Authentication Method - FIDO2 security key - Restrict specific keys
Por Que Isso é Importante
Sem restringir as chaves de segurança FIDO2 a modelos aprovados, invasores podem potencialmente usar chaves de segurança não autorizadas ou falsificadas para contornar seus controles de autenticação. Restringir chaves pelo AAGUID (Authenticator Attestation GUID) garante que apenas chaves de segurança de hardware confiáveis possam ser usadas para logins sem senha, reduzindo o risco de phishing e roubo de credenciais.
O Que o Aether365 Verifica
O Aether365 verifica se seu locatário configurou uma lista de permissões ou uma lista de bloqueio de AAGUIDs específicos de chaves de segurança FIDO2 na política do método de autenticação FIDO2. Esta verificação aparece no painel do Aether365 sob as avaliações de segurança do Entra ID.
Como Corrigir
- Faça login no Microsoft Entra admin center como um Conditional Access Administrator.
- Navegue até Protection > Authentication methods > Policies.
- Selecione o método de chave de segurança FIDO2 ou passkeys (FIDO2).
- Em Key restrictions, escolha o tipo de imposição "Allow" ou "Block".
- Adicione os AAGUIDs específicos para as chaves de segurança que você deseja permitir ou bloquear. Use uma lista separada por vírgulas para múltiplos GUIDs.
- Salve suas alterações para aplicar a restrição.
Conformidade
Esta verificação está mapeada para as seguintes estruturas e padrões de conformidade:
- EIDSCA: EIDSCA.AF06 (Severidade média)
- Estrutura: Microsoft Entra ID Security Config Analyzer (EIDSCA)
Recursos Relacionados
- Microsoft Learn: Enable passkeys (FIDO2) for your organization - Restrict specific keys
- Microsoft Graph v1.0: fido2AuthenticationMethodConfiguration resource type
- Graph Explorer - Open FIDO2 policy