Atestado de ID do Microsoft Entra para fornecedores de chaves de segurança FIDO2
As chaves de segurança FIDO2 permitem a autenticação resistente a phishing. Eles podem substituir credenciais fracas por credenciais fortes de chave pública/privada apoiadas por hardware que não podem ser reutilizadas, reproduzidas ou compartilhadas entre serviços. As chaves de segurança suportam cenários de dispositivos partilhados, permitindo-lhe transportar a sua credencial consigo e autenticar-se com segurança em qualquer dispositivo suportado.
Na política de métodos de autenticação do Microsoft Entra ID, os administradores podem impor o atestado para chaves de segurança FIDO2. Quando Impor atestado está definido como Sim, a Microsoft requer metadados adicionais das chaves de segurança FIDO2 registradas com o locatário. Como fornecedor, sua chave de segurança FIDO2 é utilizável quando o atestado é imposto, se os seguintes requisitos forem atendidos.
Nota
O Microsoft Entra ID atualmente oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está empenhada em proteger clientes e utilizadores com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas ao dispositivo para contas de trabalho.
Requisitos de certificação
A Microsoft confia no FIDO Alliance Metadata Service (MDS) para determinar a compatibilidade da chave de segurança com o Windows, o navegador Microsoft Edge e as contas online da Microsoft. Os fornecedores reportam dados ao FIDO MDS.
Durante o registro FIDO2, o Microsoft Entra ID requer chaves de segurança para fornecer uma declaração de atestado. Para os fornecedores, o formato de atestado esperado é empacotado, conforme definido pelo padrão FIDO.
Os requisitos específicos variam com base em como um administrador configura a política de métodos de autenticação FIDO2.
| Impor atestado definido como Sim | Impor atestado definido como Não |
|---|---|
| Ele deve fornecer uma declaração de atestado compactada válida e um certificado completo que seja encadeado de volta às raízes do atestado extraídas do MDS da FIDO Alliance, para que a Microsoft possa validar os metadados da chave. | Ele deve fornecer uma declaração de atestado compactada válida (mas a Microsoft ignorará os resultados da verificação de atestado) e um certificado completo (que não precisa ser associado a uma cadeia de certificados específica). |
Nota
Os fornecedores são responsáveis por publicar todos os certificados de atestado raiz para o FIDO Alliance MDS; caso contrário, a verificação do atestado pode falhar.
Além disso, se o atestado for aplicado, aplicam-se os seguintes requisitos:
- Seu autenticador precisa ter uma certificação FIDO2. Isso pode ser em qualquer nível. Para saber mais sobre a certificação, visite o site FIDO Alliance Certification Overview (Visão geral da certificação FIDO Alliance).
- Os metadados do seu produto precisam ser carregados para o MDS da FIDO Alliance e você precisa verificar se seus metadados estão no MDS. Os metadados devem indicar que o autenticador suporta:
- FIDO 2.0 ou superior.
- Verificação do usuário ou PIN do cliente - O Microsoft Entra ID requer verificação do usuário com biometria ou PIN para todas as tentativas de autenticação FIDO2.
- Chaves residentes (ou credenciais detetáveis) - As chaves residentes são necessárias para usar uma chave de segurança para entrar na ID do Microsoft Entra sem inserir um nome de usuário.
- Extensão secreta HMAC (Hash-Based Message Authenticator Codes) ou extensão PRF (Pseudo-Random Function) - É necessária uma extensão secreta HMAC ou extensão PRF para utilizar uma chave de segurança para desbloquear o Windows em cenários offline.
Linhas cronológicas
A Microsoft ingere a versão mais recente do FIDO Alliance MDS todos os meses. Pode haver um atraso máximo de quatro semanas desde o momento em que a chave de segurança FIDO2 aparece no FIDO Alliance MDS até quando a Microsoft reconhece o modelo de chave. Se sua chave atender aos requisitos de atestado da Microsoft, ela aparecerá automaticamente na página de parceiro Microsoft FIDO2.
