在 Microsoft Authenticator 中啟用密鑰 (預覽)
本文會列出在 Microsoft Entra ID 的 Authenticator 中啟用和強制使用密鑰的步驟。 首先,您會更新驗證方法原則,以允許使用者在 Authenticator 中使用密鑰註冊和登入。 然後,您可以使用條件式存取驗證強度原則,在使用者存取敏感性資源時強制執行密鑰登入。
需求
- Microsoft Entra 多重要素驗證 (MFA)
- Android 14 及更高版本或 iOS 17 及更高版本
- 任何屬於密鑰註冊/驗證流程的裝置上的作用中網際網路連線
- 若為跨裝置註冊/驗證,兩個裝置都必須啟用藍牙
注意
使用者必須安裝最新版的 Authenticator for Android 或 iOS,才能使用密鑰。
若要深入了解可以在 Authenticator 中使用密鑰登入的位置,請參閱使用 Microsoft Entra ID 支援 FIDO2 驗證。
在系統管理中心的 Authenticator 中啟用密鑰
驗證原則系統管理員必須同意在驗證方法原則的 Passkey (FIDO2) 設定中允許 Authenticator。 他們必須明確允許 Authenticator 證明 GUID (AAGUIDs),讓 Microsoft Authenticator 允許使用者在 Authenticator 應用程式中註冊密鑰。 驗證方法原則的 [Microsoft Authenticator 應用程式] 區段中沒有啟用密鑰的設定。
以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[驗證方法]>[驗證方法原則]。
在 [密鑰 (FIDO2)] 方法下,選取 [所有使用者] 或 [新增群組] 以選取特定群組。 僅支援安全性群組。
在 [設定] 索引標籤上:
將 [允許自助設定] 設定為 [是]。 如果設定為 [否],使用者就無法使用 安全性資訊來註冊密鑰,即使驗證方法原則已啟用密鑰 (FIDO2)。
針對預覽,[強制執行證明] 應設定為 [無]。 正式發行版的證明支援已進入規劃階段。
金鑰限制會設定註冊和驗證的特定密鑰可用性。 將 [強制密鑰限制] 設定為 [是],只允許或封鎖其 AAGUID 所識別的特定複雜密鑰。
此設定必須為 [是],且您必須新增 Microsoft Authenticator AAGUID,讓使用者能夠藉由登入 Authenticator 應用程式,或從其安全性資訊將密鑰新增至 Microsoft Authenticator 來註冊密鑰。
安全性資訊需要將此設定設為 [是],使用者才能選擇 Authenticator 中的密鑰,並經歷專用的 Authenticator 複雜密鑰註冊流程。 如果選擇 [否],使用者仍可根據作業系統和瀏覽器選擇密鑰方法,在 Microsoft Authenticator 中新增密鑰。 不過,我們並不期望此途徑可供大部分使用者探索及使用。
如果您的組織目前未強制執行金鑰限制,而且已經有使用中的密鑰,您應該收集目前使用的金鑰的 AAGUID。 將它們新增至 [允許] 清單,以及 Authenticator AAGUID,以啟用此預覽。 可以使用自動化指令碼來完成此工作,以分析記錄 (例如註冊詳細資料和登入記錄)。
如果您變更金鑰限制並移除您先前允許的 AAGUID,則先前註冊允許方法的使用者會無法再將其用來登入。
將 [限制特定金鑰] 設定為 [允許]。
選取 [Microsoft Authenticator (預覽) 以自動將 Authenticator 應用程式 AAGUID 新增至密鑰限制清單,或手動新增下列 AAGUID,讓使用者登入 Authenticator 應用程式或在 [安全性資訊] 頁面上瀏覽引導式流程,以在 Authenticator 中註冊密鑰:
- Android 的 Authenticator:de1e552d-db1d-4423-a619-566b625cdc84
- iOS 的 Authenticator:90a3ccdf-635c-4729-a248-9b709135078f
可能會再列出兩個 AAGUID。 其中包括
b6879edc-2a86-4bde-9c62-c1cac4a8f8e5和257fa02a-18f3-4e34-8174-95d454c2e9ad。 這些 AAGUID 在即將推出的功能之前顯示。 可以從允許的 AAGUID 清單中將其移除。
完成設定之後,請選取 [儲存]。
注意
如果在嘗試儲存時看到錯誤,請在一個作業中以單一群組取代多個群組,然後再次按一下 [儲存]。
使用 Graph 總管在 Authenticator 中啟用密鑰
除了使用 Microsoft Entra 系統管理中心之外,您也可以使用 Graph 總管來啟用 Authenticator 中的密鑰。 至少獲指派驗證原則管理員角色的人員可以更新驗證方法原則,以允許 Authenticator 的 AAGUID。
若要使用 Graph 總管來設定原則:
登入 [Graph 總管],並同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 權限。
擷取驗證方法原則:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2若要停用證明強制執行並強制執行金鑰限制,只允許 Microsoft Authenticator 使用 AAGUID,請使用下列要求本文執行 PATCH 作業:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" <insert previous AAGUIDs here to keep them stored in policy> ] } }請確定密鑰 (FIDO2) 原則已正確更新。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
刪除密鑰
若要移除與使用者帳戶相關聯的密鑰,請從使用者的驗證方法中刪除該密鑰。
注意
使用者也需要移除其裝置上 Authenticator 中的密鑰。
在 Authenticator 中使用密鑰強制執行登入
若要讓使用者在存取敏感性資源時以密鑰登入,請使用內建的網路釣魚防護驗證強度,或依照下列步驟建立自訂驗證強度:
以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [資料保護]>[驗證方法]>[驗證強度]。
選取 [新驗證強度]。
提供新驗證強度的描述性 [名稱]。
選擇性地提供 [描述]。
選取 [密鑰 (FIDO2)],然後選取 [進階選項]。
在 Authenticator 中新增密鑰的 AAGUID:
- Android 的 Authenticator:de1e552d-db1d-4423-a619-566b625cdc84
- iOS 的 Authenticator:90a3ccdf-635c-4729-a248-9b709135078f
選擇 [下一步] 並檢閱原則設定。