Atestado do Microsoft Entra ID para fornecedores de chaves de segurança FIDO2
As chaves de segurança FIDO2 permitem autenticação resistente a phishing. Elas podem substituir credenciais fracas por credenciais fortes de chave pública/privada com apoio de hardware, que não podem ser reutilizadas nem reproduzidas ou compartilhadas entre serviços. As chaves de segurança são compatíveis com cenários de dispositivo compartilhado, permitindo que você leve consigo as credenciais e se autentique com segurança em qualquer dispositivo compatível.
Na política de métodos de autenticação do Microsoft Entra ID, os administradores podem impor o atestado para chaves de segurança FIDO2. Quando Impor atestado é definido como Sim, a Microsoft requer metadados extras de chaves de segurança FIDO2 registradas no locatário. Como fornecedor, sua chave de segurança FIDO2 pode ser usada quando o atestado é imposto, se os requisitos a seguir forem atendidos.
Observação
O Microsoft Entra ID ainda não oferece suporte a provedores de chave de acesso de terceiros em desktops e dispositivos móveis.
Requisitos de atestado
A Microsoft conta com o MDS (Serviço de Metadados) da FIDO Alliance para determinar a compatibilidade da chave de segurança com o Windows, o navegador Microsoft Edge e as contas online da Microsoft. Os fornecedores relatam dados ao MDS da FIDO.
Durante o registro FIDO2, o Microsoft Entra ID requer chaves de segurança para fornecer uma instrução de atestado. Para fornecedores, o formato de atestado esperado é empacotado, conforme definido pelo padrão FIDO.
Os requisitos específicos variam de acordo com a forma como um administrador configura a política de métodos de autenticação FIDO2.
| Impor atestado definido como Sim | Impor atestado definido como Não |
|---|---|
| Ele deve fornecer uma instrução de atestado empacotada válida e um certificado completo que encadeia de volta às raízes de atestado extraídas do MDS da FIDO Alliance, para que a Microsoft possa validar os metadados da chave. | Ele deve fornecer uma instrução de atestado empacotada válida (mas a Microsoft ignorará os resultados da verificação de atestado) e um certificado completo (que não precisa estar associado a uma cadeia de certificados específica). |
Observação
Os fornecedores são responsáveis por publicar todos os certificados de atestado raiz no MDS da FIDO Alliance; caso contrário, a verificação do atestado pode falhar.
Além disso, se o atestado for imposto, os seguintes requisitos se aplicam:
- O autenticador precisa ter uma certificação FIDO2. Isso pode ser no nível qualquer. Para saber mais sobre a certificação, acesse o site de Visão Geral da Certificação da FIDO Alliance.
- Os metadados do produto precisam ser carregados no MDS da FIDO Alliance e você precisa verificar se os metadados estão no MDS. Os metadados devem indicar que seu autenticador é compatível com:
- FIDO 2.0 ou superior.
- Verificação do usuário ou PIN do cliente – o Microsoft Entra ID requer verificação do usuário com biometria ou PIN para todas as tentativas de autenticação FIDO2.
- Chaves residentes (ou credenciais detectáveis) – as chaves residentes são necessárias para usar uma chave de segurança para entrar no Microsoft Entra ID sem inserir um nome de usuário.
- Extensão secreta HMAC (Códigos Autenticadores de Mensagens Baseadas em Hash) ou extensão PRF (Função Pseudo-Aleatória) – uma extensão secreta HMAC ou extensão PRF é necessária para usar uma chave de segurança para desbloquear o Windows em cenários offline.
Linhas do tempo
A Microsoft ingere a versão mais recente do MDS da FIDO Alliance todos os meses. Pode haver um atraso máximo de quatro semanas desde o momento em que sua chave de segurança FIDO2 aparece no MDS da FIDO Alliance até o momento em que a Microsoft reconhece o modelo de chave. Se sua chave atender aos requisitos de atestado da Microsoft, ela aparecerá automaticamente na página do parceiro Microsoft FIDO2.
