www.SAMURAJ-cz.com 

27.05.2024 Valdemar Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

FIDO passkeys část 3 - použití přístupových klíčů v Microsoft Entra ID

Upraveno 25.04.2024 09:10 | vytvořeno 18.04.2024 13:35 | Samuraj - Petr Bouška |
Microsoft v současné chvíli přidává (možná lépe řečeno rozšiřuje) podporu pro přístupové klíče na svých účtech, jak pro osobní Microsoft účty, tak pracovní nebo školní účty v Entra ID. Podíváme se na možnosti pro osobní účty, kde je použití volnější. Více se budeme věnovat firemním účtům, které vyžadují přístupové klíče vázané na zařízení. Navíc na mobilních zařízeních Android (od verze 14) a iOS (od verze 17) se zatím mohou nacházet pouze v aplikaci Microsoft Authenticator.
zobrazeno: 855krát | Komentáře [0]

Pozn.:prvním díle série jsme si detailně popsali přístupové klíče v teoretické rovině. Minulý díl se věnoval praktickému použití na platformě Windows a Android. Z pohledu podpory operačního systému a prohlížečů pro vytvoření, uložení a použití passkeys. Přístupové klíče jsme vytvářeli pro Google účet. V tomto díle se podíváme na možnosti pro Microsoft účty, více se zaměříme na Entra ID. Testy na Windows budou v operačním systému s největší podporou, což je Windows 11 23H2.

Pozn.: Článek nyní popisuje aktuální stav v mém prostředí. Pár dní před zveřejněním Microsoft kompletně aktualizoval dokumentaci Microsoft Entra autentizace, která již docela dost popisuje novou práci s passkeys. Ale na více místech se popisují stejné věci a to různě (i protichůdně). Několik dní po zveřejnění článku se mi povedlo passkey vystavit, takže jsem článek doplnil. Dost možná dojde ještě k nějakým změnám názvů.

Hlavní kapitoly

Od Windows Hello a FIDO2 security key k passkey

Staré chování a podpora

Microsoft již nějakou dobu podporuje pro přihlášení k účtům použití Windows Hello, tedy přístupové klíče uložené na Windows zařízení. Nebo Security Key, tedy přístupové klíče uložené na FIDO2 bezpečnostním klíči. Tyto metody se společně označovaly jako Sign in with Windows Hello or a security key. Během přihlášení se zobrazovalo Signing in with Windows Hello or security key.

Přihlášení do webové aplikace pomocí FIDO2 možnost 2

Změny a podpora passkeys

lednu 2024 byly přihlašovací dialogy změněny a zobrazuje volba Face, Fingerprint, PIN or security key (Use your device to sign in with passkey). Při přihlášení se zobrazuje text Signing in with a passkey. Celkově se v mnoha dialozích používá termín passkey. Jak na webu, tak v poslední verzi Windows 11.

Přihlášení pomocí passkey k Microsoft účtu bez zadání jména

Změna nastává nejen v názvech. Nyní dochází k rozšíření zařízení, která můžeme použít k přihlášení, tedy kde uložit přístupové klíče. K existujícím Windows Hello (lokání počítač) a security key (externí HW) se přidávají mobilní zařízení (externí zařízení). Speciální podpora se přidává do Microsoft Authenticator app.

Myslím, že související je přidaná podpora pro FIDO Cross-Device Authentication ve Windows 11 23H2. Operační systém tak podporuje použití iPhone, iPad or Android device, včetně zapamatování zařízení (uložení informací v systému). V dialogu pro externí zařízení (another device) byl dříve pouze bezpečnostní klíč, nyní můžeme využít i mobilní zařízení (pokud máme funkční Bluetooth). Záleží na službě, jaké passkeys (kde uložené) dovoluje vytvořit. Omezení je v současnosti v Entra ID.

Nové možnosti přihlášení

Pro Microsoft Account můžeme nově vytvořit přístupový klíč uložený na mobilním zařízení. Jsou podporovány všechny běžné možnosti (jak jsme testovali v minulém díle), takže passkey může být synchronizovaný a uložený třeba v Google Password Manager.

