Authentication Method - FIDO2 security key - Restrict specific keys
Perché è Importante
Senza limitare le chiavi di sicurezza FIDO2 ai modelli approvati, gli aggressori potrebbero potenzialmente utilizzare chiavi di sicurezza non autorizzate o contraffatte per aggirare i controlli di autenticazione. Limitare le chiavi tramite il loro AAGUID (Authenticator Attestation GUID) garantisce che solo chiavi di sicurezza hardware fidate possano essere utilizzate per accessi senza password, riducendo il rischio di phishing e furto di credenziali.
Cosa Controlla Aether365
Aether365 verifica se il tuo tenant ha configurato un elenco consentiti o un elenco bloccati di specifici AAGUID di chiavi di sicurezza FIDO2 nell'ambito dei criteri del metodo di autenticazione FIDO2. Questo controllo appare nella dashboard di Aether365 sotto le valutazioni di sicurezza di Entra ID.
Come Risolvere
- Accedi al Microsoft Entra admin center come Conditional Access Administrator.
- Vai su Protection > Authentication methods > Policies.
- Seleziona il metodo chiave di sicurezza FIDO2 o passkeys (FIDO2).
- In Key restrictions, scegli il tipo di imposizione "Allow" o "Block".
- Aggiungi gli AAGUID specifici per le chiavi di sicurezza che vuoi consentire o bloccare. Utilizza un elenco separato da virgole per più GUID.
- Salva le modifiche per applicare la restrizione.
Conformità
Questo controllo si riferisce ai seguenti framework e standard di conformità:
- EIDSCA: EIDSCA.AF06 (Gravità media)
- Framework: Microsoft Entra ID Security Config Analyzer (EIDSCA)
Risorse Correlate
- Microsoft Learn: Enable passkeys (FIDO2) for your organization - Restrict specific keys
- Microsoft Graph v1.0: fido2AuthenticationMethodConfiguration resource type
- Graph Explorer - Open FIDO2 policy