对于目前使用密码的企业,通行密钥 (FIDO2) 为工作者提供了无需输入用户名或密码即可进行身份验证的无缝方式。 通行密钥 (FIDO2) 可提高员工的工作效率,并且安全性更高。
本文介绍了在组织中启用通行密钥的要求和步骤。 完成这些步骤后,组织中的用户可以使用存储在 FIDO2 安全密钥或 Microsoft Authenticator 上的通行密钥注册并登录到其 Microsoft Entra 帐户。
有关在 Microsoft Authenticator 中启用通行密钥的详细信息,请参阅如何在 Microsoft Authenticator 中启用通行密钥。
有关通行密钥身份验证的详细信息,请参阅支持使用 Microsoft Entra ID 进行 FIDO2 身份验证。
- Microsoft Entra 多重身份验证 (MFA)。
- 可使用 Microsoft Entra ID 或 Microsoft Authenticator 进行证明的 FIDO2 安全密钥。
- 支持通行密钥 (FIDO2) 身份验证的设备。 对于已联接到 Microsoft Entra ID 的 Windows 设备,可在 Windows 10 版本 1903 或更高版本上获得最佳体验。 已建立混合联接的设备必须运行 Windows 10 版本 2004 或更高版本。
Windows、macOS、Android 和 iOS 上的主要场景都支持通行密钥 (FIDO2)。 有关受支持的场景的详细信息,请参阅 Microsoft Entra ID 中对 FIDO2 身份验证的支持。
FIDO2 规范要求每个安全密钥供应商在注册期间提供 Authenticator 证明 GUID (AAGUID)。 AAGUID 是指示密钥类型的 128 位标识符,如制造商和型号。 桌面设备和移动设备上的通行密码 (FIDO2) 提供程序也需要在注册期间提供 AAGUID。
你可以与安全密钥供应商合作,确定通行密钥 (FIDO2) 的 AAGUID,或查看符合使用 Microsoft Entra ID 证明的条件的 FIDO2 安全密钥。 如果已注册通行密钥 (FIDO2),可通过查看用户的通行密钥 (FIDO2) 的身份验证方法详细信息来查找 AAGUID。
- 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“身份验证方法”>“身份验证方法策略”。
- 在“通行密钥 (FIDO2)”方法下,将开关设置为“启用”。 选择“所有用户”或“添加组”以选择特定组。 仅支持安全组。
- 在“配置”选项卡上:
- 将“允许自助服务设置”设置为“是”。 如果设置为“否”,则用户无法使用安全信息来注册通行密钥,即便身份验证方法策略启用了通行密钥 (FIDO2)。
- 如果你的组织希望确保 FIDO2 安全密钥模型或通行密钥提供程序是真实的,而且来自合法供应商,应将“强制证明”应设置为“是”。
- 对于 FIDO2 安全密钥,我们需要安全密钥元数据通过 FIDO 联盟元数据服务进行发布和验证,还要求该元数据通过 Microsoft 的另外一组验证测试。 有关详细信息,请参阅成为与 Microsoft 兼容的 FIDO2 安全密钥供应商。
- 对于 Microsoft Authenticator 中的通行密钥,也计划正式发布证明支持。
密钥限制策略
- 只有当你的组织希望仅允许或禁止特定的安全密钥模型或通行密钥提供程序(由它们的 AAGUID 标识)时,才应将“强制密钥限制”设置为“是”。 可以与安全密钥供应商合作,确定通行密钥的 AAGUID。 如果已注册通行密钥,可查看用户的通行密钥的身份验证方法详细信息来找到 AAGUID。
将“强制实施密钥限制”设置为“是”时,可以选择让 Microsoft Authenticator(预览版)自动在密钥限制列表中添加 Authenticator 应用 AAGUID。 有关详细信息,请参阅在 Microsoft Authenticator(预览版)中启用通行密钥。
如果你的组织当前未强制实施密钥限制,并且已具有活动密钥使用情况,那么你应收集当前使用的密钥的 AAGUID。 将它们与 Authenticator AAGUID 一起添加到允许列表,以启用此预览。 可以使用自动化脚本来完成此任务,该脚本会分析日志(例如注册详细信息和登录日志)。
- 完成配置后,选择“保存”。