Pro Entra ID je přidána podpora passkeys na mobilních zařízeních v aplikaci Microsoft Authenticator. Díky tomu se k existující možnosti přihlášení bez hesla (Passwordless Authentication) v aplikaci Microsoft Authenticator, pomocí Phone sign-in, přidává druhá možnost, která je navíc odolná proti phishingu.

Pokud se chceme přihlásit na počítači (obecně jiném zařízení, než kde je Microsoft Authenticator / passskey), tak platí podmínka, kterou jsme si popsali v minulých dílech. Pro FIDO Cross-Device Authentication je potřeba povolené (funkční) Bluetooth na obou zařízeních. Další komplikace je, že musíme Authenticator nastavit jako dalšího poskytovatele pro passkeys. To je podporováno až v nejnovější verzi Android 14 a iOS 17. A na Xiaomi telefonech tato možnost patrně chybí.

Na internetu panuje nadšení, že konečně běžní uživatelé nahradí hesla a že přístupové klíče v Microsoft Authenticator jsou super. Já tak úplně optimistický nejsem. Přijde mi to pro běžné uživatele moc složité. Z mojí praxe hodně uživatelů využívalo ověřovací kód v SMS a marně jsem se je snažil přesvědčit, že Phone Sign-in je nejen bezpečnější, ale také mnohem pohodlnější.

Další problém vidím v tom, že pracovní stanice většinou Bluetooth nemají. Často jsem také slýchal bezpečnostní doporučení, aby bylo Bluetooth na notebooku vypnuté (ač na mobilních telefonech jej využíváme stále). Využití passkey v Microsoft Authenticator je vhodné pro přihlášení na cizím počítači (na mém vlastním je lepší vytvořit lokální passkey). Tam je otázka, jaké budou možnosti použít Bluetooth.

Osobní účet Microsoft - Personal Microsoft Account

Stručně se podíváme na možnosti pro osobní účet Microsoft Account. Průběh přihlášení (a dostupné metody) je dost podobný jako v případě firemního účtu (Entra ID). Informace o plánovaných změnách a časovém harmonogramu se těžko hledají.

Oficiální návod Signing in with a passkey již popisuje nové možnosti, které jsem zprvu neměl dostupné. Ale během mého testování (týden před zveřejněním článku) se začaly občas objevovat nové volby. A nyní je mám k dispozici stále.

Přidání a správa metod přihlášení nebo ověření se provádí pod Microsoft účtem - Security - Advanced Security Options.

Staré možnosti (původní dialog)

V Advanced Security Options vidíme nastavené přihlašovací metody a můžeme přidat nové volbou Add a new way to sign in or verify. Zde se nachází (nacházely) volby Use your Window PC (Windows Hello) a Use a security key.

Microsoft Account starý dialog přidání přihlašovací metody

Zajímavé ovšem je, pokud zvolíme Use a security key. Je jedno, zda následně použijeme USB nebo NFC zařízení. Zobrazí se dialog Windows Security pro použití externího autentizátoru, kde je i možnost mobilních zařízení. Patrně to souvisí se změnou dialogu ve Windows 11 23H2.

Microsoft Account možnosti při volbě Security key

Nové možnosti s passkeys

Během testování se mi pod odkazem Add a new way to sign in or verify zobrazil také nový dialog s volbou Face, fingerprint, PIN, or security key. Pokud ji použijeme, tak se zobrazí okno Windows Security, který nabízí interní i externí autentizátory.

Microsoft Account nový dialog přidání přihlášovací metody

Změnily se také názvy v seznamu nastavených přihlašovacích metod. Místo původních Use your Windows PC a Use a security key se zobrazuje pouze Use a passkey. Je tedy důležité mít popisky pro identifikaci.

Microsoft Account - Advanced Security Options

Přidání přihlášení pomocí přístupového klíče

Jednoduše funguje vystavení a použití přístupových klíčů pro This Windows Device (Windows Hello) nebo Security key. Průběh je stejný, jak bylo pospáno v minulé díle.

