Authentication Method - FIDO2 security key - Restrict specific keys

Hvorfor det er vigtigt

Uden at begrænse FIDO2-sikkerhedsnøgler til godkendte modeller kan angribere potentielt bruge uautoriserede eller forfalskede sikkerhedsnøgler til at omgå dine godkendelseskontroller. Ved at begrænse nøgler efter deres AAGUID (Authenticator Attestation GUID) sikrer du, at kun betroede hardware-sikkerhedsnøgler kan bruges til adgangskodeløse logins, hvilket reducerer risikoen for phishing og legitimationsstyveri.

Hvad Aether365 kontrollerer

Aether365 verificerer, om din lejer har konfigureret en tilladelsesliste eller blokeringsliste over specifikke FIDO2-sikkerhedsnøgle-AAGUID'er under FIDO2-godkendelsesmetodepolitikken. Denne kontrol vises i Aether365-dashboardet under Entra ID-sikkerhedsvurderinger.

Sådan løser du det

1. Log ind på Microsoft Entra admin center som en Conditional Access Administrator.
2. Naviger til Protection > Authentication methods > Policies.
3. Vælg metoden FIDO2 security key eller passkeys (FIDO2).
4. Under Key restrictions skal du vælge enten "Allow" eller "Block" som håndhævelsestype.
5. Tilføj de specifikke AAGUID'er for de sikkerhedsnøgler, du vil tillade eller blokere. Brug en kommasepareret liste for flere GUID'er.
6. Gem dine ændringer for at håndhæve begrænsningen.

Compliance

Denne kontrol mapper til følgende compliance-rammer og standarder:

• EIDSCA: EIDSCA.AF06 (Medium severity)
• Framework: Microsoft Entra ID Security Config Analyzer (EIDSCA)

Relaterede ressourcer

• Microsoft Learn: Enable passkeys (FIDO2) for your organization - Restrict specific keys
• Microsoft Graph v1.0: fido2AuthenticationMethodConfiguration resource type
• Graph Explorer - Open FIDO2 policy

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()