Chaves de segurança FIDO2 qualificadas para atestado com o Microsoft Entra ID
A tabela a seguir lista os modelos de chave de segurança FIDO2 listados no MDS versão 77. Esses modelos são qualificados para atestado com o Microsoft Entra ID.
| Modelar | AAGUID |
|---|---|
| Autenticador ACS FIDO |
50a45b0c-80e7-f944-bf29-f552bfa2e048 |
| Cartão autenticador ACS FIDO |
973446ca-e21c-9a9b-99f5-9b985a67af0f |
| Aplicativo Allthenticator Roaming BLE FIDO2 Allthenticator para Windows, Mac, Linux e leitores de porta Allthenticate |
5ca1ab1e-1337-fa57-f1d0-a117e71ca702 |
| Cartão-chave Arculus FIDO 2.1 [P71] |
3f59672f-20aa-4afe-b6f4-7e5e916b6d98 |
| Cartão de chave Arculus FIDO2/U2F |
9d3df6ba-282f-11ed-a261-0242ac120002 |
| ATKey.Card CTAP2.0 |
d41f5a69-b817-4144-a13c-9ebd6d9254d6 |
| ATKey.Card NFC |
da1fa263-8b25-42b6-a820-c0036f21ba7f |
| ATKey.Pro CTAP2.0 |
e1a96183-5016-4f24-b55b-e3ae23614cc6 |
| ATKey.Pro CTAP2.1 |
e416201b-afeb-41ca-a03d-2281c28322aa |
| ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 |
| Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 |
| authenton1 CTAP2.1 |
b267239b-954f-4041-a01b-ee4f33c145b6 |
| Crayonic KeyVault K1 (Autenticador USB-NFC-BLE FIDO2) |
be727034-574a-f799-5c76-0929e0430973 |
| Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 |
| Autenticador Egomet FIDO2 para Android |
1105e4ed-af1d-02ff-ffff-ffffffffffff |
| Ensurity ThinC | 454e5346-4944-4ffd-6c93-8e9267193e9a |
| Autenticador eWBM eFPA FIDO2 |
61250591-b2bc-4456-b719-0b17be90bb30 |
| Chave de segurança de impressão digital Excelsecu eSecu FIDO2 |
d384db22-4d50-ebde-2eac-5765cf1e2a44 |
| Chave de segurança de impressão digital Excelsecu eSecu FIDO2 |
20f0be98-9af9-986a-4b42-8eca4acb28e4 |
| Chave de segurança Excelsecu eSecu FIDO2 NFC |
fbefdf68-fe86-0106-213e-4d5fa24cbe2e |
| Chave de segurança Excelsecu eSecu FIDO2 NFC |
a3975549-b191-fd67-b8fb-017e2917fdb3 |
| Chave de segurança Excelsecu eSecu FIDO2 Pro |
0d9b2e56-566b-c393-2940-f821b7f15d6d |
| Chave de segurança Excelsecu eSecu FIDO2 PRO |
bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a |
| Chave de segurança Excelsecu eSecu FIDO2 |
cdbdaea2-c415-5073-50f7-c04e968640b6 |
| Autenticador Feitian AllinOne FIDO2 |
12ded745-4bed-47d4-abaa-e713f51d6393 |
| Autenticador Feitian BioPass FIDO2 |
77010bd7-212a-4fc9-b236-d2ca5e9d4084 |
| Autenticador Feitian ePass FIDO2-NFC |
ee041bce-25e5-4cdb-8f86-897fd6418464 |
| Chave de segurança do Google Titan v2 |
42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 |
| Autenticador FIDO2 do cartão GoTrust Idem |
9f0d8150-baa5-4c00-9299-ad62c8bb4e87 |
| Autenticador FIDO2 da chave GoTrust Idem |
3b1adb99-0dfe-46fd-90b8-7f7614a4de2a |
| HID Crescendo C2300 |
aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 |
| HID Crescendo C3000 |
c80dbd9a-533f-4a17-b941-1a2f1c7cedff |
| HID Crescendo Habilitado |
54d9fee8-e621-4291-8b18-7157b99c5bec |
| Chave HID Crescendo |
692db549-7ae5-44d5-a1e5-dd20a493b723 |
| Chave HID Crescendo V2 |
2d3bec26-15ee-4f5d-88b2-53622490270b |
| SDK FIDO2 da Chave 4 do Hideez |
4e768f2c-5fab-48b3-b300-220eb487752b |
| Chave de segurança Hyper FIDO Bio |
d821a7d4-e97c-4cb6-bd82-4237731fd4be |