Pokud nám funguje vystavení passkey z Windows na Android telefon (viz. popsané problémy v minulém díle), tak se povede i pro Microsoft účet. Nebo můžeme vystavit přímo přes prohlížeč v Android zařízení.

Průběh je opět stejný, jak bylo popsáno v minulém díle. Ale jinak se zachovalo zadání zámku obrazovky, možná šlo o nějakou shodu okolností. Zobrazil se dialog (ne na použití otisku prstu) na zadání hesla (zámku obrazovky) z jiného telefonu. Pak se passkey vytvořil a uložil se do Google Password Manager. V něm je opravdu vidět a synchronizuje se na další zařízení. Funguje jeho použití lokálně, na jiném Android telefonu, kam se synchronizoval, i vzdáleně ve Windows.

Microsoft Account vytvoření passkey na Android zařízení

Informace o novém passkey

Když vytvoříme nový passkey, tak dostaneme informační email. Pokud máme v aplikaci Microsoft Authenticator připojený účet, tak se také zde zobrazí informace.

Microsoft Authenticator informace o novém passkey

Microsoft Entra ID a pracovní nebo školní účet

Informace o plánované podpoře passkeys Microsoft zveřejnil v MC718260 a MC690185 (ne příliš obsáhle). Když jsem dokončoval článek, tak jsem náhodou zjistil, že během předchozího týdne byla zveřejněna kompletní oficiální dokumentace Passkey (FIDO2) authentication. Také se v tu dobu objevila řada článků od lidí z Microsoftu, MVP a dalších odborníků.

Cílem celé série bylo dostat se k použití přístupových klíčů pro účty v Entra ID, tedy pracovní nebo školní účet (Work or school account). V době publikace článku probíhá nasazování podpory passkeys do Entra ID tenantů. Podle informací mělo začít v polovině března a má být dokončeno v polovině května. Zatím jde o public preview, takže může dojít ještě k výrazným změnám.

Důležité je, že v rámci Entra ID mají být (zatím) podporovány pouze přístupové klíče vázané na zařízení (Device-bound passkeys). Uložené mohou být na počítačích, bezpečnostních klíčích nebo mobilních zařízeních. Na mobilních zařízeních (Android a iOS) je zatím podpora passkeys pouze v aplikaci Microsoft Authenticator app. A je vyžadována poslední verze OS (Android 14 nebo iOS 17).

V nové dokumentaci Microsoft uvádí, že aktuálně podporuje device-bound passkeys uložené na FIDO2 security keys a v aplikaci Microsoft Authenticator. Nemluví zde o Windows Hello for Business, takže tam se možná situace nezmění, registraci bude potřeba provádět z nastavení počítače a neuvidíme je v My Security Info.

Pozn.: Jsem docela zmatený z nové dokumentace, kde se nachází popis stejných oblastí pod Passkey (FIDO2) authentication a pod Microsoft Authenticator, ale některé informace se liší.

Povolení autentizace pomocí passkey (FIDO2) v Entra ID

Microsoft uvádí, že potřebujeme mít Microsoft Entra MultiFactor Authentication (MFA) a v případě Windows minimálně Windows 10 1903, pokud jsou Microsoft Entra Joined, nebo Windows 10 2004 pro Microsoft Entra Hybrid Joined. Detailní informace o podpoře jsou v Support for FIDO2 authentication with Microsoft Entra ID.

Nastavení passkeys v administraci Entra ID je spojeno s nastavením FIDO2 security key (zatím odpovídá článku Přihlašování pomocí FIDO2 bezpečnostního klíče a pokud máme povolené security keys, tak máme také passkeys, až na to, že musíme explicitně zadat AAGUID pro Authenticator).

Microsoft v MC690185 uváděl, že má dojít k přejmenování FIDO2 security key na Passkeys (FIDO2), ale to se patrně zatím nestalo. Přitom v oficiální dokumentaci se střídají obrázky obou variant.

