Metody pro zjištění informací uživatelem
Bezpečnostní informace u pracovního účtu
Každý uživatel si může spravovat svoje autentizační metody na webu v rámci svého účtu My Account v části Security Info. Nachází se zde seznam registrovaných metod.
Není zde vidět klasické Windows Hello for Business. U passkeys můžeme zobrazit AAGUID daného typu autentizátoru. Hodila by se informace, kdy byla daná metoda registrovaná nebo naposledy použita a další detaily.
Passkeys uložené (registrované) na zařízení
Pokud máme passkeys registrované na nějakém zařízení (autentizátoru) nebo u poskytovatele (passkey provider), tak si (podle jeho možností) můžeme zobrazit seznam a určité informace. Několik příkladů je uvedeno níže.
Microsoft Authenticator
- spustíme aplikaci Microsoft Authenticator
- otevřeme náš pracovní účet a klikneme na Passkey
Windows 11
- Settings - Accounts - Passkeys
Ve Windows se passkey ukládají do Windows Hello. Od Windows 11 22H2 se můžeme podívat na přístupové klíče uložené na daném zařízení. V příkladu se nachází passkey pro firemní a osobní Microsoft účet, Google účet a testovací passkeys.io.
Bohužel se zde nachází minimum informací a jediná možnost k dispozici je passkey smazat. Je zde uvedeno pouze, pro jaké URL (doménu) a jaký email (uživatelské jméno) je passkey vystaven.
Pokud máme passkey pro firemní Entra ID účet a osobní Microsoft účet, tak používají oba login.microsoft.com (a oba mohou mít stejný email, takže je nijak nerozlišíme). Také není žádný rozdíl mezi původním Windows Hello for Business a novým passkey ve Windows Hello.
Security key YubiKey od Yubico
Pokud máme bezpečnostní klíč od firmy Yubico, tak můžeme použít jejich YubiKey Manager pro správu a zjištění informací o klíči. GUI aplikace pro Windows je ale dost omezená. Pro řadu operací musíme použít aplikaci pro příkazový řádek ykman.exe.
Můžeme zobrazit (spravovat) credentials uložené na YubiKey. Musí jít o discoverable credentials (to by passkeys měly být vždy). V příkladu je vidět výpis z bezpečnostního klíče, který je registrovaný v Microsoft Entra ID a je na něm také vystaven passkey pro Google.
c:\Program Files\Yubico\YubiKey Manager>ykman fido credentials list Enter your PIN: Credential ID RP ID Username Display name d0fb5472... login.microsoft.com bouska@xxxx.cz Bouška Petr d9deb560... google.com bouska@gmail.com bouska@gmail.com
Metody pro zjištění informací správcem
Souhrnný přehled registrovaných metod uživatelů
- Microsoft Entra admin center - Entra ID - Authentication methods - User registration details
Nachází se zde report, který obsahuje všechny uživatele a jejich registrované autentizační metody. Můžeme vyhledat určité uživatele a filtrovat, třeba podle typu metody. Jsou zde uvedeny pouze metody, a ne detaily o určité instanci metody. Pokud například používáme několik Security key, tak zde uvidíme pouze jednou Passkey (other device-bound). Pokud otevřeme filtr Methods Registered, tak uvidíme seznam všech možných metod.
Pozn.: V tomto reportu vidíme i údaje pro svůj administrátorský účet.
Autentizační metody konkrétního uživatele
- Microsoft Entra Admin Center - Entra ID - Users - All users - vybereme uživatele - Authentication methods
Nejvíce informací, o autentizačních metodách uživatele, nalezneme v detailu jeho uživatelského účtu v části Authentication methods. Vidíme zde seznam všech instancí s označením metody a bližším popisem.
Pozn.: Nevím, co má toto zabezpečit, ale správce zde nevidí metody u svého vlastního účtu.
Vpravo, na každém řádku metody, se nachází menu (tři tečky), kde můžeme zvolit View Details. Zde nalezneme řadu užitečných informací (záleží na dané metodě). Většinou je zde datum vytvoření a různé informace o zařízení.
Patrně záleží, jak stará je daná registrace. Některé staré a nepoužívané neobsahují moc dat. Zajímavé je to v případě Windows Hello for Business, kde u starých registrací není v detailu vidět název počítače a zobrazuje se pouze datum vytvoření. Další věc, která mne překvapila, že Passkey in Microsoft Authenticator neobsahuje informaci o zařízení.
