Authentication Method - FIDO2 security key - Restricted

Varför detta är viktigt

Utan att begränsa FIDO2-säkerhetsnycklar till godkända AAGUID (Authenticator Attestation GUID) kan din organisation tillåta användare att registrera icke-kompatibla eller ej betrodda hårdvarunycklar. Detta kan försvaga autentiseringssäkerheten, öka risken för användning av falska enheter och kringgå er säkerhetsbaslinje för nätfiskeresistent multifaktorautentisering.

Vad Aether365 kontrollerar

Aether365 verifierar att konfigurationen för FIDO2-autentiseringsmetod framtvingar en lista över tillåtna AAGUID (keyRestrictions.aaGuids innehåller minst ett värde). Denna kontroll visas i Aether365-instrumentpanelen under entra-id-kontroller.

Så här åtgärdar du

1. Logga in i Microsoft Entra admin center som autentiseringspolicyadministratör.
2. Navigera till Protection > Authentication methods > Passkeys (FIDO2).
3. Ställ in Restrict specific security keys på Yes.
4. Lägg till en eller flera AAGUID från godkända hårdvaruleverantörer i listan över tillåtna.
5. Klicka på Save för att tillämpa ändringen.

Alternativt kan du använda Microsoft Graph API för att uppdatera resursen fido2AuthenticationMethodConfiguration med en lista över godkända AAGUID under keyRestrictions.aaGuids.

Efterlevnad

• EIDSCA: EIDSCA.AF05

Relaterade resurser

• Microsoft Learn - Enable passkeys (FIDO2) for your organization: Restricted AAGUIDS
• fido2AuthenticationMethodConfiguration resource type - Microsoft Graph v1.0
• Graph Explorer - Open query

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()