Authentication Method - FIDO2 security key - Restrict specific keys
Miksi tällä on merkitystä
Jos FIDO2-suojausavaimia ei rajoiteta hyväksyttyihin malleihin, hyökkääjät voivat mahdollisesti käyttää luvattomia tai väärennettyjä suojausavaimia ohittaakseen todennusvalvontasi. Avainten rajoittaminen niiden AAGUID-tunnisteen (Authenticator Attestation GUID) avulla varmistaa, että vain luotettavia laitteistosuojausavaimia voidaan käyttää salasanattomiin kirjautumisiin, mikä vähentää tietojenkalastelun ja tunnistetietojen varkauksien riskiä.
Mitä Aether365 tarkistaa
Aether365 varmistaa, onko vuokraajassasi määritetty tietyille FIDO2-suojausavaimen AAGUID-tunnisteille sallittujen tai estettyjen lista FIDO2-todennusmenetelmän käytännön alla. Tämä tarkistus näkyy Aether365-hallintapaneelissa Entra ID:n tietoturva-arviointien alla.
Korjaaminen
- Kirjaudu Microsoft Entra -hallintakeskukseen ehdollisen käytön ylläpitäjänä.
- Siirry kohtaan Protection (Suojaus) > Authentication methods (Todennusmenetelmät) > Policies (Käytännöt).
- Valitse FIDO2-suojausavainmenetelmä tai passkeys (FIDO2).
- Valitse Key restrictions (Avainrajoitukset) -kohdassa joko "Allow" (Salli) tai "Block" (Estä) täytäntöönpanotyyppi.
- Lisää sallittavien tai estettävien suojausavainten tarkat AAGUID-tunnisteet. Käytä pilkulla eroteltua luetteloa useille GUID-tunnisteille.
- Tallenna muutokset ottaaksesi rajoituksen käyttöön.
Vaatimustenmukaisuus
Tämä tarkistus kohdistuu seuraaviin vaatimustenmukaisuuden viitekehyksiin ja standardeihin:
- EIDSCA: EIDSCA.AF06 (Keskitasoinen vakavuus)
- Viitekehys: Microsoft Entra ID Security Config Analyzer (EIDSCA)
Liittyvät resurssit
- Microsoft Learn: Ota passkeys (FIDO2) käyttöön organisaatiossasi - Rajoita tiettyjä avaimia
- Microsoft Graph v1.0: fido2AuthenticationMethodConfiguration-resurssityyppi
- Graph Explorer - Avaa FIDO2-käytäntö