51CTO博客链接:https://blog.51cto.com/u_13637423
从2024年2月中旬开始,除了现有的FIDO2安全密钥支持外,Microsoft Entra ID还将支持存储在计算机和移动设备上的设备绑定密钥,作为预览中的身份验证方法。这使您的用户能够使用现有设备执行防钓鱼身份验证。
我们将扩展现有的FIDO2身份验证方法策略和最终用户体验,以支持此预览版本。如果您的组织使用FIDO2身份验证或Windows Hello for Business,请继续阅读以了解更多信息,并为即将到来的更改做好准备。
Admin Configuration
在Entra管理门户中,我们将在身份验证方法策略和条件访问身份验证强度策略中将“FIDO2安全密钥”重命名为“密钥(FIDO2)”。
为了让您的组织选择加入此预览,您需要强制执行密钥限制,以便在您的FIDO2策略中允许指定的密钥提供程序。以下是预览期间FIDO2密钥限制的可能配置状态:
· 无密钥限制(FIDO2策略默认值):租户允许所有安全密钥模型。不允许计算机和移动设备上的设备绑定密钥提供程序。
· 设置为“允许”的密钥限制:租户只允许显式添加的AAGUID。若要启用绑定到设备的密钥提供程序,请将其AAGUID添加到密钥限制列表中。
· 密钥限制设置为“阻止”:租户阻止显式添加的AAGUID,并允许所有其他安全密钥模型。不允许计算机和移动设备上的设备绑定密钥提供程序。
最终用户注册体验
在“我的安全信息”门户中,将向最终用户显示一个名为“密钥(预览)”的新注册选项,用于在计算机、移动设备或安全密钥上注册设备绑定的密钥。
*到2024年底,现有的安全密钥注册选项将被新引入的密钥选项所取代。
最终用户登录体验
Windows Hello for Business和FIDO2安全密钥的现有最终用户登录选项将重命名为“人脸、指纹、PIN或安全密钥”。“密钥”一词将在更新的登录体验中提及,包括安全密钥、计算机和移动设备提供的密钥凭据。
· “使用Windows Hello或安全密钥登录”
· “使用安全密钥登录”
· “使用Windows Hello或安全密钥登录”
2024年1月向用户显示的文本:
· 人脸、指纹、PIN或安全密钥
· “使用密钥登录”
请各位管理员提前了解,并按需部署,谢谢阅读。