| Hyper FIDO Pro |
9f77e279-a6e2-4d58-b700-31e5943c6a98 |
| Autenticador HYPR FIDO2 |
0076631b-d4a0-427f-5773-0ec71c9e0279 |
| Autenticador IDmelon Android |
39a5647e-1853-446c-a1f6-a79bae9f5bc7 |
| Autenticador IDmelon iOS |
820d89ed-d65a-409e-85cb-f73f0578f82a |
| Autenticador IDmelon iOS |
820d89ed-d65a-409e-85cb-f73f0578f82a |
| IDPrime 3940 FIDO |
b50d5e0a-7f81-4959-9b12-f45407407503 |
| Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 |
4b3f8944-d4f2-4d21-bb19-764a986ec160 |
| Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 |
ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 |
| Autenticador KONAI Secp256R1 Teste de conformidade FIDO2 CTAP2 |
f7c558a0-f465-11e8-b568-0800200c9a66 |
| KX701 SmartToken FIDO |
fec067a1-f1d0-4c5e-b4c0-cc3237475461 |
| NEOWAVE Badgeo FIDO2 |
c5703116-972b-4851-a3e7-ae1259843399 |
| NEOWAVE Winkeo FIDO2 |
3789da91-f943-46bc-95c3-50ea2012f03a |
| Autenticador Nymi FIDO2 |
0acf3011-bc60-f375-fb53-6f05f43154e0 |
| AUTENTICADOR OCTATCO EzFinger2 FIDO2 |
a1f52be5-dfab-4364-b51c-2bd496b14a56 |
| OneSpan DIGIPASS FX1 BIO |
30b5035e-d297-4ff1-b00b-addc96ba6a98 |
| OneSpan FIDO Touch |
30b5035e-d297-4fc1-b00b-addc96ba6a97 |
| Autenticador OnlyKey Secp256R1 FIDO2 CTAP2 |
998f358b-2dd2-4cbe-a43a-e8107438dfb3 |
| Autenticador Pone Biometrics OFFPAD |
69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 |
| Chave InnaIT de precisão FIDO 2 certificação Nível 2 |
88bbd2f0-342a-42e7-9729-dd158be5407a |
| RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 |
| Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 |
| Chave de segurança da Yubico | b92c3f9a-c014-4056-887f-140a2501163b |
| Chave de segurança da Yubico | f8a011f3-8c0a-4d15-8006-17111f9edc7d |
| Chave de segurança da Yubico com NFC |
6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 |
| Chave de segurança da Yubico com NFC |
149a2021-8ef6-4133-96b8-81f8d5b7f1f5 |
| Chave de segurança NFC da Yubico |
a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa |
| Chave de segurança NFC da Yubico Edição Enterprise |
0bb43545-fd2c-4185-87dd-feb0b2916ace |
| Autenticador CTAP2 da Sentry Enterprises |
89b19028-256b-4025-8872-255358d950e4 |
| Autenticador SmartDisplayer BobeePass FIDO2 |
516d3969-5a57-5651-5958-4e7a49434167 |
| Chave Swissbit iShield FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 |
| Autenticador Token Ring FIDO2 | 91ad6b93-264b-4987-8737-3a690cad6917 |
| Chave de segurança TOKEN2 FIDO2 |
ab32f0c6-2239-afbb-c470-d2ef4e254db7 |
| Série de chaves de segurança TOKEN2 PIN Plus |
eabb46cc-e241-80bf-ae9e-96fa6d2975cf |
| Chave de segurança uTrust FIDO2 |
73402251-f2a8-4f03-873e-3cb6db604b03 |
| VALMIDO PRO FIDO |
5626bed4-e756-430b-a7ff-ca78c8b12738 |
| Chave de impressão digital VeriMark Guard |
d94a29d9-52dd-4247-9c2d-8b818b610389 |
| Autenticador VinCSS FIDO2 |
5fdb81b8-53f0-4967-a881-f5ec26fe4d18 |
| Autenticador WiSECURE AuthTron USB FIDO2 |
504d7149-4e4c-3841-4555-55445a677357 |
| Série YubiKey 5 FIPS |
73bb0cd4-e502-49b8-9c6f-b59445bf720b |
| Série YubiKey 5 FIPS com Lightning |
85203421-48f9-4355-9bc8-8a53846e5083 |
| Série YubiKey 5 FIPS com NFC |
c1f9a0bc-1dd2-404a-b27f-8e29047a43fd |
