Authentication Method - FIDO2 security key - Restricted

Dlaczego to ma znaczenie

Bez ograniczenia kluczy bezpieczeństwa FIDO2 do zatwierdzonych identyfikatorów GUID atestacji uwierzytelniania (AAGUID) Twoja organizacja może zezwolić użytkownikom na rejestrację niezgodnych lub niezaufanych kluczy sprzętowych. Może to obniżyć poziom pewności uwierzytelniania, zwiększyć ryzyko użycia urządzeń nieautoryzowanych i ominąć ustanowioną linię bazową bezpieczeństwa dla uwierzytelniania wieloskładnikowego odpornego na phishing.

Co sprawdza Aether365

Aether365 weryfikuje, czy konfiguracja metody uwierzytelniania FIDO2 wymusza stosowanie listy dozwolonych identyfikatorów GUID atestacji uwierzytelniania (klucz keyRestrictions.aaGuids zawiera co najmniej jedną wartość). To sprawdzenie pojawia się w panelu Aether365 pod kontrolami związanymi z entra-id.

Jak naprawić

1. Zaloguj się do Microsoft Entra admin center jako administrator zasad uwierzytelniania.
2. Przejdź do sekcji Protection > Authentication methods > Passkeys (FIDO2).
3. Ustaw opcję Restrict specific security keys na Yes.
4. Dodaj jeden lub kilka identyfikatorów GUID atestacji uwierzytelniania z zatwierdzonych dostawców sprzętu do listy dozwolonych.
5. Kliknij Save, aby zastosować zmianę.

Alternatywnie użyj Microsoft Graph API, aby zaktualizować zasób fido2AuthenticationMethodConfiguration o listę zatwierdzonych identyfikatorów AAGUID w ramach keyRestrictions.aaGuids.

Zgodność

• EIDSCA: EIDSCA.AF05

Powiązane zasoby

• Microsoft Learn - Enable passkeys (FIDO2) for your organization: Restricted AAGUIDS
• fido2AuthenticationMethodConfiguration resource type - Microsoft Graph v1.0
• Graph Explorer - Open query

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()