Povolení FIDO2 security key

  • Microsoft Entra admin center - Protection - Authentication methods - Policies
  • vybereme metodu FIDO2 security key
  • povolíme (Enable) a vybereme buď všechny uživatele (All users) nebo pouze vybrané pomocí Security Groups (Select groups)
  • uložíme změny (Save)
Entra ID - Authentication methods - FIDO2 security key

Další nastavení a omezení klíčů

Ve zprávě MC690185 se nachází další informace, která mi přišla zvláštní. Zprvu jsem myslel, že není potřeba, ale více testů ukázalo, že bez tohoto nastavení passkey nevystavíme (alespoň ne přímo v aplikaci Authenticator). V dokumentaci Enable Authenticator passkey in the admin center je takový bod také uveden.

Jde o to, abychom se mohli účastnit Passkeys (FIDO2) preview, tak musíme v nastavení FIDO2 politiky zapnout Enforce key restrictions a vyjmenovat povolené AAGUID včetně toho pro Microsoft Authenticator. Změna tohoto nastavení se projeví až po delší době (odhadem hodina). Pokud není nastaveno, tak se při registraci v aplikaci Authenticator nevytvoří passkey. V My Security Info se vytvoření Passkey in Microsoft Authenticator (preview) přesto nabízí.

Další věc je, že Microsoft Authenticator zatím nepodporuje atestaci (kryptografické ověření výrobce a modelu pomocí FIDO Alliance Metadata Service a MS testování). Takže aby bylo možno jej registrovat, tak musí být vypnuto Enforce attestation. Pokud vypneme Enforce attestation, tak je pro zabezpečení vhodné použít Enforce key restrictions a vyjmenovat pouze povolené AAGUID.

Konfigurace FIDO2 politiky

  • Microsoft Entra admin center - Protection - Authentication methods - Policies
  • vybereme metodu FIDO2 security key
  • přepneme se na Configure
  • Allow self-service set up nastavíme Yes, aby uživatelé mohli registrovat passkey
  • Enforce attestation nastavíme No (i když je doporučeno používat Yes)
  • Enforce key restrictions nastavíme Yes spolu s Restrict specific keys Allow a vyjmenujeme AAGUID

Pozn.: Authenticator Attestation Global Unique Identifier (AAGUID) je unikátní identifikátor typu autentizátoru. Určitý produkt (výrobce a model) se stejnými vlastnostmi sdílí společné AAGUID. Může se měnit s verzí firmware.

Entra ID - Authentication methods - FIDO2 security key - Configure

Zjištění používaných FIDO2 security keys AAGUID

Pokud chceme omezit pouze určité bezpečnostní klíče, tak je dobré zjistit, jaké ve firmě používáme, abychom je nezablokovali. Určité informace jsou v MS dokumentaci, další jsem nalezl v článku How to enable Microsoft Authenticator passkeys in Entra ID.

Abychom povolili použití Microsoft Authenticator, tak potřebujeme zadat jeho AAGUID. Mělo by se zde objevit zatržítko Microsoft Authenticator (preview), což situaci zjednoduší, ale já jej zatím nemám.

  • de1e552d-db1d-4423-a619-566b625cdc84 Microsoft Authenticator for Android
  • 90a3ccdf-635c-4729-a248-9b709135078f Microsoft Authenticator for iOS

Zjistit AAGUID pro určitá zařízení můžeme u výrobce, třeba pro YubiKey. Pokud je zařízení registrované u nějakého uživatele, tak vidíme AAGUID v detailu ověřovací metody pod uživatelem (Microsoft Entra Admin Center - Users - All users - vybereme uživatele - Authentication methods). Uživatel jej také vidí u svých klíčů v My Security Info.

Ale nejjednodušší je použít PowerShell a Microsoft Graph modul, kde si můžeme vypsat všechny typy (AAGUID) registrovaných FIDO2 klíčů.

