Partekatu honen bidez:


Atestación de Microsoft Entra ID para proveedores de claves de seguridad FIDO2

Las claves de seguridad FIDO2 permiten una autenticación resistente a la suplantación de identidad (phishing). Pueden reemplazar las credenciales débiles por credenciales seguras de clave pública/privada con respaldo de hardware que no se pueden reutilizar, reproducir ni compartir entre servicios. Las claves de seguridad admiten escenarios de dispositivos compartidos, lo que te permite llevar tus credenciales contigo y autenticarte de forma segura en cualquier dispositivo compatible.

En la directiva de métodos de autenticación de Microsoft Entra ID, los administradores pueden aplicar la atestación para las claves de seguridad FIDO2. Cuando Aplicar atestación se establece en , Microsoft requiere metadatos adicionales de las claves de seguridad FIDO2 que se registran con el inquilino. Como proveedor, la clave de seguridad FIDO2 se puede usar cuando se aplica la atestación, si se cumplen los siguientes requisitos.

Nota:

Microsoft Entra ID admite actualmente claves de paso enlazadas al dispositivo almacenadas en claves de seguridad FIDO2 y en Microsoft Authenticator. Microsoft se compromete a proteger a los clientes y usuarios con claves de paso. Estamos invirtiendo en claves de paso sincronizadas y enlazadas al dispositivo para cuentas profesionales.

Requisitos para la atestación

Microsoft se basa en el FIDO Alliance Metadata Service (MDS) para determinar la compatibilidad de la clave de seguridad con Windows, el explorador Microsoft Edge y las cuentas en línea de Microsoft. Los proveedores informan de los datos al FIDO MDS.

Durante el registro FIDO2, Microsoft Entra ID requiere que las claves de seguridad proporcionen una instrucción de atestación. Para los proveedores, el formato de atestación esperado es empaquetado, tal y como se define en el estándar de FIDO.

Los requisitos específicos varían en función de cómo un administrador configura la directiva de métodos de autenticación de FIDO2.

Opción Aplicar atestación establecida en Sí Opción Aplicar atestación establecida en No
Debe proporcionar una instrucción de atestación empaquetada válida y un certificado completo que se encadene a las raíces de atestación extraídas de FIDO Alliance MDS para que Microsoft pueda validar los metadatos de la clave. Debe proporcionar una instrucción de atestación empaquetada válida (pero Microsoft omitirá los resultados de la comprobación de atestación) y un certificado completo (que no necesita estar asociado a una cadena de certificados determinada).

Nota:

Los proveedores son responsables de publicar todos los certificados de atestación raíz en FIDO Alliance MDS. De lo contrario, se puede producir un error en la comprobación de atestación.

Además, si se aplica la atestación, se aplican los siguientes requisitos:

  • Tu autenticador debe tener una certificación de FIDO2. Puede ser a cualquier nivel. Para obtener más información sobre la certificación, visite el sitio web de información general sobre la certificación de FIDO Alliance.
  • Los metadatos del producto deben cargarse en FIDO Alliance MDS y debes comprobar que los metadatos están en MDS. Los metadatos deben indicar que el autenticador admite:
    • FIDO 2.0 o superior.
    • Comprobación del usuario o PIN de cliente: Microsoft Entra ID requiere la comprobación del usuario con datos biométricos o PIN para todos los intentos de autenticación de FIDO2.
    • Claves residentes (o credenciales detectables): son necesarias para usar una clave de seguridad para iniciar sesión en Microsoft Entra ID sin introducir un nombre de usuario.
    • Extensión de secreto de códigos de autenticador de mensajes basados en hash (HMAC) o función pseudoaleatoria (PRF): esto es necesario para usar una clave de seguridad para desbloquear Windows en escenarios sin conexión.

Escalas de tiempo

Microsoft ingiere la versión más reciente de FIDO Alliance MDS cada mes. Puede haber un retraso máximo de cuatro semanas desde el momento en que la clave de seguridad FIDO2 aparece en FIDO Alliance MDS hasta que Microsoft reconoce el modelo de clave. Si la clave cumple los requisitos de atestación de Microsoft, aparecerá automáticamente en la página de asociado de FIDO2 de Microsoft.

Claves de seguridad FIDO2 aptas para la atestación con Microsoft Entra ID

En la tabla siguiente se incluye cada modelo de clave de seguridad FIDO2 enumerado en mdS versión 93 que es apto para la atestación con el identificador de Entra de Microsoft. Para cada modelo, la tabla muestra sus funcionalidades de características e identificador único global de autenticación de autenticación (AAGUID).

