Atestación de Microsoft Entra ID para proveedores de claves de seguridad FIDO2
Las claves de seguridad FIDO2 permiten una autenticación resistente a la suplantación de identidad (phishing). Pueden reemplazar las credenciales débiles por credenciales seguras de clave pública/privada con respaldo de hardware que no se pueden reutilizar, reproducir ni compartir entre servicios. Las claves de seguridad admiten escenarios de dispositivos compartidos, lo que te permite llevar tus credenciales contigo y autenticarte de forma segura en cualquier dispositivo compatible.
En la directiva de métodos de autenticación de Microsoft Entra ID, los administradores pueden aplicar la atestación para las claves de seguridad FIDO2. Cuando Aplicar atestación se establece en Sí, Microsoft requiere metadatos adicionales de las claves de seguridad FIDO2 que se registran con el inquilino. Como proveedor, la clave de seguridad FIDO2 se puede usar cuando se aplica la atestación, si se cumplen los siguientes requisitos.
Nota:
Microsoft Entra ID aún no admite proveedores de claves de paso de terceros en dispositivos móviles y de escritorio.
Requisitos para la atestación
Microsoft se basa en el FIDO Alliance Metadata Service (MDS) para determinar la compatibilidad de la clave de seguridad con Windows, el explorador Microsoft Edge y las cuentas en línea de Microsoft. Los proveedores informan de los datos a FIDO MDS.
Durante el registro FIDO2, Microsoft Entra ID requiere que las claves de seguridad proporcionen una instrucción de atestación. En el caso de los proveedores, el formato de atestación esperado es empaquetado, tal como se define en el estándar FIDO.
Los requisitos específicos varían en función de cómo un administrador configura la directiva de métodos de autenticación de FIDO2.
| Opción Aplicar atestación establecida en Sí | Opción Aplicar atestación establecida en No |
|---|---|
| Debe proporcionar una instrucción de atestación empaquetada válida y un certificado completo que se encadene a las raíces de atestación extraídas de FIDO Alliance MDS para que Microsoft pueda validar los metadatos de la clave. | Debe proporcionar una instrucción de atestación empaquetada válida (pero Microsoft omitirá los resultados de la comprobación de atestación) y un certificado completo (que no necesita estar asociado a una cadena de certificados determinada). |
Nota:
Los proveedores son responsables de publicar todos los certificados de atestación raíz en FIDO Alliance MDS. De lo contrario, se puede producir un error en la comprobación de atestación.
Además, si se aplica la atestación, se aplican los siguientes requisitos:
- Tu autenticador debe tener una certificación de FIDO2. Puede ser a cualquier nivel. Para obtener más información sobre la certificación, visite el sitio web de información general sobre la certificación de FIDO Alliance.
- Los metadatos del producto deben cargarse en FIDO Alliance MDS y debes comprobar que los metadatos están en MDS. Los metadatos deben indicar que el autenticador admite:
- FIDO 2.0 o superior.
- Comprobación del usuario o PIN de cliente: Microsoft Entra ID requiere la comprobación del usuario con datos biométricos o PIN para todos los intentos de autenticación de FIDO2.
- Claves residentes (o credenciales detectables): las claves residentes son necesarias para usar una clave de seguridad para iniciar sesión en Microsoft Entra ID sin escribir un nombre de usuario.
- Extensión de secreto de códigos de autenticador de mensajes basados en hash (HMAC) o extensión de función pseudoaleatoria (PRF): se requiere una extensión de secreto HMAC o una extensión PRF para usar una clave de seguridad y desbloquear Windows en escenarios sin conexión.
Escalas de tiempo
Microsoft ingiere la versión más reciente de FIDO Alliance MDS cada mes. Puede haber un retraso máximo de cuatro semanas desde el momento en que la clave de seguridad FIDO2 aparece en FIDO Alliance MDS hasta que Microsoft reconoce el modelo de clave. Si la clave cumple los requisitos de atestación de Microsoft, aparecerá automáticamente en la página de asociado de FIDO2 de Microsoft.
