Diagrama de la autenticación de aplicaciones con Microsoft Entra ID.
Microsoft Entra ID permite usar claves de acceso para la autenticación sin contraseña. En este artículo se tratan las aplicaciones nativas, los exploradores web y los sistemas operativos que admiten la autenticación sin contraseña mediante claves de acceso con Microsoft Entra ID.
Nota:
Microsoft Entra ID admite actualmente claves de paso enlazadas al dispositivo almacenadas en claves de seguridad FIDO2 y en Microsoft Authenticator. Microsoft se compromete a proteger a los clientes y usuarios con claves de paso. Estamos invirtiendo en claves de paso sincronizadas y enlazadas al dispositivo para cuentas profesionales.
Compatibilidad con aplicaciones nativas
Compatibilidad de aplicaciones nativas con el agente de autenticación (versión preliminar)
Las aplicaciones de Microsoft proporcionan compatibilidad nativa con la autenticación FIDO2 en versión preliminar para todos los usuarios que tienen instalado un agente de autenticación para su sistema operativo. La autenticación FIDO2 también se admite en versión preliminar para aplicaciones de terceros mediante el agente de autenticación.
En las tablas siguientes se enumeran los agentes de autenticación que se admiten para diferentes sistemas operativos.
| SO | Agente de autenticación | Admite FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Portal de empresa de Microsoft Intune 1 | ✅ |
| Android2 | Autenticador o Portal de empresa | ❌ |
1En macOS, se requiere el complemento Inicio de sesión único (SSO) de Microsoft Enterprise para habilitar el Portal de empresa como agente de autenticación. Los dispositivos que ejecutan macOS deben cumplir los requisitos del complemento SSO, incluida la inscripción en la administración de dispositivos móviles. Para la autenticación FIDO2, asegúrese de ejecutar la versión más reciente de las aplicaciones nativas.
2La compatibilidad de aplicaciones nativas con FIDO2 en Android está en desarrollo.
Si un usuario instaló un agente de autenticación, puede optar por iniciar sesión con una clave de seguridad cuando acceda a una aplicación como Outlook. Se les redirige para iniciar sesión con FIDO2 y se redirigen de nuevo a Outlook como un usuario que ha iniciado sesión después de la autenticación correcta.
Compatibilidad con aplicaciones de Microsoft sin agente de autenticación
El inicio de sesión en aplicaciones nativas de Microsoft con autenticación FIDO2 cuando el usuario no tiene un agente de autenticación en iOS, macOS y Android no se admite en este momento.
Compatibilidad con aplicaciones de terceros sin agente de autenticación
Si el usuario todavía tiene que instalar un agente de autenticación, todavía puede iniciar sesión con una clave de seguridad cuando accede a aplicaciones habilitadas para MSAL. Para obtener más información sobre los requisitos de las aplicaciones habilitadas para MSAL, consulte Compatibilidad con la autenticación sin contraseña con claves FIDO2 en aplicaciones que desarrolle.
Compatibilidad con exploradores web
Esta tabla muestra la compatibilidad de los navegadores con la autenticación de cuentas Microsoft Entra ID y Microsoft mediante FIDO2. Los consumidores crean cuentas de Microsoft para servicios como Xbox, Skype o Outlook.com.
| SO | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/D |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/D | N/D | N/D |
| Linux | ✅ | ❌ | ❌ | N/D |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N/D |
Nota:
Las llaves de acceso en Authenticator no funcionan con exploradores como Google Chrome o Microsoft Edge en dispositivos Android. La compatibilidad con la creación e inicio de sesión con las llaves de acceso Authenticator de los exploradores depende de las actualizaciones de API que la plataforma Android pueda poner a disposición.
Compatibilidad con exploradores web para cada plataforma
En las tablas siguientes se muestran los transportes que se admiten en cada plataforma. Entre los tipos de dispositivos admitidos se incluyen USB, transmisión de datos en proximidad (NFC) y Bluetooth de bajo consumo (BLE).
Windows
| Browser | USB | NFC | BLE |
|---|---|---|---|
| perimetral | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Versión mínima del explorador
Estos son los requisitos mínimos de la versión del explorador de Windows.
| Browser | Versión mínima |
|---|---|
| Chrome | 76 |
| Edge | Windows 10, versión 19031 |
| Firefox | 66 |
1Todas las versiones del nuevo Microsoft Edge basado en Chromium son compatibles con FIDO2. La compatibilidad con versiones anteriores de Microsoft Edge se agregó en la 1903.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/D | N/D |
| Chrome | ✅ | N/D | N/D |
| Firefox2 | ✅ | N/D | N/D |
| Safari2 | ✅ | N/D | N/D |
1Apple no admite las claves de seguridad NFC y BLE en macOS.
2El nuevo registro de clave de seguridad no funciona en estos exploradores macOS porque no se le pide que configure los datos biométricos ni el PIN.
ChromeOS
| Explorador 1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1El registro de claves de seguridad no se admite en ChromeOS ni en el explorador Chrome.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| perimetral | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Explorador 1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/D |
| Chrome | ✅ | ✅ | N/D |
| Firefox | ✅ | ✅ | N/D |
| Safari | ✅ | ✅ | N/D |
1El nuevo registro de clave de seguridad no funciona en los exploradores iOS porque no se le pide que configure los datos biométricos ni el PIN.
2Apple no admite las claves de seguridad BLE en iOS.
Android
| Explorador 1 | USB | NFC | BLE2 |
|---|---|---|---|
| perimetral | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1 El registro de claves de seguridad con Microsoft Entra ID aún no se admite en Android.
2Google no admite claves de seguridad BLE en Android.
Problemas conocidos
Compatibilidad con PowerShell
Microsoft Graph PowerShell admite FIDO2. Algunos módulos de PowerShell que usan Internet Explorer en lugar de Edge no son capaces de realizar la autenticación de FIDO2. Por ejemplo, los módulos de PowerShell para SharePoint Online o Teams, o cualquier script de PowerShell que requiera credenciales de administrador, no solicitan FIDO2.
Como solución alternativa, la mayoría de los proveedores pueden colocar certificados en las claves de seguridad FIDO2. La autenticación basada en certificados (CBA) funciona en todos los exploradores. Si puede habilitar CBA para las cuentas de administrador, puede exigir CBA, en lugar de FIDO2, entretanto.
Pasos siguientes
Habilitación del inicio de sesión con clave de seguridad sin contraseña