Microsoft Entra ID- Nachweis für Anbieter von FIDO2-Sicherheitsschlüsseln
FIDO2-Sicherheitsschlüssel ermöglichen eine phishing-sichere Authentifizierung. Sie können schwache Anmeldedaten durch starke, hardwaregestützte Public/Private-Key-Anmeldedaten ersetzen, die nicht wiederverwendet, wiedergegeben oder für andere Dienste freigegeben werden können. Sicherheitsschlüssel unterstützen Szenarien mit gemeinsam genutzten Geräten, so dass Sie Ihre Anmeldeinformationen bei sich tragen und sich auf jedem unterstützten Gerät sicher authentifizieren können.
In der Richtlinie für Microsoft Entra ID-Authentifizierungsmethoden können Administratoren den Nachweis für FIDO2-Sicherheitsschlüssel erzwingen. Wenn Nachweis erzwingen auf Ja festgelegt wird, verlangt Microsoft zusätzliche Metadaten von FIDO2-Sicherheitsschlüsseln, die beim Mandanten registriert sind. Als Anbieter kann Ihr FIDO2-Sicherheitsschlüssel verwendet werden, wenn der Nachweis erzwungen wird, und die folgenden Anforderungen erfüllt sind.
Hinweis
Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.
Nachweisanforderungen:
Microsoft stützt sich auf den FIDO Alliance Metadata Service (MDS), um die Kompatibilität der Sicherheitsschlüssel mit Windows, dem Microsoft Edge-Browser und den Online-Konten von Microsoft zu bestimmen. Anbietende melden Daten an das FIDO MDS.
Bei der FIDO2-Registrierung verlangt Microsoft Entra ID, dass die Sicherheitsschlüssel eine Bescheinigung bereitstellen. Für Anbietende ist das erwartete Nachweisformat gepackt, wie durch den FIDO-Standard definiert.
Die spezifischen Anforderungen variieren je nachdem, wie ein Administrator die FIDO2-Authentifizierungsmethoden-Richtlinie konfiguriert.
| Erzwingen des Nachweises auf "Ja" | Erzwingen des Nachweises auf Nein |
|---|---|
| Es muss eine gültige gepackte Nachweiserklärung und ein vollständiges Zertifikat bereitstellen, das auf den aus dem FIDO Alliance MDS extrahierten Nachweisstamm zurückgreift, damit Microsoft die Metadaten des Schlüssels validieren kann. | Es muss eine gültige gepackte Nachweiserklärung (Microsoft ignoriert jedoch die Nachweisüberprüfungsergebnisse) und ein vollständiges Zertifikat (das nicht mit einer bestimmten Zertifikatkette verbunden sein muss) enthalten. |
Hinweis
Die Anbieter sind dafür verantwortlich, alle Stammzertifikate auf dem FIDO Alliance MDS zu veröffentlichen; andernfalls kann die Verifizierung der Zertifikate fehlschlagen.
Wenn die Bescheinigung erzwungen wird, gelten zusätzlich die folgenden Anforderungen:
- Ihr Authentifikator muss eine FIDO2-Zertifizierung haben. Dies kann auf jeder Ebene geschehen. Weitere Informationen zur Zertifizierung finden Sie auf der FIDO Alliance Certification Overview-Website.
- Ihre Produkt-Metadaten müssen in das FIDO Alliance MDS hochgeladen werden, und Sie müssen überprüfen, ob Ihre Metadaten im MDS enthalten sind. Die Metadaten müssen angeben, dass Ihr Authentifikator Folgendes unterstützt:
- rev2.00.032 oder höher
- Benutzerverifizierung oder Client-PIN - Microsoft Entra ID erfordert für alle FIDO2-Authentifizierungsversuche eine Benutzerverifizierung mit biometrischen Daten oder PIN.
- Residente Schlüssel (oder auffindbare Anmeldeinformationen) - Residente Schlüssel werden benötigt, um sich mit einem Sicherheitsschlüssel ohne Eingabe eines Benutzernamens bei Microsoft Entra ID anzumelden.
- HMAC-Geheimniserweiterung (Hash-Based Message Authenticator Codes) oder PRF-Erweiterung (Pseudo-Random Function) – Eine HMAC-Geheimniserweiterung oder PRF-Erweiterung ist für die Verwendung eines Sicherheitsschlüssels zum Entsperren von Windows in Offline-Szenarien erforderlich.
