Passkey 配置文件可实现对 FIDO2 身份验证的基于组的精细配置。 与其使用单一的租户范围设置,您可以定义具体要求,如认证、密钥类型(绑定设备或同步),或 Authenticator 认证 GUID(AAGUID)限制。 不同的用户组,例如管理员与前线员工,可以在各自的通行密钥配置文件中应用不同的要求。
注释
身份验证策略管理员需要配置通行密钥配置文件(预览版)才能启用同步的通行密钥(预览版)。 有关详细信息,请参阅 Microsoft Entra ID(预览版)中如何启用同步的密钥(FIDO2)。
什么是密钥配置文件?
密钥配置文件是一组命名的策略规则,用于管理目标组中的用户如何使用密钥(FIDO2)进行注册和身份验证。 配置文件支持高级控件,例如:
- 强制认证:启用、禁用
- 目标类型:设备绑定、已同步
- 目标特定的验证器:允许或阻止其 AAGUID 的特定验证器。 有关详细信息,请参阅 Authenticator 证明 GUID。
在您开始之前
- 用户必须在过去五分钟内完成多重身份验证(MFA),然后才能注册通行密钥(FIDO2)。
- 用户需要支持 Microsoft Entra ID 证明要求的验证器。 有关详细信息,请参阅 MICROSOFT FIDO2 安全密钥供应商的 Entra ID 证明。
- 设备必须支持密钥(FIDO2)身份验证。 对于已联接到 Microsoft Entra ID 的 Windows 设备,可在 Windows 10 版本 1903 或更高版本上获得最佳体验。 已建立混合联接的设备必须运行 Windows 10 版本 2004 或更高版本。
- 如果设备绑定密钥和同步密钥的配置文件都适用于 Microsoft Authenticator,用户需要运行 Microsoft Authenticator iOS 版本 6.8.37 或 Android 版本 6.2507.4749。
- 策略大小限制:
- 身份验证方法策略支持大小限制为 20KB。 达到大小限制后,无法保存更多通行密钥配置文件。 若要检查大小,请使用 Get authenticationMethodsPolicy Microsoft Graph API 检索身份验证方法策略的 JSON。 将输出另存为 .txt 文件,然后右键单击并选择“ 属性 ”以查看文件大小。
- 参考大小:
- 基本密钥策略(未更改):1.44 KB
- 应用了 1 个密钥配置文件的目标:0.23 KB
- 应用了 5 个密钥配置文件的目标:0.4 KB
- 没有 AAGUID 的通行密钥配置文件:0.4 KB
- 具有10个AAGUID的Passkey配置文件:0.3 KB
启用密钥配置文件(预览版)
注释
选择加入密钥配置文件(预览版)后,全局密码(FIDO2)策略设置将自动传输到 默认密码配置文件。 最多支持 3 个通行密钥配置文件,包括 默认通行密钥配置文件 。 支持更多通行密钥配置文件的开发正在进行中。
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>安全>身份验证方法>策略。
选择 Passkey(FIDO2),然后在公共预览页面上选择 申请参加公共预览 以查看密钥配置文件(预览)。
注释
以前的 Passkey (FIDO2) 策略设置会自动传输到 默认通行密钥配置文件。 以前的用户目标也会自动传输到 Enable and target。
若要完成加入,请选择 默认密码配置文件。
对于 目标类型,请选择 “设备绑定”、“ 已同步”(预览)或两者,然后选择“ 保存”。
创建新的密钥配置文件
在“ 配置 ”选项卡上,单击“ + 添加通行密钥配置文件”。
填写个人资料详细信息。 下表说明了各种选择的影响。
强制证明
“强制证明”设置为“是” 强制证明为“否” 需要密钥在注册时提供有效的证明语句,以便 Microsoft Entra ID 可以针对受信任的元数据验证验证器的品牌和型号。 这可让你的组织保证密钥是真实的,并且来自有说明的供应商。
仅在注册期间检查证明;如果稍后启用证明,则不会阻止在没有证明的情况下添加的现有密钥登录。
同步的密钥不支持证明。 如果将 “强制证明 ”设置为 “是”,则同步的密钥不是 目标类型中的选项。
有关其他供应商证明要求,请参阅 MICROSOFT FIDO2 安全密钥供应商的 Entra ID 证明。不需要在注册时输入密码即可提供有效的认证声明。