Descripción AAGUID Biografía USB NFC BLE
Autenticador FIDO de ACS 50a45b0c-80e7-f944-bf29-f552bfa2e048 n y n n
Tarjeta de autenticador FIDO de ACS 973446ca-e21c-9a9b-99f5-9b985a67af0f n n y n
Aplicación Allthenticator: itinerancia BLE FIDO2, Allthenticator para windows, Mac, Linux y lectores de puertas Allthenticate 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 y y n n
Tarjeta de clave FIDO 2.1 de Arculus [P71] 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 n y n n
Tarjeta de clave de Arculus FIDO2/U2F 9d3df6ba-282f-11ed-a261-0242ac120002 n y n n
ATKey.Card CTAP2.0 d41f5a69-b817-4144-a13c-9ebd6d9254d6 y n n n
ATKey.Card NFC da1fa263-8b25-42b6-a820-c0036f21ba7f y y y n
ATKey.Pro CTAP2.0 e1a96183-5016-4f24-b55b-e3ae23614cc6 y n n n
ATKey.Pro CTAP2.1 e416201b-afeb-41ca-a03d-2281c28322aa y y n n
ATKey.ProS ba76a271-6eb6-4171-874d-b6428dbe3437 y y n n
Atos CardOS FIDO2 1c086528-58d5-f211-823c-356786e36140 n y y n
authenton1 - CTAP2.1 b267239b-954f-4041-a01b-ee4f33c145b6 n y y n
Autenticador de tarjeta inteligente de Chunghwa Telecom FIDO2 175cd298-83d2-4a26-b637-313c07a6434e n n y n
Crayonic KeyVault K1 (Autenticador FIDO2 USB-NFC-BLE) be727034-574a-f799-5c76-0929e0430973 y y y y
Cryptnox FIDO2 9c835346-796b-4c27-8898-d6032f515cc5 n n y n
Autenticador para Android Egomet FIDO2 1105e4ed-af1d-02ff-ffff-ffffffffffff y n n n
Ensurity ThinC 454e5346-4944-4ffd-6c93-8e9267193e9a y y n n
Autenticador eWBM eFA310 FIDO2 95442b2e-f15e-4def-b270-efb106facb4e y n n n
Autenticador eWBM eFA320 FIDO2 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c y n n n
Autenticador eWBM eFPA FIDO2 61250591-b2bc-4456-b719-0b17be90bb30 y n n n
Clave de huella digital de Excelsecu eSecu FIDO2 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 y y n n
Clave de seguridad de huella digital de Excelsecu eSecu FIDO2 20f0be98-9af9-986a-4b42-8eca4acb28e4 y y n n
Clave de seguridad de huella digital de Excelsecu eSecu FIDO2 d384db22-4d50-ebde-2eac-5765cf1e2a44 y y n n
Clave de seguridad de Excelsecu eSecu FIDO2 NFC a3975549-b191-fd67-b8fb-017e2917fdb3 n y y n
Clave de seguridad de Excelsecu eSecu FIDO2 NFC fbefdf68-fe86-0106-213e-4d5fa24cbe2e n y y n
Clave de seguridad de Excelsecu eSecu FIDO2 Pro 0d9b2e56-566b-c393-2940-f821b7f15d6d n y y y
Clave de seguridad de Excelsecu eSecu FIDO2 PRO bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a n y y y
Clave de seguridad de Excelsecu eSecu FIDO2 cdbdaea2-c415-5073-50f7-c04e968640b6 n y n n
Autenticador Feitian AllinOne FIDO2 12ded745-4bed-47d4-abaa-e713f51d6393 y y y y
Autenticador Feitian BioPass FIDO2 77010bd7-212a-4fc9-b236-d2ca5e9d4084 y y n n
Autenticador Feitian BioPass FIDO2 Plus b6ede29c-3772-412c-8a78-539c1f4c62d2 y y n n
Autenticador Feitian ePass FIDO2 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 n y n n
Autenticador Feitian ePass FIDO2-NFC ee041bce-25e5-4cdb-8f86-897fd6418464 n y y n
Serie Feitian ePass FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) 234cd403-35a2-4cc2-8015-77ea280c77f5 n y y n
Autenticador Feitian iePass FIDO 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d n y n n
FIDO KeyPass S3 f4c63eff-d26c-4248-801c-3736c7eaa93a n y n n
Tarjeta de huella digital FT-JCOS FIDO 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 n n y n
Clave de seguridad Titan de Google v2 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 n y y n
Autenticador GoTrust Idem Card FIDO2 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 n n n n
Autenticador GoTrust Idem Key FIDO2 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a n n n n
HID Crescendo C2300 aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 n n y n
