Diagrama de la autenticación de aplicaciones con Microsoft Entra ID.

Microsoft Entra ID permite usar claves de acceso para la autenticación sin contraseña. En este artículo se tratan las aplicaciones nativas, los exploradores web y los sistemas operativos que admiten la autenticación sin contraseña mediante claves de acceso con Microsoft Entra ID.

Nota:

Microsoft Entra ID admite actualmente claves de paso enlazadas al dispositivo almacenadas en claves de seguridad FIDO2 y en Microsoft Authenticator. Microsoft se compromete a proteger a los clientes y usuarios con claves de paso. Estamos invirtiendo en claves de paso sincronizadas y enlazadas al dispositivo para cuentas profesionales.

Compatibilidad con aplicaciones nativas

En las secciones siguientes se trata la compatibilidad con aplicaciones de Microsoft y de terceros. La autenticación de clave de paso (FIDO2) con un proveedor de identidades (IDP) de terceros no se admite en aplicaciones de terceros mediante un agente de autenticación o aplicaciones de Microsoft en macOS, iOS o Android en este momento.

Compatibilidad de aplicaciones nativas con el agente de autenticación (versión preliminar)

Las aplicaciones de Microsoft proporcionan compatibilidad nativa con la autenticación FIDO2 en versión preliminar para todos los usuarios que tienen instalado un agente de autenticación para su sistema operativo. La autenticación FIDO2 también se admite en versión preliminar para aplicaciones de terceros mediante el agente de autenticación.

En las tablas siguientes se enumeran los agentes de autenticación que se admiten para diferentes sistemas operativos.

SO Agente de autenticación Admite FIDO2
iOS Microsoft Authenticator
macOS Portal de empresa de Microsoft Intune1
Android2 Autenticador, Portal de empresa o aplicación de Enlace a Windows

1En macOS, se requiere el complemento Inicio de sesión único (SSO) de Microsoft Enterprise para habilitar el Portal de empresa como agente de autenticación. Los dispositivos que ejecutan macOS deben cumplir los requisitos del complemento SSO, incluida la inscripción en la administración de dispositivos móviles. Para la autenticación FIDO2, asegúrese de ejecutar la versión más reciente de las aplicaciones nativas.

2La compatibilidad de aplicaciones nativas con las claves de seguridad FIDO2 en la versión 13 de Android y versiones posteriores está en desarrollo.

Si un usuario instaló un agente de autenticación, puede optar por iniciar sesión con una clave de seguridad cuando acceda a una aplicación como Outlook. Se les redirige para iniciar sesión con FIDO2 y se redirigen de nuevo a Outlook como un usuario que ha iniciado sesión después de la autenticación correcta.

Compatibilidad con aplicaciones de Microsoft sin agente de autenticación (versión preliminar)

En la tabla siguiente se muestra la compatibilidad de aplicaciones de Microsoft con la clave de acceso (FIDO2) sin un agente de autenticación.

Application macOS iOS Android
Escritorio remoto
Aplicación de Windows

Compatibilidad con aplicaciones de terceros sin agente de autenticación

Si el usuario todavía tiene que instalar un agente de autenticación, todavía puede iniciar sesión con una clave de acceso cuando acceda a aplicaciones habilitadas para MSAL. Para obtener más información sobre los requisitos de las aplicaciones habilitadas para MSAL, consulte Compatibilidad con la autenticación sin contraseña con claves FIDO2 en aplicaciones que desarrolle.

Compatibilidad con exploradores web

Esta tabla muestra la compatibilidad de los navegadores con la autenticación de cuentas Microsoft Entra ID y Microsoft mediante FIDO2. Los consumidores crean cuentas de Microsoft para servicios como Xbox, Skype o Outlook.com.

SO Chrome Edge Firefox Safari
Windows N/D
macOS
ChromeOS N/D N/D N/D
Linux N/D
iOS
Android 1 N/D

1La compatibilidad con claves de paso en Authenticator mediante Edge en dispositivos Android estará disponible próximamente.

Compatibilidad con exploradores web para cada plataforma

En las tablas siguientes se muestran los transportes que se admiten en cada plataforma. Entre los tipos de dispositivos admitidos se incluyen USB, transmisión de datos en proximidad (NFC) y Bluetooth de bajo consumo (BLE).

Windows

Browser USB NFC BLE
perimetral
Chrome
Firefox

Versión mínima del explorador

Estos son los requisitos mínimos de la versión del explorador de Windows.

Browser Versión mínima
Chrome 76
Edge Windows 10, versión 19031
Firefox 66

1Todas las versiones del nuevo Microsoft Edge basado en Chromium son compatibles con FIDO2. La compatibilidad con versiones anteriores de Microsoft Edge se agregó en la 1903.

macOS

Browser USB NFC1 BLE1
Edge N/D N/D
Chrome N/D N/D
Firefox2 N/D N/D
Safari2,3 N/D N/D

1Apple no admite las claves de seguridad NFC y BLE en macOS.

2El nuevo registro de clave de seguridad no funciona en estos exploradores macOS porque no se le pide que configure los datos biométricos ni el PIN.

3Vea Iniciar sesión cuando se registran más de tres claves de acceso.

ChromeOS

Explorador 1 USB NFC BLE
Chrome

1El registro de claves de seguridad no se admite en ChromeOS ni en el explorador Chrome.

Linux

Browser USB NFC BLE
perimetral
Chrome
Firefox

iOS

Explorador1,3 Lightning NFC BLE2
Edge N/D
Chrome N/D
Firefox N/D
Safari N/D

1El nuevo registro de clave de seguridad no funciona en los exploradores iOS porque no se le pide que configure los datos biométricos ni el PIN.

2Apple no admite las claves de seguridad BLE en iOS.

3Vea Iniciar sesión cuando se registran más de tres claves de acceso.

Android

Explorador 1 USB NFC BLE2
perimetral
Chrome
Firefox

1 El registro de claves de seguridad con Microsoft Entra ID aún no se admite en Android.

2Google no admite claves de seguridad BLE en Android.

Problemas conocidos

Iniciar sesión cuando se registran más de tres claves de acceso

Si registró más de tres claves de acceso, es posible que el inicio de sesión con una clave de acceso no funcione. Si tiene más de tres claves de acceso, como solución alternativa, haga clic en Opciones de inicio de sesión e inicie sesión sin escribir un nombre de usuario.

Captura de pantalla de las opciones de inicio de sesión

Compatibilidad con PowerShell

Microsoft Graph PowerShell admite FIDO2. Algunos módulos de PowerShell que usan Internet Explorer en lugar de Edge no son capaces de realizar la autenticación de FIDO2. Por ejemplo, los módulos de PowerShell para SharePoint Online o Teams, o cualquier script de PowerShell que requiera credenciales de administrador, no solicitan FIDO2.

Como solución alternativa, la mayoría de los proveedores pueden colocar certificados en las claves de seguridad FIDO2. La autenticación basada en certificados (CBA) funciona en todos los exploradores. Si puede habilitar CBA para las cuentas de administrador, puede exigir CBA, en lugar de FIDO2, entretanto.

Pasos siguientes

Habilitación del inicio de sesión con clave de seguridad sin contraseña