Authentication Method - FIDO2 security key - Restricted

De ce este important

Fără restricționarea cheilor de securitate FIDO2 la identificatori unici de atestare a autentificatorilor (AAGUID) aprobați, organizația dumneavoastră poate permite utilizatorilor să înregistreze chei hardware neconforme sau nesigure. Aceasta poate slăbi garanția de autentificare, poate crește riscul utilizării dispozitivelor malițioase și poate ocoli linia de bază de securitate pentru autentificarea multifactorială rezistentă la phishing.

Ce verifică Aether365

Aether365 verifică dacă configurația metodei de autentificare FIDO2 impune o listă de identificatori unici de atestare a autentificatorilor (AAGUID) permise (keyRestrictions.aaGuids conține cel puțin o valoare). Această verificare apare în tabloul de bord Aether365, la secțiunea verificări entra-id.

Cum se remediază

1. Conectați-vă la centrul de administrare Microsoft Entra ca administrator al politicilor de autentificare.
2. Navigați la Protection > Authentication methods > Passkeys (FIDO2).
3. Setați opțiunea Restrict specific security keys la Yes.
4. Adăugați unul sau mai mulți identificatori unici de atestare a autentificatorilor (AAGUID) de la furnizori de hardware aprobați în lista permisă.
5. Faceți clic pe Save pentru a aplica modificarea.

Alternativ, utilizați API-ul Microsoft Graph pentru a actualiza resursa fido2AuthenticationMethodConfiguration cu o listă de AAGUID-uri aprobate în cadrul keyRestrictions.aaGuids.

Conformitate

• EIDSCA: EIDSCA.AF05

Resurse conexe

• Microsoft Learn - Enable passkeys (FIDO2) for your organization: Restricted AAGUIDS
• fido2AuthenticationMethodConfiguration resource type - Microsoft Graph v1.0
• Graph Explorer - Open query

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()