Authentication Method - FIDO2 security key - Enforce attestation

Pourquoi c'est important

Imposer l'attestation pour les clés de sécurité FIDO2 garantit que seuls les appareils vérifiés matériellement sont enregistrés dans votre organisation. Sans cette obligation, les utilisateurs pourraient enregistrer des clés de sécurité non conformes ou potentiellement compromises, affaiblissant l'authentification résistante au phishing et augmentant le risque de vol d'identifiants.

Ce que vérifie Aether365

Cette vérification s'assure que le paramètre isAttestationEnforced est activé dans la configuration de la méthode d'authentification FIDO2 dans votre locataire Microsoft Entra ID. Vous pouvez voir l'état de cette vérification dans le tableau de bord Aether365 sous les analyses de sécurité entra-id.

Comment corriger

Pour imposer l'attestation pour les clés de sécurité FIDO2, utilisez le portail Azure :

1. Connectez-vous au Microsoft Entra admin center.
2. Accédez à Protection, puis Authentication methods, puis Policies.
3. Sous FIDO2 security keys, sélectionnez Manage.
4. Définissez Enforce attestation sur Yes.
5. Cliquez sur Save.

Vous pouvez également utiliser Microsoft Graph API pour mettre à jour la propriété isAttestationEnforced à true sur la configuration de la méthode d'authentification FIDO2.

Conformité

• EIDSCA : EIDSCA.AF03

Ressources associées

• Microsoft Learn - Enable passkeys (FIDO2) for your organization: Enforce attestation
• Graph API Docs - fido2AuthenticationMethodConfiguration resource type
• Graph Explorer - Open FIDO2 configuration

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()