Install-Module Microsoft.Graph
Connect-MgGraph -Scope AuditLog.Read.All,UserAuthenticationMethod.Read.All
((Get-MgReportAuthenticationMethodUserRegistrationDetail -Filter "methodsRegistered/any(i:i eq 'passKeyDeviceBound')" -All).Id |
 ForEach-Object { Get-MgUserAuthenticationFido2Method -UserId $_ -All }).AaGuid | Select-Object -Unique

d8522d9f-575b-4866-88a9-ba99fa02f35b
a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa
2fc0579f-8113-47ea-b116-bb5a8db9202a
d94a29d9-52dd-4247-9c2d-8b818b610389
b6ede29c-3772-412c-8a78-539c1f4c62d2

Případně můžeme využít modul od Fabiana Badera GitHub - EntraIDPasskeyHelper, PowerShell Gallery - EntraIDPasskeyHelper. Další zajímavý skript je Export FIDO2 registration info - Entra ID.

Přehled registrovaných metod u uživatelů

Souhrnně se můžeme podívat na registrované ověřovací metody uživatelů, kde můžeme filtrovat různé typy přístupových klíčů.

  • Microsoft Entra admin center - Protection - Authentication methods - User registration details

Již nějakou dobu (před nasazením podpory passkey do tenantu) zde byly vidět připravované změny. Ve filtru Methods Registered se nachází, jak stávající položky, třeba

  • FIDO2 security key
  • Windows Hello for Business

tak nové

  • Passkey (Microsoft Authenticator)
  • Passkey (other device-bound)
  • Passkey (Windows Hello)
  • Platform Credential for MacOS
Entra ID - Authentication methods - User registration details filter

U uživatelů se změnilo FIDO2 security key na Passkey (other device-bound). Zůstalo Windows Hello for Business, i když je zde položka Passkey (Windows Hello).

Pro jednotlivé uživatele se můžeme podívat na registrované ověřovací metody v detailu jejich účtu.

  • Microsoft Entra Admin Center - Users - All users - vybereme uživatele - Authentication methods
Entra ID - User Authentication methods

Pozn.: Docela zmateně vypadá, že se na každém místě používá jiné jméno. U uživatele je passkey v aplikaci Authenticator označen jako FIDO2 security key. V User registration details je to Passkey (Microsoft Authenticator). A v My Security Info je označení Microsoft Authenticator.

Uživatelská nastavení přístupových klíčů v Entra ID

Registrace passkeys

Uživatelé si spravují autentizační metody v rámci svého účtu My Account pod Security Info. Zde je možnost přidat (registrovat) novou metodu. Dříve zde byla možnost přidat Security key (a další staré metody). Po nasazení passkeys do Tenantu se objevilo Passkey in Microsoft Authenticator (preview) (to se mi stálo před pár dny). Ke konci roku má být zrušena volba Security key.

Pozn.: V původním oznámení se uváděla položka Passkey (preview). V části oficiální dokumentace mluví o Passkey in Microsoft Authenticator (preview), někde o Passkey (preview) a jinde mají oboje.

Microsoft My Security Info - Add a method (passkey)

Není možnost z tohoto místa vytvořit přístupový klíč na Windows zařízení, tedy ve Windows Hello for Business. To se provádí z nastavení Windows a registrovaná zařízení nejsou v tomto seznamu vidět. Zobrazit je může správce Entra ID mezi ověřovacími metodami uživatele (nevidí svoje vlastní).

Pozn.: Malá poznámka bokem. I na soukromém počítači, který je registrovaný v Entra ID, se mi při aktivaci Windows Hello vytvořil passkey pro můj Entra ID účet.

Stejně jako u osobního Microsoft účtu se při registraci Security key otevře dialog Windows Security, který umožní uložit passkey také na mobilní zařízení. Volba se nabízela i před nasazením podpory passkey do tenantu. Celý proces projde, patrně se i passkey na telefonu vytvoří, až uložení v Entra ID selže.

Microsoft My Security Info - registrace passkey s chybou

Přístupový klíč v My Security Info je označen ikonou passkey a textem Microsoft Authenticator. Pokud jsme jej vystavili zde, tak jsme zadali pojmenování. Pokud jsme registraci provedli v aplikace Microsoft Authenticator na Android, tak má jméno MS Authenticator - Android.

