Passkey 配置文件可实现对 FIDO2 身份验证的基于组的精细配置。 与其使用单一的租户范围设置,您可以定义具体要求,如认证、密钥类型(绑定设备或同步),或 Authenticator 认证 GUID(AAGUID)限制。 不同的用户组,例如管理员与前线员工,可以在各自的通行密钥配置文件中应用不同的要求。
注释
身份验证策略管理员需要配置通行密钥配置文件(预览版)才能启用同步的通行密钥(预览版)。 有关详细信息,请参阅 Microsoft Entra ID(预览版)中如何启用同步的密钥(FIDO2)。
什么是密钥配置文件?
密钥配置文件是一组命名的策略规则,用于管理目标组中的用户如何使用密钥(FIDO2)进行注册和身份验证。 配置文件支持高级控件,例如:
- 强制认证:启用、禁用
- 目标类型:设备绑定、已同步
- 目标特定的验证器:允许或阻止其 AAGUID 的特定验证器。 有关详细信息,请参阅 Authenticator 证明 GUID。
在您开始之前
- 用户必须在过去五分钟内完成多重身份验证(MFA),然后才能注册通行密钥(FIDO2)。
- 用户需要支持 Microsoft Entra ID 证明要求的验证器。 有关详细信息,请参阅 MICROSOFT FIDO2 安全密钥供应商的 Entra ID 证明。
- 设备必须支持密钥(FIDO2)身份验证。 对于已联接到 Microsoft Entra ID 的 Windows 设备,可在 Windows 10 版本 1903 或更高版本上获得最佳体验。 已建立混合联接的设备必须运行 Windows 10 版本 2004 或更高版本。
- 如果设备绑定密钥和同步密钥的配置文件都适用于 Microsoft Authenticator,用户需要运行 Microsoft Authenticator iOS 版本 6.8.37 或 Android 版本 6.2507.4749。
- 策略大小限制:
- 身份验证方法策略支持大小限制为 20KB。 达到大小限制后,无法保存更多通行密钥配置文件。 若要检查大小,请使用 Get authenticationMethodsPolicy Microsoft Graph API 检索身份验证方法策略的 JSON。 将输出另存为 .txt 文件,然后右键单击并选择“ 属性 ”以查看文件大小。
- 参考大小:
- 基本密钥策略(未更改):1.44 KB
- 应用了 1 个密钥配置文件的目标:0.23 KB
- 应用了 5 个密钥配置文件的目标:0.4 KB
- 没有 AAGUID 的通行密钥配置文件:0.4 KB
- 具有10个AAGUID的Passkey配置文件:0.3 KB
启用密钥配置文件(预览版)
注释
选择加入密钥配置文件(预览版)后,全局密码(FIDO2)策略设置将自动传输到 默认密码配置文件。 最多支持 3 个通行密钥配置文件,包括 默认通行密钥配置文件 。 支持更多通行密钥配置文件的开发正在进行中。
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>安全>身份验证方法>策略。
选择 Passkey(FIDO2),然后在公共预览页面上选择 申请参加公共预览 以查看密钥配置文件(预览)。
注释
以前的 Passkey (FIDO2) 策略设置会自动传输到 默认通行密钥配置文件。 以前的用户目标也会自动传输到 Enable and target。
若要完成加入,请选择 默认密码配置文件。
对于 目标类型,请选择想要允许的密钥类型。
选择“保存”。
创建新的密钥配置文件
在“ 配置 ”选项卡上,单击“ + 添加通行密钥配置文件”。
填写个人资料详细信息。 下表说明了强制证明的影响。 有关其他供应商证明要求,请参阅 MICROSOFT FIDO2 安全密钥供应商的 Entra ID 证明。
强制证明 否(默认值) 是的 支持的密钥类型 已同步和绑定到设备 仅限于设备绑定 一个 Passkey 是所需的,以提供有效的验证声明。 不需要在注册时输入密码即可提供有效的认证声明。
