确保这一点,应随机生成给定安全密钥模型或通行密钥提供程序的 AAGUID。 有关详细信息,请参阅 Web 身份验证:用于访问公钥凭据的 API - 级别 2 (w3.org)。
可通过两种方式获取你的 AAGUID。 你可以询问安全密钥或通行密钥提供程序供应商,或查看每个用户的密钥的身份验证方法详细信息。
使用 Microsoft Graph API 启用通行密钥
除了使用 Microsoft Entra 管理中心之外,还可以使用 Microsoft Graph API 启用通行密钥。 若要启用通行密钥,需要将“身份验证方法策略”更新为“全局管理员”或“身份验证策略管理员”。
使用 Graph 浏览器配置策略:
登录到 Graph 浏览器,并同意授予“Policy.Read.All”和“Policy.ReadWrite.AuthenticationMethod”权限。
检索身份验证方法策略:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2若要禁用证明强制实施,并强制实施密钥限制以便仅允许使用 RSA DS100 的 AAGUID,请使用以下请求正文执行 PATCH 操作:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }确保正确更新通行密钥 (FIDO2) 策略。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
删除通行密钥
若要删除与用户帐户关联的通行密钥,请从用户的身份验证方法中删除该密钥。
登录到 Microsoft Entra 管理中心并搜索需要删除其通行密钥的用户。
选择“身份验证方法”> 右键单击“通行密钥(设备绑定)”,然后选择“删除”。
强制实施密钥登录
若要让用户在访问敏感资源时使用通行密钥登录,你可以:
使用内置的防网络钓鱼身份验证强度
或
创建自定义身份验证强度
以下步骤显示了如何创建自定义身份验证强度条件访问策略,该策略仅允许特定安全密钥模型或通行密钥提供程序使用通行密钥登录。 有关 FIDO2 提供程序的列表,请参阅当前 FIDO2 硬件供应商合作伙伴。
- 以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“身份验证方法”>“身份验证强度”。
- 选择“新建身份验证强度”。
- 为你的新身份验证强度提供一个名称。
- (可选)提供说明。
- 选择“通行密钥(FIDO2)”。
- (可选)如果要限制特定 AAGUID,请选择“高级选项”,然后选择“添加 AAGUID”。 输入允许的 AAGUID。 选择“保存”。
- 选择“下一步”并查看策略配置。
已知问题
B2B 协作用户
资源租户中的 B2B 协作用户不支持注册 FIDO2 凭据。
安全密钥预配
管理员预配和取消预配安全密钥不可用。
UPN 更改
如果用户的 UPN 发生更改,你将无法再修改通行密钥来消除该更改。 如果用户具有通行密钥,则需要登录“我的安全信息”,删除旧的通行密钥,然后添加新通行密钥。