Chaves de segurança FIDO2 elegíveis para atestado com ID Microsoft Entra
A tabela a seguir lista os modelos de chave de segurança FIDO2 listados no MDS versão 77. Esses modelos são elegíveis para atestado com o Microsoft Entra ID.
| Modelo | AAGUID |
|---|---|
| Autenticador ACS FIDO |
50A45B0C-80E7-F944-BF29-F552BFA2E048 |
| Cartão autenticador ACS FIDO |
973446ca-e21c-9a9b-99f5-9b985a67af0f |
| Allthenticator App Roaming BLE FIDO2 Allthenticator para Windows, Mac, Linux e Allthenticate leitores de porta |
5CA1AB1E-1337-FA57-F1D0-A117E71CA702 |
| Arculus FIDO 2.1 Cartão Chave [P71] |
3f59672f-20aa-4afe-b6f4-7e5e916b6d98 |
| Cartão de chave Arculus FIDO2/U2F |
9D3DF6BA-282F-11ED-A261-0242AC120002 |
| ATKey.Card CTAP2,0 |
d41f5a69-b817-4144-a13c-9ebd6d9254d6 |
| ATKey.Card NFC |
DA1FA263-8B25-42B6-A820-C0036F21BA7F |
ATKey.Pro CTAP2.0 |
E1A96183-5016-4F24-B55B-E3AE23614CC6 |
ATKey.Pro CTAP2.1 |
e416201b-afeb-41ca-a03d-2281c28322aa |
| ATKey.ProS | BA76A271-6EB6-4171-874D-B6428DBE3437 |
| Atos CardOS FIDO2 | 1C086528-58D5-F211-823C-356786E36140 |
| Authenton1 CTAP2.1 |
B267239B-954F-4041-A01B-EE4F33C145B6 |
| Crayonic KeyVault K1 (Autenticador USB-NFC-BLE FIDO2) |
be727034-574a-f799-5c76-0929e0430973 |
| Cryptnox FIDO2 | 9C835346-796B-4C27-8898-D6032F515CC5 |
| Egomet FIDO2 Autenticador para Android |
1105e4ed-af1d-02ff-ffff-ffffffffffff |
| Seguro ThinC | 454E5346-4944-4FFD-6C93-8E9267193E9A |
| Autenticador eWBM eFPA FIDO2 |
61250591-b2bc-4456-b719-0b17be90bb30 |
| Excelsecu eSecu FIDO2 Fingerprint Chave de Segurança |
d384db22-4d50-ebde-2eac-5765cf1e2a44 |
| Excelsecu eSecu FIDO2 Fingerprint Chave de Segurança |
20f0be98-9af9-986a-4b42-8eca4acb28e4 |
| Excelsecu eSecu FIDO2 NFC Chave de Segurança |
fbefdf68-fe86-0106-213e-4d5fa24cbe2e |
| Excelsecu eSecu FIDO2 NFC Chave de Segurança |
a3975549-b191-fd67-b8fb-017e2917fdb3 |
| Excelsecu eSecu FIDO2 Pro Chave de Segurança |
0d9b2e56-566b-c393-2940-f821b7f15d6d |
| Excelsecu eSecu FIDO2 PRO Chave de Segurança |
bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a |
| Excelsecu eSecu FIDO2 Chave de Segurança |
CDBDAEA2-C415-5073-50F7-C04E968640B6 |
| Feitian AllinOne Autenticador FIDO2 |
12ded745-4bed-47d4-abaa-e713f51d6393 |
| Autenticador Feitian BioPass FIDO2 |
77010bd7-212a-4fc9-b236-d2ca5e9d4084 |
| Autenticador Feitian ePass FIDO2-NFC |
EE041BCE-25E5-4CDB-8F86-897FD6418464 |
| Chave de Segurança Google Titan v2 |
42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 |
| Autenticador FIDO2 do cartão Idem GoTrust |
9F0D8150-BAA5-4C00-9299-AD62C8BB4E87 |
| GoTrust Idem Key Autenticador FIDO2 |
3b1adb99-0dfe-46fd-90b8-7f7614a4de2a |
| HID Crescendo C2300 |
AEB6569C-F8FB-4950-AC60-24CA2BBE2E52 |
| HID Crescendo C3000 |
c80dbd9a-533f-4a17-b941-1a2f1c7cedff |
| HID Crescendo Ativado |
54d9fee8-e621-4291-8b18-7157b99c5bec |
| Chave de Crescendo HID |
692db549-7ae5-44d5-a1e5-dd20a493b723 |
| HID Crescendo Chave V2 |
2d3bec26-15ee-4f5d-88b2-53622490270b |
| Hideez Key 4 FIDO2 SDK |
4E768F2C-5FAB-48B3-B300-220EB487752B |
Chave de Bio Segurança Hyper FIDO |
d821a7d4-e97c-4cb6-bd82-4237731fd4be |
Hiper FIDO Pro |
9F77E279-A6E2-4D58-B700-31E5943C6A98 |
| Autenticador HYPR FIDO2 |
0076631b-d4a0-427f-5773-0ec71c9e0279 |
| IDmelon Autenticador Android |
39A5647E-1853-446C-A1F6-A79BAE9F5BC7 |
| IDmelon iOS Autenticador |
820d89ed-d65a-409e-85cb-f73f0578f82a |
| IDPrime 3940 FIDO |
B50D5E0A-7F81-4959-9B12-F45407407503 |
| KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Autenticador |
4b3f8944-d4f2-4d21-bb19-764a986ec160 |
| KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Autenticador |
ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 |
| KONAI Secp256R1 Autenticador CTAP2 de testes de conformidade FIDO2 |
f7c558a0-f465-11e8-b568-0800200c9a66 |
| KX701 SmartToken FIDO |
fec067a1-f1d0-4c5e-b4c0-cc3237475461 |
| NEOWAVE Badgeo FIDO2 |
C5703116-972B-4851-A3E7-AE1259843399 |
| NEOWAVE Winkeo FIDO2 |
3789da91-f943-46bc-95c3-50ea2012f03a |
| Nymi FIDO2 Autenticador |
0ACF3011-BC60-F375-FB53-6F05F43154E0 |
| OCTATCO EzFinger2 FIDO2 AUTENTICADOR |
A1F52BE5-DFAB-4364-B51C-2BD496B14A56 |
| OneSpan DIGIPASS FX1 BIO |
30B5035E-D297-4FF1-B00B-ADDC96BA6A98 |
| OneSpan FIDO Toque |
30B5035E-D297-4FC1-B00B-ADDC96BA6A97 |
| Autenticador OnlyKey Secp256R1 FIDO2 CTAP2 |
998f358b-2dd2-4cbe-a43a-e8107438dfb3 |
| Pone Biometrics Autenticador OFFPAD |
69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 |
| Precisão InnaIT Key FIDO 2 Nível 2 certificada |
88BBD2F0-342A-42E7-9729-DD158BE5407A |
| RSA DS100 | 7E3F3D30-3557-4442-BDAE-139312178B39 |
| Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 |
| Chave de Segurança por Yubico | B92C3F9A-C014-4056-887F-140A2501163B |
| Chave de Segurança por Yubico | f8a011f3-8c0a-4d15-8006-17111f9edc7d |
| Chave de Segurança por Yubico com NFC |
6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 |
| Chave de Segurança por Yubico com NFC |
149a2021-8ef6-4133-96b8-81f8d5b7f1f5 |
| Chave de Segurança NFC by Yubico |
a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa |
| Chave de Segurança NFC by Yubico Enterprise Edition |
0bb43545-fd2c-4185-87dd-feb0b2916ace |
| Autenticador CTAP2 da Sentry Enterprises |
89B19028-256B-4025-8872-255358D950E4 |
| SmartDisplayer BobeePass Autenticador FIDO2 |
516D3969-5A57-5651-5958-4E7A49434167 |
| Swissbit iShield Chave FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 |
| Autenticador Token Ring FIDO2 | 91ad6b93-264b-4987-8737-3a690cad6917 |
| Chave de Segurança TOKEN2 FIDO2 |
ab32f0c6-2239-afbb-c470-d2ef4e254db7 |
| Série de chaves de segurança TOKEN2 PIN Plus |
eabb46cc-e241-80bf-ae9e-96fa6d2975cf |
| Chave de Segurança uTrust FIDO2 |
73402251-f2a8-4f03-873e-3cb6db604b03 |
| VALMIDO PRO FIDO |
5626cama4-e756-430b-a7ff-ca78c8b12738 |
| Chave de impressão digital VeriMark Guard |
d94a29d9-52dd-4247-9c2d-8b818b610389 |
| Autenticador VinCSS FIDO2 |
5FDB81B8-53F0-4967-A881-F5EC26FE4D18 |
| Autenticador WiSECURE AuthTron USB FIDO2 |
504D7149-4E4C-3841-4555-55445A677357 |
| YubiKey 5 Série FIPS |
73BB0CD4-E502-49B8-9C6F-B59445BF720B |
| Série YubiKey 5 FIPS com Lightning |
85203421-48f9-4355-9bc8-8a53846e5083 |
| Série YubiKey 5 FIPS com NFC |
C1F9A0BC-1DD2-404A-B27F-8E29047A43FD |
