Authentication Method - FIDO2 security key - Enforce attestation

Prečo je to dôležité

Vynucovanie atestácie pre FIDO2 bezpečnostné kľúče zaisťuje, že v organizácii sú registrované len hardvérovo overené zariadenia. Bez tohto vynucovania by používatelia mohli registrovať nevyhovujúce alebo potenciálne kompromitované bezpečnostné kľúče, čím by oslabili phishing-odolnú autentifikáciu a zvýšili riziko krádeže prihlasovacích údajov.

Čo Aether365 kontroluje

Táto kontrola overuje, či je nastavenie isAttestationEnforced povolené v konfigurácii metódy autentifikácie FIDO2 v rámci vášho Microsoft Entra ID tenanta. Stav tejto kontroly môžete vidieť v dashboarde Aether365 v sekcii bezpečnostných skenov entra-id.

Ako to opraviť

Ak chcete vynútiť atestáciu pre FIDO2 bezpečnostné kľúče, použite Azure Portal:

1. Prihláste sa do Microsoft Entra admin center.
2. Prejdite do časti Protection, potom Authentication methods a následne Policies.
3. V sekcii FIDO2 security keys vyberte Manage.
4. Nastavte možnosť Enforce attestation na Yes.
5. Kliknite na Save.

Prípadne môžete použiť Microsoft Graph API na aktualizáciu vlastnosti isAttestationEnforced na true v konfigurácii metódy autentifikácie FIDO2.

Súlad s predpismi

• EIDSCA: EIDSCA.AF03

Súvisiace zdroje

• Microsoft Learn - Enable passkeys (FIDO2) for your organization: Enforce attestation
• Graph API Docs - fido2AuthenticationMethodConfiguration resource type
• Graph Explorer - Open FIDO2 configuration

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()