Войти с помощью ключей доступа

Применяется: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применяется к внешним клиентам. Внешние клиенты (дополнительные сведения)

В этой статье объясняется, как включить ключи доступа (FIDO2) в качестве метода входа для пользовательских приложений, созданных на основе Внешняя идентификация Microsoft Entra. Секретные ключи позволяют клиентам выполнять вход с помощью лиц, отпечатков пальцев, ПИН-кода или ключа безопасности вместо того, чтобы запоминать пароли или вводить одноразовые коды. Они обеспечивают аутентификацию, устойчивую к фишингу.

В внешнем клиенте можно использовать ключи доступа двумя способами:

  • Вход без пароля. Пользователь вводит свой адрес электронной почты или имя пользователя. Если ключ доступа доступен, им будет предложено войти с помощью лица, отпечатка пальца, ПИН-кода или ключа безопасности. Секретный ключ завершает проверку подлинности первого фактора, а также удовлетворяет требованиям многофакторной проверки подлинности (MFA).
  • Ключ доступа для многофакторной аутентификации. Пользователь входит в систему с помощью электронной почты или имени пользователя и пароля. Если секретный ключ зарегистрирован, они завершают многофакторную проверку подлинности с помощью секретного ключа — фишингозащищенную альтернативу традиционным методам проверки. Дополнительные сведения о вариантах MFA см. в разделе MFA во внешних арендаторах.

Необходимые условия

Требования конечных пользователей

Шаг 1: Включите метод аутентификации с помощью ключа доступа (FIDO2)

Включите метод аутентификации с помощью ключа доступа (FIDO2) для вашего арендатора:

  1. Войдите в Центр администрирования Microsoft Entra в роли как минимум администратора политики аутентификации.

  2. Перейдите к разделу Entra ID>Безопасность>Методы аутентификации>Политики.

  3. В списке методов выберите Passkey (FIDO2).

  4. В разделе "Включить" и "Целевой" включите переключатель "Включить".

  5. В разделе "Включить" рядом с "Целевой" выберите "Все пользователи" или выберите определенные группы.

  6. Нажмите Сохранить.

Шаг 2. Настройка профилей доступа

Профили секретного ключа позволяют определять различные политики для разных групп пользователей. Подробную справочную информацию см. в статье «Включение ключей доступа (FIDO2) в Microsoft Entra ID».

Чтобы настроить профиль, выполните приведенные действия.

  1. На странице политики Passkey (FIDO2) выберите вкладку "Настройка ".

  2. Установите Разрешить самостоятельную настройку в Да.

  3. Выберите профиль ключа по умолчанию или нажмите кнопку +Добавить профиль секретного ключа , чтобы создать новый.

  4. Настройте профиль:

    • Типы ключей доступа — выберите оба варианта: синхронизируемые и привязанные к устройству для максимальной гибкости.
    • Требовать аттестацию — установите значение Нет в потребительских сценариях (допускает использование синхронизированных ключей доступа). Установите значение "Да " только для регулируемых сред.
    • Ограничения ключей — оставьте отключенным, если вам не нужно разрешать или блокировать определенные средства проверки подлинности с помощью AAGUID.
  5. В разделе Target назначьте профиль соответствующим группам пользователей.

  6. Нажмите Сохранить.

Шаг 3. Создание интерфейса управления ключами для приложения

Приложению требуется возможность управления учетными данными, чтобы клиенты могли регистрировать ключи доступа и управлять ими. Используйте API подготовки FIDO2, чтобы встроить это в ваше приложение.

Интерфейс управления учетными данными должен позволить клиентам:

  • Зарегистрируйте секретный ключ на том же устройстве (Windows Hello, аутентификатор платформы, ключ безопасности).
  • Зарегистрируйте секретный ключ с помощью потока QR-кода на нескольких устройствах (телефон или планшет).
  • Просмотр зарегистрированных ключей доступа.
  • Удалить ключ доступа.

Полная эталонная реализация см. в примере приложения для управления ключами на GitHub. Это пример одностраничного приложения (SPA) на React, которое демонстрирует, как выполнять вход пользователей с помощью Внешняя идентификация Microsoft Entra и управлять учетными данными ключей доступа с помощью Microsoft API Graph.

Взаимодействие с пользователем

В следующих разделах описаны сведения о том, что пользователи видят при регистрации, входе в систему или управлении ключом доступа.