Zeitpläne
Microsoft nimmt jeden Monat die neueste Version des FIDO Alliance MDS auf. Von dem Zeitpunkt, an dem Ihr FIDO2-Sicherheitsschlüssel im FIDO Alliance MDS erscheint, bis zur Anerkennung des Schlüsselmodells durch Microsoft können maximal vier Wochen vergehen. Wenn Ihr Schlüssel die Microsoft-Bestätigungsanforderungen erfüllt, wird er automatisch auf der Microsoft FIDO2-Partnerseite angezeigt.
FIDO2-Sicherheitsschlüssel, die für den Nachweis mit der Microsoft Entra-ID berechtigt sind
In der folgenden Tabelle sind die in MDS Version 77 enthaltenen FIDO2-Sicherheitsschlüsselmodelle aufgelistet. Diese Modelle sind für den Nachweis mit der Microsoft Entra-ID berechtigt.
| Modell | AAGUID |
|---|---|
| ACS FIDO-Authentifikator |
50a45b0c-80e7-f944-bf29-f552bfa2e048 |
| ACS FIDO-Authentifizierungskarte |
973446ca-e21c-9a9b-99f5-9b985a67af0f |
| Allthenticator App Roaming BLE FIDO2 Allthenticator für Windows, Mac, Linux, und Allthenticate Door Readers |
5ca1ab1e-1337-fa57-f1d0-a117e71ca702 |
| Arculus FIDO 2.1 Key Card [P71] |
3f59672f-20aa-4afe-b6f4-7e5e916b6d98 |
| Arculus FIDO2/U2F Key Card |
9d3df6ba-282f-11ed-a261-0242ac120002 |
| ATKey.Card CTAP2.0 |
d41f5a69-b817-4144-a13c-9ebd6d9254d6 |
| ATKey.Card NFC |
da1fa263-8b25-42b6-a820-c0036f21ba7f |
| ATKey.Pro CTAP2.0 |
e1a96183-5016-4f24-b55b-e3ae23614cc6 |
| ATKey.Pro CTAP2.1 |
e416201b-afeb-41ca-a03d-2281c28322aa |
| ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 |
| Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 |
| authenton1 CTAP2.1 |
b267239b-954f-4041-a01b-ee4f33c145b6 |
| Crayonic KeyVault K1 (USB-NFC-BLE FIDO2 Authenticator) |
be727034-574a-f799-5c76-0929e0430973 |
| Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 |
| Egomet FIDO2-Authentifikator für Android |
1105e4ed-af1d-02ff-ffff-ffffffffffff |
| Ensurity ThinC | 454e5346-4944-4ffd-6c93-8e9267193e9a |
| eWBM eFPA FIDO2-Authentifikator |
61250591-b2bc-4456-b719-0b17be90bb30 |
| Excelsecu eSecu FIDO2 Fingerabdruck-Sicherheitsschlüssel |
d384db22-4d50-ebde-2eac-5765cf1e2a44 |
| Excelsecu eSecu FIDO2 Fingerabdruck-Sicherheitsschlüssel |
20f0be98-9af9-986a-4b42-8eca4acb28e4 |
| Excelsecu eSecu FIDO2 NFC Sicherheitsschlüssel |
fbefdf68-fe86-0106-213e-4d5fa24cbe2e |
| Excelsecu eSecu FIDO2 NFC Sicherheitsschlüssel |
a3975549-b191-fd67-b8fb-017e2917fdb3 |
| Excelsecu eSecu FIDO2 Pro Sicherheitsschlüssel |
0d9b2e56-566b-c393-2940-f821b7f15d6d |
| Excelsecu eSecu FIDO2 PRO Sicherheitsschlüssel |
bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a |
| Excelsecu eSecu FIDO2 Sicherheitsschlüssel |
cdbdaea2-c415-5073-50f7-c04e968640b6 |
| Feitian AllinOne FIDO2-Authentifikator |
12ded745-4bed-47d4-abaa-e713f51d6393 |
| Feitian BioPass FIDO2 Authentifikator |
77010bd7-212a-4fc9-b236-d2ca5e9d4084 |
| Feitian ePass FIDO2-NFC-Authentifikator |
ee041bce-25e5-4cdb-8f86-897fd6418464 |
| Google Titan Sicherheitsschlüssel v2 |
42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 |
| GoTrust Idem-Karte FIDO2-Authentifikator |
9f0d8150-baa5-4c00-9299-ad62c8bb4e87 |
| GoTrust Idem-Schlüssel FIDO2-Authentifikator |
3b1adb99-0dfe-46fd-90b8-7f7614a4de2a |
| HID Crescendo C2300 |
aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 |
| HID Crescendo C3000 |
c80dbd9a-533f-4a17-b941-1a2f1c7cedff |
| HID Crescendo Aktiviert |
54d9fee8-e621-4291-8b18-7157b99c5bec |