Claves de seguridad FIDO2 aptas para la atestación con Microsoft Entra ID
En la tabla siguiente se enumeran los modelos de clave de seguridad FIDO2 enumerados en MDS versión 77. Estos modelos son aptos para la atestación con Microsoft Entra ID.
| Modelo | AAGUID |
|---|---|
| Autenticador FIDO de ACS |
50a45b0c-80e7-f944-bf29-f552bfa2e048 |
| Tarjeta de autenticador FIDO de ACS |
973446ca-e21c-9a9b-99f5-9b985a67af0f |
| Aplicación Allthenticator itinerancia BLE FIDO2, Allthenticator para Windows, Mac, Linux y lectores de puertas Allthenticate |
5ca1ab1e-1337-fa57-f1d0-a117e71ca702 |
| Tarjeta de clave FIDO 2.1 de Arculus [P71] |
3f59672f-20aa-4afe-b6f4-7e5e916b6d98 |
| Tarjeta de clave de Arculus FIDO2/U2F |
9d3df6ba-282f-11ed-a261-0242ac120002 |
| ATKey.Card CTAP2.0 |
d41f5a69-b817-4144-a13c-9ebd6d9254d6 |
| ATKey.Card NFC |
da1fa263-8b25-42b6-a820-c0036f21ba7f |
| ATKey.Pro CTAP2.0 |
e1a96183-5016-4f24-b55b-e3ae23614cc6 |
| ATKey.Pro CTAP2.1 |
e416201b-afeb-41ca-a03d-2281c28322aa |
| ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 |
| Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 |
| authenton1 CTAP2.1 |
b267239b-954f-4041-a01b-ee4f33c145b6 |
| Crayonic KeyVault K1 (Autenticador FIDO2 USB-NFC-BLE) |
be727034-574a-f799-5c76-0929e0430973 |
| Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 |
| Autenticador para Android Egomet FIDO2 |
1105e4ed-af1d-02ff-ffff-ffffffffffff |
| Ensurity ThinC | 454e5346-4944-4ffd-6c93-8e9267193e9a |
| Autenticador eWBM eFPA FIDO2 |
61250591-b2bc-4456-b719-0b17be90bb30 |
| Clave de seguridad de huella digital de Excelsecu eSecu FIDO2 |
d384db22-4d50-ebde-2eac-5765cf1e2a44 |
| Clave de seguridad de huella digital de Excelsecu eSecu FIDO2 |
20f0be98-9af9-986a-4b42-8eca4acb28e4 |
| Clave de seguridad de Excelsecu eSecu FIDO2 NFC |
fbefdf68-fe86-0106-213e-4d5fa24cbe2e |
| Clave de seguridad de Excelsecu eSecu FIDO2 NFC |
a3975549-b191-fd67-b8fb-017e2917fdb3 |
| Clave de seguridad de Excelsecu eSecu FIDO2 Pro |
0d9b2e56-566b-c393-2940-f821b7f15d6d |
| Clave de seguridad de Excelsecu eSecu FIDO2 Pro |
bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a |
| Clave de seguridad de Excelsecu eSecu FIDO2 |
cdbdaea2-c415-5073-50f7-c04e968640b6 |
| Autenticador Feitian AllinOne FIDO2 |
12ded745-4bed-47d4-abaa-e713f51d6393 |
| Autenticador Feitian BioPass FIDO2 |
77010bd7-212a-4fc9-b236-d2ca5e9d4084 |
| Autenticador Feitian ePass FIDO2-NFC |
ee041bce-25e5-4cdb-8f86-897fd6418464 |
| Clave de seguridad Titan de Google v2 |
42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 |
| Autenticador GoTrust Idem Card FIDO2 |
9f0d8150-baa5-4c00-9299-ad62c8bb4e87 |
| Autenticador GoTrust Idem Key FIDO2 |
3b1adb99-0dfe-46fd-90b8-7f7614a4de2a |
| HID Crescendo C2300 |
aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 |
| HID Crescendo C3000 |
c80dbd9a-533f-4a17-b941-1a2f1c7cedff |
| HID Crescendo Habilitado |
54d9fee8-e621-4291-8b18-7157b99c5bec |
Clave de HID Crescendo |
692db549-7ae5-44d5-a1e5-dd20a493b723 |
Clave V2 de HID Crescendo |
2d3bec26-15ee-4f5d-88b2-53622490270b |
| Hideez Key 4 FIDO2 SDK |
4e768f2c-5fab-48b3-b300-220eb487752b |
| Clave de seguridad de Hyper FIDO Bio |
d821a7d4-e97c-4cb6-bd82-4237731fd4be |
