Authentication Method - FIDO2 security key - Restricted

Pourquoi c'est important

Sans restreindre les clés de sécurité FIDO2 aux GUIDs d'attestation d'authentificateur (AAGUIDs) approuvés, votre organisation risque de permettre aux utilisateurs d'enregistrer des clés matérielles non conformes ou non fiables. Cela peut affaiblir la garantie d'authentification, augmenter le risque d'utilisation d'appareils non autorisés et contourner votre socle de sécurité pour l'authentification multifacteur résistante au phishing.

Ce que vérifie Aether365

Aether365 vérifie que la configuration de la méthode d'authentification FIDO2 applique une liste de GUIDs d'attestation d'authentificateur autorisés (keyRestrictions.aaGuids contient au moins une valeur). Cette vérification apparaît dans le tableau de bord Aether365 sous les contrôles entra-id.

Comment corriger

1. Connectez-vous au Microsoft Entra admin center en tant qu'Administrateur de stratégie d'authentification.
2. Accédez à Protection > Authentication methods > Passkeys (FIDO2).
3. Définissez Restrict specific security keys sur Yes.
4. Ajoutez un ou plusieurs GUIDs d'attestation d'authentificateur provenant de fournisseurs matériels approuvés à la liste autorisée.
5. Cliquez sur Save pour appliquer la modification.

Vous pouvez également utiliser l'API Microsoft Graph pour mettre à jour la ressource fido2AuthenticationMethodConfiguration avec une liste d'AAGUIDs approuvés sous keyRestrictions.aaGuids.

Conformité

• EIDSCA : EIDSCA.AF05

Ressources associées

• Microsoft Learn - Enable passkeys (FIDO2) for your organization: Restricted AAGUIDS
• fido2AuthenticationMethodConfiguration resource type - Microsoft Graph v1.0
• Graph Explorer - Open query

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()