Microsoft My Security Info a passkey

Podmínky pro Microsoft Authenticator

Abychom mohli použít passkeys v aplikaci Microsoft Authenticator, tak potřebujeme minimálně verzi 6.2404.2229 na Android nebo 6.8.7 na iOS. Microsoft také uvádí, že je potřeba minimálně Android 14 nebo iOS 17, protože tyto operační systémy obsahují API, aby mohl Authenticator fungovat jako passkey provider.

Abychom mohli Microsoft Authenticator použít jako passkey provider, tak jej musíme nastavit v OS.

Nastavení má být pro Android:

  • otevřeme nastavení (Settings app)
  • Passwords & Accounts
  • v části Additional providers povolíme Authenticator
Android - Settings - Passwords & Accounts

Pozn.: Na mém Xiaomi 13 (možná obecně na Xiaomi telefonech) se nastavení Passwords & Accounts vůbec nenachází a nenalezl jsem zatím alternativu, jak toto nastavení provést. Takže nejde aplikaci Microsoft Authenticator použít pro přihlášení pomocí passkey. Vyzkoušel jsem Android Emulator a Samsung Galaxy S23.

Nastavení pro iOS:

  • otevřeme nastavení (Settings app)
  • otevřeme Passwords a zvolíme Password Options
  • musí být zapnuté Autofill Passwords and and Passkeys
  • v části Use Passwords and Passkeys From povolíme Authenticator
iPhone - Settings - Password Options

Přímá registrace passkey v aplikaci Microsoft Authenticator

Nejjednodušší metoda je vytvoření přístupového klíče přímo na Android nebo iOS zařízení v aplikaci Microsoft Authenticator.

  • klikneme na tlačítko + pro přidání účtu (nevadí, že jej již v aplikaci máme)
  • zvolíme Work or school account a Sign in
  • přihlásíme se pomocí MFA
  • registraci zařízení můžeme přeskočit (ta je nutná pro Phone sign-in)
  • zobrazí se informace, že musíme upravit nastavení, aby mohl Authenticator spravovat přístupové klíče (je zde i odkaz do nastavení, který na mém telefonu nefunguje)
  • nastaví se všechny povolené ověřovací metody (když jsem článek zveřejnil, tak se mi passkey ještě nevytvářel, to se změnilo patrně 22.4.)
  • v detailu účtu vidíme, že je přístupový klíč vytvořen a můžeme si zobrazit jeho detail
Microsoft Authenticator - Add account pro regisraci passkey 1
Microsoft Authenticator - Add account pro regisraci passkey 2

Pokud zkusíme passkey vytvořit na starší verzi Android, tak dostaneme informaci, že to není možné. Je to škoda, protože omezení je patrně z důvodu, že až Android 14 podporuje nastavení Additional passkey providers. Vypadá to, že pro přihlášení můžeme toto nastavení obejít. V detailu přístupového klíče v aplikaci Authenticator je v pravém dolním rohu ikona, která provede naskenování QR kódu. Otázka je, zda se pak automaticky použije passkey v MS Authenticator nebo systémový poskytovatel.

Microsoft Authenticator - Add account pro registraci passkey 3

Registrace passkey z Windows do aplikace Microsoft Authenticator

Registraci přístupového klíče do aplikace Microsoft Authenticator můžeme provést z prohlížeče na počítači (díky FIDO Cross-Device Authentication). A podobně využívat pro přihlášení.

  • otevřeme stránku My Security info
  • klikneme na Add sign-in method
  • zvolíme Passkey in Microsoft Authenticator (preview) a Add
  • přihlásíme se pomocí MFA

První část probíhá v prohlížeči. Dostaneme informace o podmínkách, volíme Android nebo iOS/iPadOS. Jsme instruování, že musíme nastavit Microsoft Authenticator jako dalšího poskytovatele (Additional providers) a po naskenování QR kódu vybrat Save another way.