| HID Crescendo Schlüssel |
692db549-7ae5-44d5-a1e5-dd20a493b723 |
| HID Crescendo Schlüssel V2 |
2d3bec26-15ee-4f5d-88b2-53622490270b |
| Hideez Schlüssel 4 FIDO2 SDK |
4e768f2c-5fab-48b3-b300-220eb487752b |
| Hyper FIDO Bio-Sicherheitsschlüssel |
d821a7d4-e97c-4cb6-bd82-4237731fd4be |
| Hyper FIDO Pro |
9f77e279-a6e2-4d58-b700-31e5943c6a98 |
| HYPR FIDO2-Authentifikator |
0076631b-d4a0-427f-5773-0ec71c9e0279 |
| IDmelon Android-Authentifikator |
39a5647e-1853-446c-a1f6-a79bae9f5bc7 |
| IDmelon iOS-Authentifikator |
820d89ed-d65a-409e-85cb-f73f0578f82a |
| IDPrime 3940 FIDO |
b50d5e0a-7f81-4959-9b12-f45407407503 |
| KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authentifikator |
4b3f8944-d4f2-4d21-bb19-764a986ec160 |
| KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authentifikator |
ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 |
| KONAI Secp256R1 FIDO2 Konformitätsprüfung CTAP2 Authentifikator |
f7c558a0-f465-11e8-b568-0800200c9a66 |
| KX701 SmartToken FIDO |
fec067a1-f1d0-4c5e-b4c0-cc3237475461 |
| NEOWAVE Badgeo FIDO2 |
c5703116-972b-4851-a3e7-ae1259843399 |
| NEOWAVE Winkeo FIDO2 |
3789da91-f943-46bc-95c3-50ea2012f03a |
| Nymi FIDO2-Authentifikator |
0acf3011-bc60-f375-fb53-6f05f43154e0 |
| OCTATCO EzFinger2 FIDO2-AUTHENTIKATOR |
a1f52be5-dfab-4364-b51c-2bd496b14a56 |
| OneSpan DIGIPASS FX1 BIO |
30b5035e-d297-4ff1-b00b-addc96ba6a98 |
| OneSpan FIDO Touch |
30b5035e-d297-4fc1-b00b-addc96ba6a97 |
| NurSchlüssel Secp256R1 FIDO2 CTAP2-Authentifikator |
998f358b-2dd2-4cbe-a43a-e8107438dfb3 |
| Pone Biometrics OFFPAD-Authentifikator |
69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 |
| Precision InnaIT Schlüssel FIDO 2 Ebene 2 zertifiziert |
88bbd2f0-342a-42e7-9729-dd158be5407a |
| RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 |
| Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 |
| Sicherheitsschlüssel von Yubico | b92c3f9a-c014-4056-887f-140a2501163b |
| Sicherheitsschlüssel von Yubico | f8a011f3-8c0a-4d15-8006-17111f9edc7d |
| Sicherheitsschlüssel von Yubico mit NFC |
6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 |
| Sicherheitsschlüssel von Yubico mit NFC |
149a2021-8ef6-4133-96b8-81f8d5b7f1f5 |
| Sicherheitsschlüssel NFC von Yubico |
a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa |
| Sicherheitsschlüssel NFC von Yubico Enterprise Edition |
0bb43545-fd2c-4185-87dd-feb0b2916ace |
| Sentry Enterprises CTAP2-Authentifikator |
89b19028-256b-4025-8872-255358d950e4 |
| SmartDisplayer BobeePass FIDO2-Authentifikator |
516d3969-5a57-5651-5958-4e7a49434167 |
| Swissbit iShield-Schlüssel FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 |
| Token Ring FIDO2-Authentifikator | 91ad6b93-264b-4987-8737-3a690cad6917 |
| TOKEN2 FIDO2 Sicherheitsschlüssel |
ab32f0c6-2239-afbb-c470-d2ef4e254db7 |
| TOKEN2 PIN Plus Sicherheitsschlüssel-Serie |
eabb46cc-e241-80bf-ae9e-96fa6d2975cf |
| uTrust FIDO2 Sicherheitsschlüssel |
73402251-f2a8-4f03-873e-3cb6db604b03 |
| VALMIDO PRO FIDO |
5626bed4-e756-430b-a7ff-ca78c8b12738 |
| VeriMark Guard Fingerabdruck-Schlüssel |
d94a29d9-52dd-4247-9c2d-8b818b610389 |
| VinCSS FIDO2-Authentifikator |
5fdb81b8-53f0-4967-a881-f5ec26fe4d18 |
| WiSECURE AuthTron USB FIDO2 Authentifikator |
504d7149-4e4c-3841-4555-55445a677357 |
| YubiKey 5 FIPS-Serie |
73bb0cd4-e502-49b8-9c6f-b59445bf720b |
