Authentication Method - FIDO2 security key - Restrict specific keys

Zakaj je to pomembno

Če ne omejite varnostnih ključev FIDO2 na odobrene modele, bi napadalci lahko uporabili nepooblaščene ali ponarejene varnostne ključe za obvladovanje vaših nadzorov avtentikacije. Omejevanje ključev z njihovim AAGUID (Authenticator Attestation GUID) zagotavlja, da se za prijave brez gesla lahko uporabljajo le zaupanja vredni strojni varnostni ključi, kar zmanjšuje tveganje lažnega predstavljanja in kraje poverilnic.

Kaj preverja Aether365

Aether365 preverja, ali ima vaš najemnik konfiguriran seznam dovoljenih ali blokiranih določenih AAGUID varnostnih ključev FIDO2 v pravilniku za metodo avtentikacije FIDO2. To preverjanje se pojavi na nadzorni plošči Aether365 pod varnostnimi ocenami Entra ID.

Kako popraviti

1. Prijavite se v Microsoft Entra admin center kot skrbnik za pogojni dostop.
2. Pomaknite se na Zaščita > Authentication methods > Policies.
3. Izberite metodo varnostnega ključa FIDO2 ali gesla (FIDO2).
4. Pod Key restrictions izberite vrsto uveljavljanja "Allow" ali "Block".
5. Dodajte specifične AAGUID za varnostne ključe, ki jih želite dovoliti ali blokirati. Za več GUID-ov uporabite vejico kot ločilo.
6. Shranite spremembe za uveljavitev omejitve.

Skladnost

To preverjanje se nanaša na naslednje okvire in standarde skladnosti:

• EIDSCA: EIDSCA.AF06 (srednja resnost)
• Okvir: Microsoft Entra ID Security Config Analyzer (EIDSCA)

Sorodni viri

• Microsoft Learn: Omogočite gesla (FIDO2) za vašo organizacijo - Omejite specifične ključe
• Microsoft Graph v1.0: fido2AuthenticationMethodConfiguration resource type
• Graph Explorer - Odpri pravilnik FIDO2

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()