Microsoft Entra ID 无法保证与通过密钥相关的任何属性,包括它是否已同步或设备绑定,或者特定的制造商、型号或提供商,即使选择目标特定的 AAGUID。 将“ 强制证明 ”设置为 “否”时,使用 AAGUID 列表作为策略指南,而不是严格的安全控制。在注册时是必需的,以便 Microsoft Entra ID 可以根据受信任的元数据验证身份验证器的品牌和型号。 证明向组织保证,密钥是真实的,来自规定的供应商。
在注册期间仅检查认证;如果您之后启用认证,之前未认证添加的口令将不被阻止登录。下表描述了用户配置文件目标选项。
目标 Description 目标类型 如果 “强制证明 ”设置为 “否”,则可以允许设备绑定的密钥和同步的密钥。 针对特定的 AAGUID 可以允许或阻止某些由 AAGUID 标识的安全密钥模型或密钥提供者,从而控制用户可以使用哪些验证器进行 passkey 注册和登录。
如果删除以前允许的 AAGUID,则注册该密钥(FIDO2)的用户不能再将其用于登录。选择“保存”。
将密码配置应用于目标组
选择“ 启用”和“目标”。
选择 “添加目标 ”,然后选择“ 所有用户 ”或 “选择目标” 以选择组。
选择要分配给特定目标的密码配置文件。
注释
目标组(例如工程)可以限定为多个通行密钥配置文件。 当用户有多个密码钥匙配置文件范围时,如果完全满足其中一个配置文件的要求,则允许通过密码钥匙进行注册和身份验证。 检查过程没有特定的顺序。 如果用户是 Passkeys (FIDO2) 身份验证方法策略中排除组的成员,则会阻止这些用户进行 FIDO2 密码注册或登录。 排除 的组优先于 包含 的组。
删除密钥配置文件
选择配置。
选择要删除的通行密钥配置文件右侧的垃圾桶,然后选择“ 保存”。
注释
仅当配置文件未分配给 启用和目标 中的一组用户时,才能删除该配置文件。 如果垃圾桶为灰色,请先删除分配该配置的任何对象。
禁用通行密钥配置文件(预览版)
注释
选择退出通行密钥配置文件(预览版)将:
- 删除所有通行密钥配置文件及其关联的目标
- 将密钥策略还原为默认密码配置文件的配置,包括其用户目标
- 禁用对同步密钥的支持
确保由于这些更改,管理员不会被锁出其帐户。
- 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>安全>身份验证方法>策略。
- 选择 Passkey (FIDO2),然后在 公共预览横幅上选择退出公共预览 版。
- 查看选择退出的条件,如果接受,请单击 “选择退出 ”。
通行密钥配置文件的用例示例
注释
如果设备绑定密钥和同步密钥的配置文件都适用于 Microsoft Authenticator,用户需要运行 Microsoft Authenticator iOS 版本 6.8.37 或 Android 版本 6.2507.4749。
对高特权帐户的特别注意事项
| Passkey 配置文件 | 目标群体 | 通行密钥类型 | 认证实施 | 密钥限制 |
|---|---|---|---|---|
| 所有设备绑定的通行密钥(实施认证) | IT 管理员 高级管理人员 工程 |
设备绑定 | 已启用 | Disabled |
| 所有同步的或设备绑定的密钥 | 人力资源 Sales |
设备绑定,已同步 | Disabled | Disabled |
Microsoft Authenticator 中通行密钥的有针对性的推出
| Passkey 配置文件 | 目标群体 | 通行密钥类型 | 认证实施 | 密钥限制 |
|---|---|---|---|---|
| 所有设备绑定的密钥(不包括 Microsoft Authenticator) | 所有用户 | 设备绑定 | 已启用 | 已启用 - 行为:阻止 - AAGUID:适用于 iOS 的 Microsoft Authenticator、适用于 Android 的 Microsoft Authenticator |
| Microsoft Authenticator 中的密码 | 试点组 1 试点组 2 |
设备绑定 | 已启用 | 已启用 行为:允许 - AAGUID:适用于 iOS 的 Microsoft Authenticator、适用于 Android 的 Microsoft Authenticator |