| YubiKey 5 FIPS-Serie mit Blitz |
85203421-48f9-4355-9bc8-8a53846e5083 |
| YubiKey 5 FIPS-Serie mit NFC |
c1f9a0bc-1dd2-404a-b27f-8e29047a43fd |
| YubiKey 5-Serie | cb69481e-8ff7-4039-93ec-0a2729a154a8 |
| YubiKey 5-Serie | ee882879-721c-4913-9775-3dfcce97072a |
| YubiKey 5 Serie mit Blitz |
c5ef55ff-ad9a-4b9f-b580-adebafe026d0 |
| YubiKey 5-Serie mit NFC |
2fc0579f-8113-47ea-b116-bb5a8db9202a |
| YubiKey 5-Serie mit NFC |
fa2b99dc-9e39-4257-8f92-4a30d23c4118 |
| YubiKey Bio-Serie | d8522d9f-575b-4866-88a9-ba99fa02f35b |
| Chunghwa Telecom FIDO2 Smart Card Authentifikator |
175cd298-83d2-4a26-b637-313c07a6434e |
| eWBM eFA310 FIDO2-Authentifikator |
95442b2e-f15e-4def-b270-efb106facb4e |
| eWBM eFA320 FIDO2-Authentifikator |
87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c |
| Excelsecu eSecu FIDO2 Fingerabdruckschlüssel |
6002f033-3c07-ce3e-d0f7-0ffe5ed42543 |
| Feitian BioPass FIDO2 Plus Authentifikator |
b6ede29c-3772-412c-8a78-539c1f4c62d2 |
| Feitian ePass FIDO2-Authentifikator |
833b721a-ff5f-4d00-bb2e-bdda3ec01e29 |
| Feitian ePass FIDO2-NFC Serie (CTAP2.1, CTAP2.0, U2F) |
234cd403-35a2-4cc2-8015-77ea280c77f5 |
| Feitian iePass FIDO-Authentifikator |
3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d |
| FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a |
| FT-JCOS FIDO-Fingerabdruckkarte |
8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 |
| IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 |
| IDEMIA ID-ONE-Karte | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 |
| IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b |
| IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a |
| ImproveID-Authentifikator | 4c50ff10-1057-4fc6-b8ed-43a529530c3c |
| KEY-ID FIDO2-Authentifikator |
d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 |
| NXP Semiconductros FIDO2-Konformitätsprüfung CTAP2-Authentifikator |
07a9f89c-6407-4594-9d56-621d5f1e358b |
| OpenSK-Authentifikator | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 |
| SafeNet eToken-Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 |
| SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 |
| Sicherheitsschlüssel NFC von Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d |
| Sicherheitsschlüssel NFC von Yubico Enterprise Edition |
47ab2fb4-66ac-4184-9ae1-86be814012d5 |
| Solo Secp256R1 FIDO2 CTAP2 Authentifikator |
8876631b-d4a0-427f-5773-0ec71c9e0279 |
| Solo Tap Secp256R1 FIDO2 CTAP2 Authentifikator |
8976631b-d4a0-427f-5773-0ec71c9e0279 |
| Somu Secp256R1 FIDO2 CTAP2 Authentifikator |
9876631b-d4a0-427f-5773-0ec71c9e0279 |
| Swissbit iShield Key Pro | 5d629218-d3a5-11ed-afa1-0242ac120002 |
| Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d |
| YubiKey 5-Serie | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b |
| YubiKey 5 Serie mit Blitz |
a02167b9-ae71-4ac7-9a07-06432ebb6f1c |
| YubiKey 5-Serie mit NFC |
a25342c0-3cdc-4414-8e46-f4807fca511c |
| YubiKey Bio Serie Multiprotokoll-Edition |
7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 |
| YubiKey Bio Series (Unternehmensprofil) |
83c47309-aabb-4108-8470-8be838b573cb |
Nächste Schritte
Weitere Informationen zur Unterstützung von Microsoft Entra ID für die phishing-resistente Authentifizierung mit FIDO2-Sicherheitsschlüsseln in Browsern und nativen Apps finden Sie unter FIDO2-Kompatibilität.