| Hyper FIDO Pro |
9f77e279-a6e2-4d58-b700-31e5943c6a98 |
| Autenticador HYPR FIDO2 |
0076631b-d4a0-427f-5773-0ec71c9e0279 |
| Autenticador IDmelon Android |
39a5647e-1853-446c-a1f6-a79bae9f5bc7 |
| Autenticador IDmelon iOS |
820d89ed-d65a-409e-85cb-f73f0578f82a |
| Autenticador IDmelon iOS |
820d89ed-d65a-409e-85cb-f73f0578f82a |
| IDPrime 3940 FIDO |
b50d5e0a-7f81-4959-9b12-f45407407503 |
| Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 |
4b3f8944-d4f2-4d21-bb19-764a986ec160 |
| Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 |
ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 |
| KONAI Secp256R1 Pruebas de conformidad con FIDO2 Autenticador CTAP2 |
f7c558a0-f465-11e8-b568-0800200c9a66 |
| KX701 SmartToken FIDO |
fec067a1-f1d0-4c5e-b4c0-cc3237475461 |
| NEOWAVE Badgeo FIDO2 |
c5703116-972b-4851-a3e7-ae1259843399 |
| NEOWAVE Winkeo FIDO2 |
3789da91-f943-46bc-95c3-50ea2012f03a |
| Autenticador Nymi FIDO2 |
0acf3011-bc60-f375-fb53-6f05f43154e0 |
| AUTENTICADOR OCTATCO EzFinger2 FIDO2 |
a1f52be5-dfab-4364-b51c-2bd496b14a56 |
| OneSpan DIGIPASS FX1 BIO |
30b5035e-d297-4ff1-b00b-addc96ba6a98 |
| OneSpan FIDO Touch |
30b5035e-d297-4fc1-b00b-addc96ba6a97 |
| Autenticador OnlyKey Secp256R1 FIDO2 CTAP2 |
998f358b-2dd2-4cbe-a43a-e8107438dfb3 |
| Autenticador Pone Biometrics OFFPAD |
69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 |
| Precision InnaIT Key FIDO 2 con certificación de nivel 2 |
88bbd2f0-342a-42e7-9729-dd158be5407a |
| RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 |
| Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 |
| Clave de seguridad de Yubico | b92c3f9a-c014-4056-887f-140a2501163b |
| Clave de seguridad de Yubico | f8a011f3-8c0a-4d15-8006-17111f9edc7d |
| Clave de seguridad de Yubico con NFC |
6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 |
| Clave de seguridad de Yubico con NFC |
149a2021-8ef6-4133-96b8-81f8d5b7f1f5 |
| Clave de seguridad NFC de Yubico |
a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa |
| Clave de seguridad NFC de Yubico Enterprise Edition |
0bb43545-fd2c-4185-87dd-feb0b2916ace |
| Autenticador Sentry Enterprises CTAP2 |
89b19028-256b-4025-8872-255358d950e4 |
| Autenticador SmartDisplayer BobeePass FIDO2 |
516d3969-5a57-5651-5958-4e7a49434167 |
| Clave Swissbit iShield FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 |
| Autenticador Token Ring FIDO2 | 91ad6b93-264b-4987-8737-3a690cad6917 |
| Clave de seguridad TOKEN2 FIDO2 |
ab32f0c6-2239-afbb-c470-d2ef4e254db7 |
| Clave de seguridad serie TOKEN2 PIN Plus |
eabb46cc-e241-80bf-ae9e-96fa6d2975cf |
| Clave de seguridad uTrust FIDO2 |
73402251-f2a8-4f03-873e-3cb6db604b03 |
| VALMIDO PRO FIDO |
5626bed4-e756-430b-a7ff-ca78c8b12738 |
| Clave de huella digital VeriMark Guard |
d94a29d9-52dd-4247-9c2d-8b818b610389 |
| Autenticador VinCSS FIDO2 |
5fdb81b8-53f0-4967-a881-f5ec26fe4d18 |
| Autenticador WiSECURE AuthTron USB FIDO2 |
504d7149-4e4c-3841-4555-55445a677357 |
| Serie YubiKey 5 FIPS |
73bb0cd4-e502-49b8-9c6f-b59445bf720b |
| Serie YubiKey 5 FIPS con luz |
85203421-48f9-4355-9bc8-8a53846e5083 |
| Serie YubiKey 5 FIPS con NFC |
c1f9a0bc-1dd2-404a-b27f-8e29047a43fd |
| Serie YubiKey 5 | cb69481e-8ff7-4039-93ec-0a2729a154a8 |
