Authentication Method - FIDO2 security key - Restrict specific keys
Por Qué es Importante
Sin restringir las claves de seguridad FIDO2 a modelos aprobados, los atacantes podrían usar claves de seguridad no autorizadas o falsificadas para eludir los controles de autenticación. Restringir las claves mediante su AAGUID (GUID de atestación del autenticador) garantiza que solo se puedan utilizar claves de seguridad de hardware confiables para inicios de sesión sin contraseña, lo que reduce el riesgo de suplantación de identidad (phishing) y robo de credenciales.
Qué Comprueba Aether365
Aether365 verifica si su inquilino ha configurado una lista de permitidos o una lista de bloqueados de AAGUID específicos de claves de seguridad FIDO2 en la directiva del método de autenticación FIDO2. Esta comprobación aparece en el panel de Aether365 bajo evaluaciones de seguridad de Entra ID.
Cómo Solucionarlo
- Inicie sesión en el Microsoft Entra admin center como administrador de acceso condicional.
- Vaya a Protection > Authentication methods > Policies.
- Seleccione el método de clave de seguridad FIDO2 o passkeys (FIDO2).
- En Key restrictions, elija el tipo de aplicación "Allow" o "Block".
- Agregue los AAGUID específicos de las claves de seguridad que desea permitir o bloquear. Use una lista separada por comas para varios GUID.
- Guarde los cambios para aplicar la restricción.
Cumplimiento Normativo
Esta comprobación se asigna a los siguientes marcos y estándares de cumplimiento:
- EIDSCA: EIDSCA.AF06 (Gravedad media)
- Marco: Microsoft Entra ID Security Config Analyzer (EIDSCA)
Recursos Relacionados
- Microsoft Learn: Habilitar passkeys (FIDO2) para su organización: Restringir claves específicas
- Microsoft Graph v1.0: Tipo de recurso fido2AuthenticationMethodConfiguration
- Graph Explorer: Abrir directiva FIDO2