Регистрация секретного ключа

Пользователь регистрирует ключ доступа из интерфейса управления учетными данными:

  1. Пользователь входит в приложение с помощью электронной почты или имени пользователя и пароля.
  2. Пользователь переходит на страницу параметров для управления учетными данными и выбирает параметр для добавления ключа доступа.
  3. Пользователь завершает MFA. Они должны завершить MFA в течение последних пяти минут.
  4. В браузере представлено диалоговое окно создания собственного секретного ключа. Пользователь выбирает один из следующих параметров:
    • То же устройство — Windows Hello, цепочка ключей iCloud, Google Password Manager или сторонний поставщик, например 1Password или Bitwarden.
    • На другом устройстве — отсканируйте QR-код, чтобы зарегистрироваться с телефона или планшета.
    • Ключ безопасности — вставка или касание аппаратного ключа FIDO2.
  5. Пользователь проходит проверку по лицу, отпечатку пальца, PIN-коду или с помощью ключа безопасности.
  6. Секретный ключ зарегистрирован и готов к входу.

Вход с помощью секретного ключа

Зарегистрированный пользователь входит в систему с помощью секретного ключа вместо пароля:

  1. Пользователь переходит в приложение и запускает процесс входа.
  2. Пользователь вводит свой адрес электронной почты или имя пользователя.
  3. Если секретный ключ зарегистрирован, интерфейс входа зависит от того, выполнил ли пользователь вход ранее:
    • Первый раз. Вместо этого пользователь выбирает свой отпечаток лица, отпечатки пальцев, ПИН-код или ключ безопасности.
    • Последующие входы. Пользователю немедленно будет предложено пройти проверку подлинности с помощью секретного ключа. Браузер или платформа также могут автоматически отображать ключ доступа с помощью автоматического заполнения или диспетчера паролей.
    • Вход на разных устройствах. Пользователь выбирает параметр использования секретного ключа с другого устройства и сканирует QR-код с помощью телефона или планшета.
  4. После успешной проверки подлинности пользователь войдет в приложение.

Использование ключа доступа для MFA

Если для политики условного доступа требуется MFA, а у пользователя есть зарегистрированный секретный ключ, пользователь может удовлетворить MFA с помощью секретного ключа:

  1. Пользователь переходит в приложение и запускает процесс входа.
  2. Пользователь вводит свой адрес электронной почты или имя пользователя и пароль.
  3. В командной строке MFA пользователь выбирает параметр passkey.
  4. Пользователь проходит проверку по лицу, отпечатку пальца, PIN-коду или с помощью ключа безопасности.

После успешной проверки пользователь войдет в приложение.

Управление ключами доступа

При работе с функцией управления учетными данными клиенты могут:

  • Просмотр зарегистрированных секретных ключей (имя, тип, дата создания).
  • Удалите секретный ключ, который больше не нужен.
  • Зарегистрируйте дополнительные ключи доступа для резервного копирования.

Часто задаваемые вопросы

Какие платформы и браузеры поддерживаются?

Platform Минимальная версия Поддерживаемые браузеры
Windows Windows 10 версии 1903 или более поздней (рекомендуется Windows 11) Edge, Chrome, Firefox
macOS macOS 13 (Ventura) или более поздней версии Safari, Chrome, Edge
iOS iOS 16 или более поздней версии Safari, Chrome
Android Android 9 или более поздней версии Chrome, Edge
Linux - Chrome, Edge (с внешним ключом безопасности)

Какие поставщики и типы секретных ключей поддерживаются?

Type Поддерживаемые поставщики
Привязанное к устройству Windows Hello, ключи безопасности FIDO2 (например, YubiKey, Feitian)
Синхронизировано Apple iCloud Keychain, Google Password Manager, 1Password, Bitwarden

Ключи доступа, привязанные к устройству, остаются на одном физическом устройстве и никогда не покидают его. Синхронизированные ключи доступа шифруются и доступны на всех устройствах, связанных с поставщиком облачных служб.

Поддерживается ли Microsoft Authenticator для ключей доступа?

No. Регистрация секретных ключей через приложение Microsoft Authenticator в настоящее время не поддерживается. Используйте ключи безопасности Windows Hello, FIDO2, цепочку ключей iCloud, Диспетчер паролей Google, 1Password или Bitwarden.

Что такое секретный ключ?

Секретный ключ — это учетные данные на основе FIDO2, использующие криптографию с открытым ключом. Закрытый ключ остается на устройстве клиента; открытый ключ хранится с Внешняя идентификация Microsoft Entra. Для входа требуется локальная биометрическая проверка или ПИН-код, что делает ключи доступа устойчивыми к фишингу. Общий секрет никогда не передается.

Какова разница между синхронизированными и ключами доступа, привязанными к устройству?

