Pana acum, cheile de acces din Entra ID erau configurate folosind metoda de autentificare Passkey (FIDO2). Aceasta funcționa, dar era destul de limitată. Majoritatea setărilor sunt aplicate la nivel de tenant, cu doar o țintire de bază a grupurilor.

Cu profilurile de chei de acces (passkeys), Microsoft introduce un model mai flexibil. În loc de o singură configurație, puteți crea mai multe profiluri de chei de acces și le puteți atribui diferiților utilizatori sau grupuri. Fiecare profil are propriile reguli, restricții și capacități.

Noua experiență introduce, de asemenea, o proprietate passkeyType, care vă permite să controlați dacă utilizatorii pot înregistra chei de acces legate de dispozitiv, chei de acces sincronizate sau ambele.

Chei de acces sincronizate vs chei de acces legate de dispozitiv

Aici lucrurile devin interesante. În mod tradițional, cheile de acces din Microsoft Entra erau legate de dispozitiv, ceea ce înseamnă că cheia privată nu părăsea niciodată dispozitivul pe care a fost creată. Deși acest lucru este foarte sigur, poate fi incomod pentru utilizatori. Când pierd accesul la dispozitivul lor, este adesea necesară recuperarea contului.

Cheile de acces sincronizate funcționează diferit. Cheia privată este stocată în cloud-ul unui furnizor de chei de acces (cum ar fi Apple iCloud Keychain sau Google Password Manager) și sincronizată pe toate dispozitivele utilizatorului. Acest lucru înseamnă că utilizatorii se pot conecta de pe oricare dintre dispozitivele lor fără a fi nevoie să înregistreze o nouă cheie de acces de fiecare dată.

Iată cum funcționează setarea passkeyType în funcție de configurația dvs. de atestare:

Setare atestare                               Tipuri de chei permise
Aplicare atestare activată                 Numai legată de dispozitiv
Aplicare atestare dezactivată           Legată de dispozitiv și sincronizată(configurabilă)

Este important să înțelegeți că, dacă în prezent aveți dezactivată aplicarea atestării(Attestation Setting), activarea automată va permite în mod implicit atât cheile de acces legate de dispozitiv, cât și cele sincronizate. Dacă nu doriți acest lucru, va trebui să vă înscrieți din timp și să configurați singur această opțiune.

Ce se schimbă în timpul activării automate

Dacă nu faceți nimic, Microsoft va migra configurația existentă pentru dvs. Aceasta înseamnă că setările actuale ale metodei de autentificare Passkey (FIDO2) vor fi mutate într-un profil Passkey implicit. Orice restricții existente privind utilizatorii și cheile vor rămâne intacte.

Valoarea passkeyType din acel profil implicit va fi setată automat pe baza setărilor dvs. de atestare.

Dacă atestarea obligatorie este activată, vor fi permise numai cheile de acces legate de dispozitiv. Dacă atestarea obligatorie este dezactivată, vor fi permise atât cheile de acces legate de dispozitiv, cât și cele sincronizate.

Din punct de vedere al securității, acest lucru are sens. Dar este posibil să nu corespundă cu modul în care ați planificat să implementați cheile de acces sincronizate sau cheile de acces în general.

Modificarea campaniei de înregistrare

Aceasta este partea care ar putea lua prin surprindere unele organizații. Dacă aveți cheile de acces sincronizate activate și campania de înregistrare este setată să fie gestionată de Microsoft, mai multe lucruri se modifică automat:

Prin urmare, dacă în prezent derulați o campanie de înregistrare gestionată de Microsoft care încurajează utilizatorii să utilizeze Microsoft Authenticator, această campanie va începe brusc să îi încurajeze să utilizeze cheile de acces. Și va viza un grup mai larg de utilizatori.

Dacă doriți să activați cheile de acces sincronizate, dar nu doriți ca campania de înregistrare să vizeze cheile de acces, aveți două opțiuni:

• Setați starea campaniei de înregistrare la Dezactivată.
• Comutați starea campaniei de înregistrare la Activată și continuați să vizați Microsoft Authenticator.

Ce puteti să faceți

Dacă sunteți mulțumit de setările implicite ale Microsoft, nu trebuie să faceți nimic. Migrarea este concepută pentru a fi sigură și fără întreruperi.

Dar dacă doriți să aveți controlul, acum este momentul să acționați. Optați pentru profilurile cu parolă înainte de perioada de activare automată.

1. Deschideți Centrul de administrare Microsoft Entra.
2. Extindeți Entra Id și deschideți Authentication Methods(Metode de autentificare).
3. Click pe Passkeys (FIDO2).
4. În bannerul albastru, click pe Begin opting-in to public preview(Începeți să vă înscrieți pentru previzualizarea publică).