Microsoft My Security Info - Add Passkey in Microsoft Authenticator

Po potvrzení se otevře klasický dialog Windows Security, který nabízí externí autentizátory. Takže například na počítači bez Bluetooth nám nabídne pouze Security key, i když se snažíme registrovat Microsoft Authenticator na telefonu. Průběh ve Windows je podobný, jak jsme si popsali minule ve Vytvoření externího passkey na Android zařízení.

Windows vytvoření passkey na iPhone nebo Android

Liší se volba při vytvoření passkey na telefonu, kde je potřeba zvolit / přepnout se na Microsoft Authenticator, který musíme mít povolený jako dalšího poskytovatele.

Na iOS zařízení (iPhone) naskenujeme QR kód a v systémovém dialogu rovnou zvolíme Authenticator.

Windows vytvoření passkey v aplikaci Microsoft Authenticator

Na Android zařízení podobně naskenujeme QR kód. Systémový dialog může vypadat různě podle výrobce. Musíme se přepnout z defaultního Google Password Manager pomocí volby Save another way a vybrat Microsoft Authenticator.

Windows vytvoření passkey v aplikaci Microsoft Authenticator Android

Místo skenování QR kódu v systémové aplikaci Camera by se nabízelo použít přímo skenování v aplikaci Microsoft Authenticator (přidat účet, Scan a QR code). To ale v tuto chvíli není možné (i když jsem viděl screenshoty, kde to bylo funkční). Vypadá to, že MS uvádí, že by fungovat mělo Can I use Authenticator app camera to scan the WebAuthn QR code for registration and authentication. Po několika dnech již tato možnost fungovala, ale passkey se vystavil do telefonu (ne do aplikace Microsoft Authenticator, která nebyla nastavena jako passkey provider), čili nefunkční.

Microsoft Authenticator - QR code not supported

Registrace passkey na mobilním zařízení

Další možnost registrace přístupového klíče je pomocí prohlížeče přímo na mobilním zařízení (samozřejmě se musí uložit do Microsoft Authenticator). V dokumentaci Microsoft uvádí, že toto je zatím možné pro iOS, ale pro Android to není podporováno. Přitom to v Google Chrome vypadá funkčně. Otevře se systémový dialog, který vypadá stejně jako po naskenování QR kódu. Můžeme vybrat vytvoření passkey v Microsoft Authenticator. Zkoušel jsem to pouze v Android emulátoru, kde se vytvoření nepovedlo.

Možnost přihlášení do Windows pomocí přístupového klíče

FIDO autentizace, a tedy přístupové klíče, je založena na W3C standardu WebAuthn. Ten je určen pro přihlašování k webovým aplikací a službám. Primárně pomocí prohlížeče, případně aplikace. Z toho plyne, že není určeno k přihlášení do operačního systému.

Microsoft již nějakou dobu podporuje použití Windows Hello for Business nebo FIDO2 security key pro přihlášení do Windows. Primárně může fungovat ve firemním prostředí, kdy je počítač zařazen (hybridně) do Entra ID. Přihlásit se tak můžeme zároveň do operačního systému, Entra ID a případně také lokálního AD.

Již dříve se často rozebírala možnost přihlásit se do Windows pomocí aplikace Microsoft Authenticator a například Phone sign-in. To patrně není možné (ač podle některých informací je dostupné s osobním Microsoft účtem a Windows 10/11), stejně jako není možné použít passkey v Microsoft Authenticator.

Související články:

Azure AD / Entra ID identity a autentizace

Články související s identitou uživatelů a zařízení (nejen) v Microsoft Entra ID. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizaci, přihlašování bez hesla, apod.

FIDO autentizace - FIDO Authentication

FIDO autentizace je založena na standardu FIDO2 (WebAuthn a CTAP2). Přináší bezpečnější možnost přihlášení k online službám. Patří mezi Passwordless MFA (vícefaktorové ověření bez hesla). Zároveň zvyšuje pohodlí uživatelů (podporuje použití biometrie). Jde například o Windows Hello for Business, FIDO2 security key a obecně passkeys (přístupové klíče).

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách