Ativar chaves de acesso (FIDO2) para a sua organização

Para empresas que usam senhas atualmente, as chaves de acesso (FIDO2) fornecem uma maneira perfeita para os trabalhadores se autenticarem sem inserir um nome de usuário ou senha. As chaves de acesso (FIDO2) proporcionam maior produtividade para os trabalhadores e têm melhor segurança.

Este artigo lista os requisitos e as etapas para habilitar as chaves de acesso em sua organização. Depois de concluir estas etapas, os usuários em sua organização podem se registrar e entrar em suas contas do Microsoft Entra usando uma chave de acesso armazenada em uma chave de segurança FIDO2 ou no Microsoft Authenticator.

Para obter mais informações sobre como habilitar chaves de acesso no Microsoft Authenticator, consulte Como habilitar chaves de acesso no Microsoft Authenticator.

Para obter mais informações sobre a autenticação por chave de acesso, consulte Suporte para autenticação FIDO2 com ID do Microsoft Entra.

Nota

O Microsoft Entra ID atualmente oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está empenhada em proteger clientes e utilizadores com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas ao dispositivo para contas de trabalho.

Requisitos

As chaves de acesso (FIDO2) são suportadas nos principais cenários no Windows, macOS, Android e iOS. Para obter mais informações sobre cenários suportados, consulte Suporte para autenticação FIDO2 no Microsoft Entra ID.

Nota

O suporte para o registro do mesmo dispositivo no Edge no Android estará disponível em breve.

Chave de acesso (FIDO2) GUID de atestado autenticador (AAGUID)

A especificação FIDO2 requer que cada fornecedor de chave de segurança forneça um GUID de Atestado de Autenticador (AAGUID) durante o registro. Um AAGUID é um identificador de 128 bits que indica o tipo de chave, como marca e modelo. Espera-se também que os fornecedores de chaves de acesso (FIDO2) em computadores e dispositivos móveis forneçam um AAGUID durante o registo.

Nota

O fornecedor deve garantir que o AAGUID seja idêntico em todos os provedores de chaves de segurança ou chaves de acesso (FIDO2) substancialmente idênticos feitos por esse fornecedor e diferentes (com alta probabilidade) dos AAGUIDs de todos os outros tipos de chaves de segurança ou provedores de chaves de acesso (FIDO2). Para garantir isso, o AAGUID para um determinado modelo de chave de segurança ou provedor de chave de acesso (FIDO2) deve ser gerado aleatoriamente. Para obter mais informações, consulte Autenticação da Web: uma API para acessar credenciais de chave pública - Nível 2 (w3.org).

Você pode trabalhar com seu fornecedor de chave de segurança para determinar o AAGUID da chave de acesso (FIDO2) ou consulte Chaves de segurança FIDO2 qualificadas para atestado com o Microsoft Entra ID. Se a chave de acesso (FIDO2) já estiver registrada, você pode encontrar o AAGUID visualizando os detalhes do método de autenticação da chave de acesso (FIDO2) para o usuário.

Captura de tela de como visualizar o AAGUID para uma chave de acesso.

Ativar método de autenticação de chave de acesso (FIDO2)

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Métodos>de autenticação de proteção>Política de método de autenticação.

  3. No método Passkey (FIDO2), defina a alternância como Enable. Selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Apenas grupos de segurança são suportados.

  4. Na guia Configurar:

    • Defina Permitir configuração de autoatendimento como Sim. Se definido como Não, os usuários não poderão registrar uma chave de acesso usando Informações de segurança, mesmo que as chaves de acesso (FIDO2) estejam habilitadas pela política de métodos de autenticação.

    • Defina Impor atestado como Sim se sua organização quiser ter certeza de que um modelo de chave de segurança FIDO2 ou provedor de chave de acesso é genuíno e vem do fornecedor legítimo.

      • Para chaves de segurança FIDO2, exigimos que os metadados da chave de segurança sejam publicados e verificados com o Serviço de Metadados da FIDO Alliance e também passamos no outro conjunto de testes de validação da Microsoft. Para obter mais informações, consulte Tornar-se um fornecedor de chave de segurança FIDO2 compatível com a Microsoft.
      • Para chaves de acesso no Microsoft Authenticator, o suporte de atestado está planejado para Disponibilidade Geral.

      Aviso

      A aplicação do atestado rege se uma chave de acesso (FIDO2) só é permitida durante o registo. Os usuários que registram uma chave de acesso (FIDO2) sem atestado não serão impedidos de entrar se Impor atestado estiver definido como Sim mais tarde.

    Política de restrição de chave

    • Impor restrições de chave deve ser definido como Sim somente se sua organização quiser permitir ou não apenas determinados modelos de chave de segurança ou provedores de chave de acesso, que são identificados por seu AAGUID. Você pode trabalhar com seu fornecedor de chave de segurança para determinar o AAGUID da chave de acesso. Se a chave de acesso já estiver registrada, você pode encontrar o AAGUID visualizando os detalhes do método de autenticação da chave de acesso para o usuário.

    Quando Impor restrições de chave estiver definido como Sim, você poderá selecionar Microsoft Authenticator (visualização) para adicionar automaticamente os AAGUIDs do aplicativo Authenticator para você na lista de restrição de chave. Para obter mais informações, consulte Habilitar chaves de acesso no Microsoft Authenticator (visualização).

    Aviso

    As principais restrições definem a usabilidade de modelos ou provedores específicos para registro e autenticação. Se você alterar as restrições de chave e remover um AAGUID permitido anteriormente, os usuários que registraram anteriormente um método permitido não poderão mais usá-lo para entrar.

    Se sua organização atualmente não impõe restrições de chave e já tem uso ativo de chave de acesso, você deve coletar os AAGUIDs das chaves que estão sendo usadas hoje. Adicione-os à lista de permissões, juntamente com os AAGUIDs autenticadores, para habilitar essa visualização. Essa tarefa pode ser feita com um script automatizado que analisa logs, como detalhes de registro e logs de entrada.

    Nota

    Se você desativar as restrições de chave, desmarque a caixa de seleção Microsoft Authenticator (Preview) para que os usuários não sejam solicitados a configurar uma chave de acesso no aplicativo Authenticator em Informações de segurança.

    Captura de ecrã a mostrar o Microsoft Authenticator ativado para a chave de acesso.

  5. Depois de concluir a configuração, selecione Salvar.

    Nota

    Se vir um erro quando tentar guardar, substitua vários grupos por um único grupo numa operação e, em seguida, clique novamente em Guardar .

Provisionar chaves de segurança FIDO2 usando a API do Microsoft Graph (visualização)

Atualmente em visualização, os administradores podem usar o Microsoft Graph e clientes personalizados para provisionar chaves de segurança FIDO2 em nome dos usuários. O provisionamento requer a função Administrador de Autenticação ou um aplicativo cliente com permissão UserAuthenticationMethod.ReadWrite.All. As melhorias de provisionamento incluem:

  • A capacidade de solicitar opções de criação WebAuthn do Microsoft Entra ID
  • A capacidade de registrar a chave de segurança provisionada diretamente com o Microsoft Entra ID

Com essas novas APIs, as organizações podem criar seus próprios clientes para provisionar credenciais de chave de acesso (FIDO2) em chaves de segurança em nome de um usuário. Para simplificar este processo, são necessárias três etapas principais.

  1. Solicitar criaçãoOpções para um usuário: o ID do Microsoft Entra retorna os dados necessários para que seu cliente provisione uma credencial de chave de acesso (FIDO2). Isso inclui informações como informações do usuário, ID da terceira parte confiável, requisitos de política de credenciais, algoritmos, desafio de registro e muito mais.
  2. Provisione a credencial de chave de acesso (FIDO2) com as opções de criação: use o creationOptions e um cliente que ofereça suporte ao protocolo CTAP (Client to Authenticator Protocol) para provisionar a credencial. Durante esta etapa, você precisa inserir a chave de segurança e definir um PIN.
  3. Registrar a credencial provisionada com o Microsoft Entra ID: Use a saída formatada do processo de provisionamento para fornecer ao Microsoft Entra ID os dados necessários para registrar a credencial de chave de acesso (FIDO2) para o usuário de destino.

Diagrama conceitual que mostra as etapas necessárias para provisionar chaves de acesso (FIDO2).

Habilitar chaves de acesso (FIDO2) usando a API do Microsoft Graph

Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso (FIDO2) usando a API do Microsoft Graph. Para habilitar chaves de acesso (FIDO2), você precisa atualizar a política de métodos de autenticação como pelo menos um administrador de política de autenticação.

Para configurar a política usando o Graph Explorer:

  1. Entre no Graph Explorer e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .

  2. Recupere a política de métodos de autenticação:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. Para desativar a imposição de atestado e impor restrições de chave para permitir apenas o AAGUID para RSA DS100, por exemplo, execute uma operação PATCH usando o seguinte corpo de solicitação:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": false,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "7e3f3d30-3557-4442-bdae-139312178b39",
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. Certifique-se de que a política de chave de acesso (FIDO2) está atualizada corretamente.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

Excluir uma chave de acesso (FIDO2)

Para remover uma chave de acesso (FIDO2) associada a uma conta de usuário, exclua-a do método de autenticação do usuário.

  1. Entre no centro de administração do Microsoft Entra e procure o usuário cuja chave de acesso (FIDO2) precisa ser removida.
  2. Selecione Métodos> de autenticação, clique com o botão direito do mouse em Chave de acesso (vinculado ao dispositivo) e selecione Excluir.

Impor o início de sessão com chave de acesso (FIDO2)

Para fazer com que os usuários entrem com uma chave de acesso (FIDO2) quando acessarem um recurso confidencial, você pode:

  • Use uma força de autenticação resistente a phishing integrada

    Ou

  • Crie uma força de autenticação personalizada

As etapas a seguir mostram como criar uma política de Acesso Condicional de força de autenticação personalizada que permite a entrada de chave de acesso (FIDO2) apenas para um modelo de chave de segurança específico ou provedor de chave de acesso (FIDO2). Para obter uma lista de provedores FIDO2, consulte Chaves de segurança FIDO2 qualificadas para atestado com ID do Microsoft Entra.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Proteção>Métodos>de autenticação Pontos fortes da autenticação.
  3. Selecione Nova força de autenticação.
  4. Forneça um Nome para sua nova força de autenticação.
  5. Opcionalmente, forneça uma Descrição.
  6. Selecione Chaves de acesso (FIDO2).
  7. Opcionalmente, se você quiser restringir por AAGUID (s) específico(s), selecione Opções avançadas e, em seguida , Adicionar AAGUID. Insira o(s) AAGUID(s) permitido(s). Selecione Guardar.
  8. Escolha Avançar e revise a configuração da política.

Problemas conhecidos

Provisionamento de chaves de segurança

O provisionamento de chaves de segurança pelo administrador está em visualização pública. Consulte Microsoft Graph e clientes personalizados para provisionar chaves de segurança FIDO2 em nome dos usuários.

Utilizadores de colaboração B2B

O registro de credenciais de chave de acesso (FIDO2) não é suportado para usuários de colaboração B2B no locatário de recurso.

Alterações de UPN

Se o UPN de um usuário for alterado, você não poderá mais modificar as chaves de acesso (FIDO2) para contabilizar a alteração. Se o usuário tiver uma chave de acesso (FIDO2), ele precisará entrar nas informações de segurança, excluir a chave de acesso antiga (FIDO2) e adicionar uma nova.

Próximos passos

Suporte nativo de aplicativo e navegador de autenticação sem senha (FIDO2)

FIDO2 chave de segurança Windows 10 entrar

Habilitar a autenticação FIDO2 para recursos locais

Registar chaves de segurança em nome dos utilizadores

Saiba mais sobre o registo de dispositivos

Saiba mais sobre a autenticação multifator do Microsoft Entra