Синхронизированные секретные ключи шифруются и доступны на всех устройствах, связанных с поставщиком облачных служб (iCloud Keychain, Google Password Manager, 1Password, Bitwarden). Ключи доступа, привязанные к устройству, живут на одном физическом устройстве (Windows Hello, ключе безопасности FIDO2) и никогда не покидают его. Ключи доступа, привязанные к устройству, поддерживают аттестацию; синхронизированные ключи доступа — нет.

Удовлетворяет ли ключ доступа MFA?

Yes. Ключ доступа объединяет владение устройством (то, что у вас есть) с биометрией или PIN-кодом (то, кем вы являетесь, или то, что вы знаете), тем самым обеспечивая многофакторную аутентификацию одним действием.

Может ли клиент использовать ключ доступа в качестве единственного метода входа?

Да, после регистрации. Однако клиентам в настоящее время требуется электронная почта и пароль или учетная запись имени пользователя и пароля, чтобы сначала зарегистрировать ключ доступа.

Что произойдет, если клиент теряет свое устройство?

Для синхронизированных секретных ключей учетные данные доступны на других связанных устройствах клиента. Клиент также может войти с помощью электронной почты и пароля и имени пользователя и резервного метода MFA. Администраторы могут удалить потерянный ключ доступа через Центр администрирования или API Graph.

Могут ли клиенты использовать секретный ключ на другом устройстве, отличном от того, где они зарегистрировали его?

Да. Синхронизированные ключи доступа автоматически доступны на всех связанных устройствах. Для любого типа секретного ключа возможность входа между устройствами возможна путем сканирования QR-кода (требуется Bluetooth на обоих устройствах).

Можно ли требовать использования ключей доступа с помощью параметра «стойкость аутентификации» в условном доступе?

No. В настоящее время арендаторы External ID не поддерживают надежность проверки подлинности в условном доступе. Невозможно обеспечить применение многофакторной аутентификации, устойчивой к фишингу, с помощью политики условного доступа. Ключи доступа доступны в качестве способа входа, но на данный момент не могут быть сделаны обязательными с помощью политики. Однако можно требовать многофакторную проверку подлинности с помощью политики условного доступа. Дополнительные сведения см. в разделе "Добавление многофакторной проверки подлинности(MFA) в приложение.

Можно ли использовать ключи доступа для пользователей с одноразовым кодом, отправляемым по электронной почте, или для пользователей социального IdP?

Ещё нет. Только пользователи локальной учетной записи электронной почты и паролей могут использовать секретные ключи в настоящее время. Поддержка пользователей с одноразовым кодом, отправляемым по электронной почте, а также пользователей федеративной и социальной аутентификации включена в дорожную карту.

Существует ли стоимость проверки подлинности на основе ключей доступа?

No. Секретные ключи включены во все ценовые категории Внешняя идентификация Microsoft Entra без дополнительных затрат, в отличие от MFA на основе SMS, для которой требуется связанная подписка.

Поддерживаются ли ключи доступа в Azure AD B2C?

No. Секретные ключи для клиентских приложений доступны только в Внешняя идентификация Microsoft Entra (внешние клиенты). Если вы находитесь в B2C, рассмотрите возможность планирования миграции на внешний идентификатор.

Поддерживается ли вход с помощью ключа доступа во встроенных веб-представлениях?

No. Встроенные веб-представления (WebView, WKWebView) имеют ограниченную поддержку WebAuthn или не поддерживают её вовсе. Используйте системные браузеры или браузер по умолчанию устройства.

Могут ли администраторы регистрировать секретные ключи от имени клиентов?

No. Для регистрации требуется физическое присутствие клиента и локальная биометрическая аутентификация или ввод PIN-кода либо жеста. Администраторы могут удалять секретные ключи и запрашивать повторную регистрацию.

Существуют ли API с низким уровнем привилегий для создания интерфейса управления учетными данными?

Ещё нет. API для управления учетными данными с низким уровнем привилегий для ключей доступа включены в дорожную карту. В настоящее время используйте API подготовки FIDO2 для реализации возможностей управления учетными данными.

No. Поддержка связанных источников в настоящее время недоступна. Секретный ключ регистрируется в одном домене (проверяющей стороне) и не может использоваться в нескольких доменах. Поддержка связанных источников есть в дорожной карте.

Поддерживаются ли ключи доступа в мобильных нативных сценариях аутентификации?

No. Секретные ключи в настоящее время не поддерживаются через собственные API проверки подлинности. Поддержка сценариев нативной аутентификации на мобильных устройствах включена в план развития.

Есть ли готовый встроенный процесс регистрации ключа доступа?

No. В настоящее время Microsoft не предоставляет встроенную возможность регистрации ключей доступа. Необходимо создать собственный интерфейс управления учетными данными с помощью API-интерфейсов подготовки FIDO2. В ближайшее время ожидается внестандартная регистрация.