目前其为预览版,管理员可以使用 Microsoft Graph 和自定义客户端代表用户预配 FIDO2 安全密钥。 预配需要使用“身份验证管理员”角色或具有 UserAuthenticationMethod.ReadWrite.All 权限的客户端应用程序。 预配改进包括:
- 能够从 Microsoft Entra ID 请求 WebAuthn 创建选项
- 能够使用 Microsoft Entra ID 直接注册预配的安全密钥
借助这些新 API,组织可以生成自己的客户端,代表用户预配安全密钥上的通行密钥 (FIDO2) 凭据。 若要简化此过程,需要执行三个主要步骤。
- 为用户请求创建选项:Microsoft Entra ID 返回客户端预配通行密钥 (FIDO2) 凭据所需的数据。 这包括用户信息、信赖方 ID、凭据策略要求、算法、注册质询等信息。
- 使用创建选项预配通行密钥 (FIDO2) 凭据:使用 和支持客户端到验证器协议 (CTAP) 的客户端来预配凭据。 在此步骤中,需要插入安全密钥并设置 PIN。
- 使用 Microsoft Entra ID 注册 预配凭据:使用预配过程的格式化输出为目标用户注册密钥 (FIDO2) 凭据提供所需的数据,Microsoft Entra ID。
除了使用 Microsoft Entra 管理中心之外,还可以使用 Microsoft Graph API 来启用通行密钥 (FIDO2)。 若要启用通行密钥 (FIDO2),需要至少以身份验证策略管理员身份更新身份验证方法策略。
使用 Graph 浏览器配置策略:
- 登录到 Graph 浏览器,并同意授予“Policy.Read.All”和“Policy.ReadWrite.AuthenticationMethod”权限。
- 检索身份验证方法策略:
- 若要禁用证明强制实施,并强制实施密钥限制以便仅允许使用 RSA DS100 的 AAGUID,请使用以下请求正文执行 PATCH 操作:
- 确保正确更新通行密钥 (FIDO2) 策略。
若要删除与用户帐户关联的通行密钥 (FIDO2),请从用户的身份验证方法中删除该密钥。
- 登录到 Microsoft Entra 管理中心并搜索需要删除其通行密钥 (FIDO2) 的用户。
- 选择“身份验证方法”>右键单击“通行密钥(设备绑定)”,然后选择“删除”。
若要让用户在访问敏感资源时使用通行密钥 (FIDO2) 登录,你可以:
- 使用内置的防网络钓鱼身份验证强度
或
- 创建自定义身份验证强度
以下步骤显示了如何创建自定义身份验证强度条件访问策略,该策略仅允许特定安全密钥模型或通行密钥 (FIDO2) 提供程序使用通行密钥 (FIDO2) 登录。 有关 FIDO2 提供程序的列表,请参阅可使用 Microsoft Entra ID 进行证明的 FIDO2 安全密钥。
- 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“身份验证方法”>“身份验证强度”。
- 选择“新建身份验证强度”。
- 为你的新身份验证强度提供一个名称。
- (可选)提供说明。
- 选择“通行密钥(FIDO2)”。
- (可选)如果要限制特定 AAGUID,请选择“高级选项”,然后选择“添加 AAGUID”。 输入允许的 AAGUID。 选择“保存”。
- 选择“下一步”并查看策略配置。
安全密钥的管理员预配以公共预览版提供。 请参阅 Microsoft Graph 和自定义客户端,代表用户预配 FIDO2 安全密钥。
资源租户中的 B2B 协作用户不支持注册 通行密钥 (FIDO2) 凭据。
如果用户的 UPN 发生更改,你将无法再修改通行密钥 (FIDO2) 来消除该更改。 如果用户具有通行密钥,则需要登录“安全信息”,删除旧的通行密钥,然后添加新通行密钥。
本机应用和浏览器对通行密钥 (FIDO2) 无密码身份验证的支持
FIDO2 安全密钥 Windows 10 登录
对本地资源启用 FIDO2 身份验证
代表用户注册安全密钥
详细了解如何注册设备
了解 Microsoft Entra 多重身份验证的详细信息
到此这篇spss27永久许可证代码(spss25永久许可证代码)的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/bcyy/46459.html