Microsoft Entra ID 无法保证有关任何通行密钥的属性,包括其是否已同步或绑定到设备,或特定的品牌、型号或提供商,即使应用了特定于目标的 AAGUID。
仅当 强制证明 设置为 “否”时,才支持同步的密钥。
有关其他供应商证明要求,请参阅 MICROSOFT FIDO2 安全密钥供应商的 Entra ID 证明。目标类型 可以允许设备绑定的密钥、同步的密钥或两者。
注释
如果强制实施证明,同步的密钥不会显示为选项。
针对特定的 AAGUID 如果您要允许或阻止由其 AAGUID 标识的某些安全密钥型号或通行密钥提供程序,请启用此设置。 这有助于您控制允许组织中的用户用于注册和验证通行钥匙的身份验证器。
注释
如果未强制执行证明,则 AAGUID 信息基于验证器报告的内容,无法完全保证。 在验证关闭时,使用 AAGUID 列表作为政策指导,而不是严格的安全管理控制。
警告
对于注册和身份验证,密钥限制设置了特定模型或提供程序的可用性。 如果更改密钥限制,并移除以前允许的 AAGUID,那么以前注册允许方法的用户无法再使用该方法来进行登录。
完成配置后,选择“保存”。
将密码配置应用于目标组
选择“ 启用”和“目标”。
选择 “添加目标 ”,然后选择“ 所有用户 ”或 “选择目标” 以选择组。
选择要分配给特定目标的密码配置文件。
注释
目标组(例如工程)可以限定为多个通行密钥配置文件。 当用户有多个密码钥匙配置文件范围时,如果完全满足其中一个配置文件的要求,则允许通过密码钥匙进行注册和身份验证。 检查过程没有特定的顺序。 如果用户是 Passkeys (FIDO2) 身份验证方法策略中排除组的成员,则会阻止这些用户进行 FIDO2 密码注册或登录。 排除 的组优先于 包含 的组。
删除密钥配置文件
选择配置。
选择要删除的通行密钥配置文件右侧的垃圾桶,然后选择“ 保存”。
注释
仅当配置文件未分配给 启用和目标 中的一组用户时,才能删除该配置文件。 如果垃圾桶为灰色,请先删除分配该配置的任何对象。
禁用通行密钥配置文件(预览版)
注释
选择退出通行密钥配置文件(预览版)将:
- 删除所有通行密钥配置文件及其关联的目标
- 将密钥策略还原为默认密码配置文件的配置,包括其用户目标
- 禁用对同步密钥的支持
确保由于这些更改,管理员不会被锁出其帐户。
- 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>安全>身份验证方法>策略。
- 选择 Passkey (FIDO2),然后在 公共预览横幅上选择退出公共预览 版。
- 查看选择退出的条件,如果接受,请单击 “选择退出 ”。
通行密钥配置文件的用例示例
注释
如果设备绑定密钥和同步密钥的配置文件都适用于 Microsoft Authenticator,用户需要运行 Microsoft Authenticator iOS 版本 6.8.37 或 Android 版本 6.2507.4749。
对高特权帐户的特别注意事项
| Passkey 配置文件 | 目标群体 | 通行密钥类型 | 认证实施 | 密钥限制 |
|---|---|---|---|---|
| 所有设备绑定的通行密钥(实施认证) | IT 管理员 高级管理人员 工程 |
设备绑定 | 已启用 | Disabled |
| 所有同步的或设备绑定的密钥 | 人力资源 Sales |
设备绑定,已同步 | Disabled | Disabled |
Microsoft Authenticator 中通行密钥的有针对性的推出
| Passkey 配置文件 | 目标群体 | 通行密钥类型 | 认证实施 | 密钥限制 |
|---|---|---|---|---|
| 所有设备绑定的密钥(不包括 Microsoft Authenticator) | 所有用户 | 设备绑定 | 已启用 | 已启用 - 行为:阻止 - AAGUID:适用于 iOS 的 Microsoft Authenticator、适用于 Android 的 Microsoft Authenticator |
| Microsoft Authenticator 中的密码 | 试点组 1 试点组 2 |
设备绑定 | 已启用 | 已启用 行为:允许 - AAGUID:iOS 和 Android 的 Microsoft Authenticator |