| Serie YubiKey 5 | ee882879-721c-4913-9775-3dfcce97072a |
| Serie YubiKey 5 con luz |
c5ef55ff-ad9a-4b9f-b580-adebafe026d0 |
| Serie YubiKey 5 con NFC |
2fc0579f-8113-47ea-b116-bb5a8db9202a |
| Serie YubiKey 5 con NFC |
fa2b99dc-9e39-4257-8f92-4a30d23c4118 |
| Serie YubiKey Bio | d8522d9f-575b-4866-88a9-ba99fa02f35b |
| Autenticador de tarjeta inteligente de Chunghwa Telecom FIDO2 |
175cd298-83d2-4a26-b637-313c07a6434e |
| Autenticador eWBM eFA310 FIDO2 |
95442b2e-f15e-4def-b270-efb106facb4e |
| Autenticador eWBM eFA320 FIDO2 |
87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c |
| Clave de huella digital de Excelsecu eSecu FIDO2 |
6002f033-3c07-ce3e-d0f7-0ffe5ed42543 |
| Autenticador Feitian BioPass FIDO2 Plus |
b6ede29c-3772-412c-8a78-539c1f4c62d2 |
| Autenticador Feitian ePass FIDO2 |
833b721a-ff5f-4d00-bb2e-bdda3ec01e29 |
| Feitian ePass Serie FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) |
234cd403-35a2-4cc2-8015-77ea280c77f5 |
| Autenticador Feitian ePass FIDO |
3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d |
| FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a |
| Tarjeta de huella digital FT-JCOS FIDO |
8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 |
| IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 |
| Tarjeta IDEMIA ID-ONE | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 |
| IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b |
| IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a |
| Autenticador ImproveID | 4c50ff10-1057-4fc6-b8ed-43a529530c3c |
| Autenticador KEY-ID FIDO2 |
d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 |
| Semiconductores NXP Pruebas de conformidad con FIDO2 Autenticador CTAP2 |
07a9f89c-6407-4594-9d56-621d5f1e358b |
| Autenticador de OpenSK | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 |
| SafeNet eToken Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 |
| SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 |
| Clave de seguridad NFC de Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d |
| Clave de seguridad NFC de Yubico Enterprise Edition |
47ab2fb4-66ac-4184-9ae1-86be814012d5 |
| Autenticador Solo Secp256R1 FIDO2 CTAP2 |
8876631b-d4a0-427f-5773-0ec71c9e0279 |
| Autenticador Solo Tap Secp256R1 FIDO2 CTAP2 |
8976631b-d4a0-427f-5773-0ec71c9e0279 |
| Autenticador Somu Secp256R1 FIDO2 CTAP2 |
9876631b-d4a0-427f-5773-0ec71c9e0279 |
| Clave Swissbit iShield Pro | 5d629218-d3a5-11ed-afa1-0242ac120002 |
| Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d |
| Serie YubiKey 5 | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b |
| Serie YubiKey 5 con luz |
a02167b9-ae71-4ac7-9a07-06432ebb6f1c |
| Serie YubiKey 5 con NFC |
a25342c0-3cdc-4414-8e46-f4807fca511c |
| Serie YubiKey Bio Edición con varios protocolos |
7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 |
| Serie YubiKey Bio (Perfil empresarial) |
83c47309-aabb-4108-8470-8be838b573cb |
Pasos siguientes
Para obtener más información sobre la compatibilidad de Microsoft Entra ID para la autenticación resistente a la suplantación de identidad (phishing) con claves de seguridad FIDO2 en exploradores y aplicaciones nativas, consulta Compatibilidad con FIDO2.