| Série YubiKey 5 | cb69481e-8ff7-4039-93ec-0a2729a154a8 |
| Série YubiKey 5 | ee882879-721c-4913-9775-3dfcce97072a |
| Série YubiKey 5 com Lightning |
c5ef55ff-ad9a-4b9f-b580-adebafe026d0 |
| Série YubiKey 5 com NFC |
2fc0579f-8113-47ea-b116-bb5a8db9202a |
| Série YubiKey 5 com NFC |
fa2b99dc-9e39-4257-8f92-4a30d23c4118 |
| Série YubiKey Bio | d8522d9f-575b-4866-88a9-ba99fa02f35b |
| Autenticador de Cartão Inteligente Chunghwa Telecom FIDO2 |
175cd298-83d2-4a26-b637-313c07a6434e |
| Autenticador eWBM eFA310 FIDO2 |
95442b2e-f15e-4def-b270-efb106facb4e |
| Autenticador eWBM eFA320 FIDO2 |
87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c |
| Chave de impressão digital Excelsecu eSecu FIDO2 |
6002f033-3c07-ce3e-d0f7-0ffe5ed42543 |
| Autenticador Feitian BioPass FIDO2 Plus |
b6ede29c-3772-412c-8a78-539c1f4c62d2 |
| Autenticador Feitian ePass FIDO2 |
833b721a-ff5f-4d00-bb2e-bdda3ec01e29 |
| Série Feitian ePass FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) |
234cd403-35a2-4cc2-8015-77ea280c77f5 |
| Autenticador Feitian iePass FIDO |
3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d |
| FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a |
| Cartão de impressão digital FT-JCOS FIDO |
8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 |
| IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 |
| Cartão IDEMIA ID-ONE | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 |
| IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b |
| IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a |
| Autenticador ImproveID | 4c50ff10-1057-4fc6-b8ed-43a529530c3c |
| Autenticador KEY-ID FIDO2 |
d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 |
| NXP Semiconductros Teste de conformidade FIDO2 Authenticator CTAP2 |
07a9f89c-6407-4594-9d56-621d5f1e358b |
| Autenticador OpenSK | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 |
| SafeNet eToken Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 |
| SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 |
| Chave de segurança NFC da Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d |
| Chave de segurança NFC da Yubico Edição Enterprise |
47ab2fb4-66ac-4184-9ae1-86be814012d5 |
| Autenticador Solo Secp256R1 FIDO2 CTAP2 |
8876631b-d4a0-427f-5773-0ec71c9e0279 |
| Autenticador Solo Tap Secp256R1 FIDO2 CTAP2 |
8976631b-d4a0-427f-5773-0ec71c9e0279 |
| Autenticador Somu Secp256R1 FIDO2 CTAP2 |
9876631b-d4a0-427f-5773-0ec71c9e0279 |
| Chave Swissbit iShield Pro | 5d629218-d3a5-11ed-afa1-0242ac120002 |
| Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d |
| Série YubiKey 5 | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b |
| Série YubiKey 5 com Lightning |
a02167b9-ae71-4ac7-9a07-06432ebb6f1c |
| Série YubiKey 5 com NFC |
a25342c0-3cdc-4414-8e46-f4807fca511c |
| Edição multiprotocolo da série YubiKey Bio |
7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 |
| Série YubiKey Bio (Perfil Enterprise) |
83c47309-aabb-4108-8470-8be838b573cb |
Próximas etapas
Para obter mais informações sobre o suporte do Microsoft Entra ID para autenticação resistente a phishing com chaves de segurança FIDO2 em navegadores e aplicativos nativos, consulte Compatibilidade com FIDO2.