| YubiKey Série 5 | CB69481E-8FF7-4039-93CE-0A2729A154A8 |
| YubiKey Série 5 | EE882879-721C-4913-9775-3DFCCE97072A |
| YubiKey Série 5 com Lightning |
C5EF55FF-AD9A-4B9F-B580-ADEBAFE026D0 |
| YubiKey Série 5 com NFC |
2fc0579f-8113-47ea-b116-bb5a8db9202a |
| YubiKey Série 5 com NFC |
fa2b99dc-9e39-4257-8f92-4a30d23c4118 |
| Série YubiKey Bio | d8522d9f-575b-4866-88a9-ba99fa02f35b |
| Chunghwa Telecom FIDO2 Autenticador de cartão inteligente |
175cd298-83d2-4a26-b637-313c07a6434e |
| Autenticador eWBM eFA310 FIDO2 |
95442b2e-f15e-4def-b270-efb106facb4e |
| Autenticador eWBM eFA320 FIDO2 |
87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c |
| Excelsecu eSecu FIDO2 Chave de impressão digital |
6002F033-3C07-CE3E-D0F7-0FFE5ED42543 |
| Autenticador Feitian BioPass FIDO2 Plus |
b6ede29c-3772-412c-8a78-539c1f4c62d2 |
| Autenticador Feitian ePass FIDO2 |
833b721a-ff5f-4d00-bb2e-bdda3ec01e29 |
| Série Feitian ePass FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) |
234cd403-35a2-4cc2-8015-77ea280c77f5 |
| Feitian iePass Autenticador FIDO |
3E22415D-7FDF-4EA4-8A0C-DD60C4249B9D |
| FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a |
| Cartão de impressão digital FT-JCOS FIDO |
8C97A730-3F7B-41A6-87D6-1E9B62BDA6F0 |
| IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 |
| Cartão IDEMIA ID-ONE | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 |
| IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b |
| IDPrime 941 Fido | 2FFD6452-01DA-471F-821B-EA4BF6C8676A |
| Autenticador ImproveID | 4C50FF10-1057-4FC6-B8ED-43A529530C3C |
| Autenticador KEY-ID FIDO2 |
d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 |
| NXP Semiconductros FIDO2 Teste de conformidade Autenticador CTAP2 |
07A9F89C-6407-4594-9D56-621D5F1E358B |
| Autenticador OpenSK | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 |
| Fusão de eToken SafeNet | 74820b05-a6c9-40f9-8fb0-9f86aca93998 |
| SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 |
| Chave de Segurança NFC by Yubico | E77E3C64-05E3-428B-8824-0CBEB04B829D |
| Chave de Segurança NFC by Yubico Enterprise Edition |
47AB2FB4-66AC-4184-9AE1-86BE814012D5 |
| Autenticador Solo Secp256R1 FIDO2 CTAP2 |
8876631b-d4a0-427f-5773-0ec71c9e0279 |
| Autenticador Solo Tap Secp256R1 FIDO2 CTAP2 |
8976631b-d4a0-427f-5773-0ec71c9e0279 |
| Somu Secp256R1 FIDO2 Autenticador CTAP2 |
9876631b-d4a0-427f-5773-0ec71c9e0279 |
| Swissbit iShield Chave Pro | 5D629218-D3A5-11ED-AFA1-0242AC120002 |
| Thales IDPrime FIDO Bio | 4D41190C-7BEB-4A84-8018-ADF265A6352D |
| YubiKey Série 5 | 19083C3D-8383-4B18-BC03-8F1C9AB2FD1B |
| YubiKey Série 5 com Lightning |
a02167b9-ae71-4ac7-9a07-06432ebb6f1c |
| YubiKey Série 5 com NFC |
a25342c0-3cdc-4414-8e46-f4807fca511c |
| YubiKey Bio Series Edição Multiprotocolo |
7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 |
| YubiKey Bio Series (Perfil Empresarial) |
83C47309-AABB-4108-8470-8BE838B573CB |
Próximos passos
Para obter mais informações sobre o suporte do Microsoft Entra ID para autenticação resistente a phishing com chaves de segurança FIDO2 em navegadores e aplicativos nativos, consulte Compatibilidade FIDO2.