Authentication Method - FIDO2 security key - Restrict specific keys

Защо това е важно

Без ограничаване на FIDO2 защитните ключове до одобрени модели, нападателите биха могли да използват неоторизирани или фалшиви защитни ключове, за да заобиколят вашите механизми за удостоверяване. Ограничаването на ключовете чрез техния AAGUID (Authenticator Attestation GUID) гарантира, че могат да се използват само доверени хардуерни защитни ключове за вход без парола, което намалява риска от фишинг и кражба на идентификационни данни.

Какво проверява Aether365

Aether365 проверява дали вашият клиент е конфигурирал разрешен списък или блокиран списък с конкретни AAGUID на FIDO2 защитни ключове в политиката за метода на удостоверяване FIDO2. Тази проверка се показва в таблото на Aether365 под секцията за оценка на сигурността на Entra ID.

Как да го поправите

1. Влезте в Microsoft Entra admin center като администратор на условен достъп.
2. Отидете на Protection > Authentication methods > Policies.
3. Изберете метода за защитен ключ FIDO2 или ключове за достъп (FIDO2).
4. Под Key restrictions изберете тип на прилагане "Allow" или "Block".
5. Добавете конкретните AAGUID за защитните ключове, които искате да разрешите или блокирате. Използвайте списък с разделител запетая за множество GUID.
6. Запазете промените, за да приложите ограничението.

Съответствие

Тази проверка съответства на следните рамки и стандарти за съответствие:

• EIDSCA: EIDSCA.AF06 (средна тежест)
• Рамка: Microsoft Entra ID Security Config Analyzer (EIDSCA)

Свързани ресурси

• Microsoft Learn: Enable passkeys (FIDO2) for your organization - Restrict specific keys
• Microsoft Graph v1.0: fido2AuthenticationMethodConfiguration resource type
• Graph Explorer - Open FIDO2 policy

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()