Authentication Method - FIDO2 security key - Restrict specific keys
Proč na tom záleží
Bez omezení FIDO2 bezpečnostních klíčů na schválené modely mohou útočníci potenciálně použít neautorizované nebo padělané bezpečnostní klíče k obejití vašich ověřovacích kontrol. Omezení klíčů podle jejich AAGUID (Authenticator Attestation GUID) zajišťuje, že pro přihlášení bez hesla lze použít pouze důvěryhodné hardwarové bezpečnostní klíče, čímž se snižuje riziko phishingu a krádeže přihlašovacích údajů.
Co Aether365 kontroluje
Aether365 ověřuje, zda váš tenant má nakonfigurovaný seznam povolených nebo blokovaných specifických AAGUID FIDO2 bezpečnostních klíčů v rámci zásad metody ověřování FIDO2. Tato kontrola se zobrazuje na řídicím panelu Aether365 v části hodnocení zabezpečení Entra ID.
Jak to opravit
- Přihlaste se do Microsoft Entra admin center jako Conditional Access Administrator.
- Přejděte na Protection > Authentication methods > Policies.
- Vyberte metodu FIDO2 security key nebo passkeys (FIDO2).
- V části Key restrictions vyberte typ vynucení "Allow" nebo "Block".
- Přidejte konkrétní AAGUID pro bezpečnostní klíče, které chcete povolit nebo blokovat. Pro více GUID použijte seznam oddělený čárkami.
- Uložte změny pro vynucení omezení.
Compliance
Tato kontrola je mapována na následující compliance rámce a standardy:
- EIDSCA: EIDSCA.AF06 (Střední závažnost)
- Rámec: Microsoft Entra ID Security Config Analyzer (EIDSCA)
Související zdroje
- Microsoft Learn: Povolení passkeys (FIDO2) pro vaši organizaci - Omezení konkrétních klíčů
- Microsoft Graph v1.0: fido2AuthenticationMethodConfiguration resource type
- Graph Explorer - Otevřít zásady FIDO2