Authentication Method - FIDO2 security key - Restrict specific keys

Varför detta är viktigt

Utan att begränsa FIDO2-säkerhetsnycklar till godkända modeller kan angripare potentiellt använda obehöriga eller förfalskade säkerhetsnycklar för att kringgå dina autentiseringskontroller. Genom att begränsa nycklar med deras AAGUID (Authenticator Attestation GUID) säkerställer du att endast betrodda maskinvarunycklar kan användas för lösenordslösa inloggningar, vilket minskar risken för nätfiske och stöld av autentiseringsuppgifter.

Vad Aether365 kontrollerar

Aether365 verifierar om din klientorganisation har konfigurerat en tillåtningslista eller blocklista med specifika FIDO2-säkerhetsnyckel-AAGUID under principen för FIDO2-autentiseringsmetod. Denna kontroll visas i Aether365-instrumentpanelen under Entra ID-säkerhetsbedömningar.

Så här åtgärdar du

1. Logga in på Microsoft Entra admin center som administratör för villkorsstyrd åtkomst.
2. Gå till Protection > Authentication methods > Policies.
3. Välj metoden FIDO2 security key eller passkeys (FIDO2).
4. Under Key restrictions väljer du antingen "Allow" eller "Block" som tvångstyp.
5. Lägg till de specifika AAGUID för de säkerhetsnycklar du vill tillåta eller blockera. Använd en kommaseparerad lista för flera GUID.
6. Spara dina ändringar för att tillämpa begränsningen.

Regelefterlevnad

Denna kontroll mappar till följande regelverk och standarder:

• EIDSCA: EIDSCA.AF06 (Medium severity)
• Ramverk: Microsoft Entra ID Security Config Analyzer (EIDSCA)

Relaterade resurser

• Microsoft Learn: Enable passkeys (FIDO2) for your organization - Restrict specific keys
• Microsoft Graph v1.0: fido2AuthenticationMethodConfiguration resource type
• Graph Explorer - Open FIDO2 policy

Microsoft references

• How to enable passkey fido2
• Fido2authenticationmethodconfiguration
• [Graph explorer](https://developer.microsoft.com/en-us/graph/graph-explorer?request=policies/authenticationMethodsPolicy/authenticationMethodConfigurations()