V horním menu se nachází volba View authentication methods policy. Kde se dozvíme informace o vyhodnocených autentizačních metodách.
Zobrazení informací pomocí PowerShellu
Můžeme využít Microsoft Graph PowerShell Beta cmdlet Get-MgBetaUserAuthenticationMethod, který zobrazí všechny registrované autentizační metody uživatele. Je důležité upozornit, že se využívá Beta Graph API.
Základní výpis autentizačních metod uživatele
Nejprve potřebujeme nainstalovat Microsoft Graph Beta modul, importovat jej a připojit se s dostatečným oprávněním.
Install-Module Microsoft.Graph.Beta.Identity.SignIns Import-Module Microsoft.Graph.Beta.Identity.SignIns Connect-MgGraph -NoWelcome -Scopes UserAuthenticationMethod.Read.All
Základní použití neposkytne příliš přehledné informace.
PS C:\> Get-MgBetaUserAuthenticationMethod -UserId bouska@oksystem.cz Id CreatedDateTime LastUsedDateTime -- --------------- ---------------- 28c10230-6103-485e-b985-xxxxxxxxxxxx 03.02.2024 14:34:21 3ddfcfc8-9383-446f-83cc-xxxxxxxxxxxx f3f00df0-334d-4b49-8d04-xxxxxxxxxxxx 26.05.2023 16:10:55 30.03.2026 13:11:33
Pozn.: Na konci minulého roku byla doplněna vlastnost lastUsedDateTime, která obsahuje datum, kdy byla daná metoda naposledy použita. Ne každá autentizační metoda tento údaj podporuje.
Pro zajímavost, existují také specifické cmdlety pro jednotlivé autentizační metody. Jde třeba o
Get-MgBetaUserAuthenticationMicrosoftAuthenticatorMethod -UserId bouska@oksystem.cz Get-MgBetaUserAuthenticationWindowsHelloForBusinessMethod -UserId bouska@oksystem.cz Get-MgBetaUserAuthenticationFido2Method -UserId bouska@oksystem.cz
Podrobný výpis autentizačních metod uživatele
Výstup cmdletu Get-MgBetaUserAuthenticationMethod obsahuje řadu informací, ale většina je skryta v blobu AdditionalProperties. Ten obsahuje různé objekty podle typu autentizace. Výstup musíme rozumně formátovat, abychom se dozvěděli potřebné informace. Různé metody obsahují různé atributy, takže některé budou ve výstupu prázdné.
Příklad možného výpisu autentizačních metod uživatele
$methods = Get-MgBetaUserAuthenticationMethod -UserId bouska@oksystem.cz
$methods | ForEach-Object {
[PSCustomObject]@{
Type = $_.AdditionalProperties.'@odata.type'.substring(17)
Name = $_.AdditionalProperties.displayName
Model = $_.AdditionalProperties.model
Phone = $_.AdditionalProperties.phoneNumber
Device = $_.AdditionalProperties.deviceTag
Created = $_.CreatedDateTime
LastUsed = $_.LastUsedDateTime
}
} | Format-Table -AutoSize
Ukázka části výstupu
Type Name Created LastUsed ---- ---- ------- -------- passwordAuthenticationMethod 03.02.2025 14:34:21 emailAuthenticationMethod phoneAuthenticationMethod fido2AuthenticationMethod Google Password Manager 27.03.2026 9:12:05 fido2AuthenticationMethod Authenticator: Default Profile 26.03.2026 17:01:19 fido2AuthenticationMethod Windows Hello ProBook 24.03.2026 14:25:33 fido2AuthenticationMethod YubiKey Bio 24.09.2024 5:48:35 windowsHelloForBusinessAuthenticationMethod NBOUSKAP 24.10.2024 17:18:11 passwordlessMicrosoftAuthenticatorAuthenticationMethod Xiaomi2211133G 26.05.2023 16:10:55 windowsHelloForBusinessAuthenticationMethod SamurajPC 23.03.2024 17:43:44 windowsHelloForBusinessAuthenticationMethod 01.04.2024 15:53:02 microsoftAuthenticatorAuthenticationMethod Xiaomi2211133G 26.05.2023 16:10:55 30.03.2026 13:11:33
Mohli bychom do přehlednější formy přepsat typ autentizační metody. Jejich seznam nalezneme v authenticationMethod resource type.
Pro zajímavost můžeme zkusit User Password and Authentication Report, skript Report-UserPasswordChanges.PS1.
Zatím zde nejsou žádné komentáře.