HID Crescendo C3000 c80dbd9a-533f-4a17-b941-1a2f1c7cedff n n y n
HID Crescendo Habilitado 54d9fee8-e621-4291-8b18-7157b99c5bec n n y n
Clave de HID Crescendo 692db549-7ae5-44d5-a1e5-dd20a493b723 n y y n
Clave HID Crescendo V2 2d3bec26-15ee-4f5d-88b2-53622490270b n y y n
Hideez Key 4 FIDO2 SDK 4e768f2c-5fab-48b3-b300-220eb487752b n y y y
Clave de seguridad de Hyper FIDO Bio d821a7d4-e97c-4cb6-bd82-4237731fd4be y n n n
Hyper FIDO Pro 9f77e279-a6e2-4d58-b700-31e5943c6a98 n n n n
Autenticador HYPR FIDO2 0076631b-d4a0-427f-5773-0ec71c9e0279 y n n n
IDCore 3121 Fido e86addcd-7711-47e5-b42a-c18257b0bf61 n n y n
Tarjeta IDEMIA ID-ONE 8d1b1fcb-3c76-49a9-9129-5515b346aa02 n y y n
Autenticador IDmelon Android 39a5647e-1853-446c-a1f6-a79bae9f5bc7 y n n n
Autenticador IDmelon iOS 820d89ed-d65a-409e-85cb-f73f0578f82a y n n n
IDPrime 3930 FIDO ca4cff1b-5a81-4404-8194-59aabcf1660b n n y n
IDPrime 3940 FIDO b50d5e0a-7f81-4959-9b12-f45407407503 n n y n
IDPrime 931 Fido 2194b428-9397-4046-8f39-007a1605a482 n n y n
IDPrime 941 Fido 2ffd6452-01da-471f-821b-ea4bf6c8676a n n y n
Autenticador ImproveID 4c50ff10-1057-4fc6-b8ed-43a529530c3c n y y n
Autenticador KEY-ID FIDO2 d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 n y n n
Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 4b3f8944-d4f2-4d21-bb19-764a986ec160 y y n n
Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 y y n n
Autenticador KONAI Secp256R1 FIDO2 Conformance Testing CTAP2 f7c558a0-f465-11e8-b568-0800200c9a66 y y y n
KX701 SmartToken FIDO fec067a1-f1d0-4c5e-b4c0-cc3237475461 n y y n
NEOWAVE Badgeo FIDO2 c5703116-972b-4851-a3e7-ae1259843399 n y y n
NEOWAVE Winkeo FIDO2 3789da91-f943-46bc-95c3-50ea2012f03a n y n n
Autenticador NXP Semiconductros FIDO2 Conformance Testing CTAP2 07a9f89c-6407-4594-9d56-621d5f1e358b n n n n
Autenticador Nymi FIDO2 0acf3011-bc60-f375-fb53-6f05f43154e0 y n y n
AUTENTICADOR OCTATCO EzFinger2 FIDO2 a1f52be5-dfab-4364-b51c-2bd496b14a56 y n n n
OneSpan DIGIPASS FX1 BIO 30b5035e-d297-4ff1-b00b-addc96ba6a98 y y y y
OneSpan DIGIPASS FX1a 30b5035e-d297-4ff1-010b-addc96ba6a98 y y n n
OneSpan DIGIPASS FX7 30b5035e-d297-4ff7-b00b-addc96ba6a98 n y n y
OneSpan FIDO Touch 30b5035e-d297-4fc1-b00b-addc96ba6a97 n y n y
Autenticador OnlyKey Secp256R1 FIDO2 CTAP2 998f358b-2dd2-4cbe-a43a-e8107438dfb3 n n n n
Autenticador de OpenSK 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 n y n n
Autenticador Pone Biometrics OFFPAD 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 y n n y
Precision InnaIT Key FIDO 2 con certificación de nivel 2 88bbd2f0-342a-42e7-9729-dd158be5407a y y n n
RSA DS100 7e3f3d30-3557-4442-bdae-139312178b39 n y n n
Safenet eToken FIDO efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 n y n n
SafeNet eToken Fusion 74820b05-a6c9-40f9-8fb0-9f86aca93998 n y n n
SafeNet eToken Fusion CC 23786452-f02d-4344-87ed-aaf703726881 n y n n
Clave de seguridad de Yubico b92c3f9a-c014-4056-887f-140a2501163b n y n n
Clave de seguridad de Yubico f8a011f3-8c0a-4d15-8006-17111f9edc7d n y n n
Clave de seguridad de Yubico con NFC 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 n y y n
Clave de seguridad de Yubico con NFC 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 n y y n
Clave de seguridad NFC de Yubico a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa n y y n
Clave de seguridad NFC de Yubico e77e3c64-05e3-428b-8824-0cbeb04b829d n y n n
Clave de seguridad NFC de Yubico: Enterprise Edition 0bb43545-fd2c-4185-87dd-feb0b2916ace n y y n
Clave de seguridad NFC de Yubico: Enterprise Edition 47ab2fb4-66ac-4184-9ae1-86be814012d5 n y n n
Autenticador Sentry Enterprises CTAP2 89b19028-256b-4025-8872-255358d950e4 y y n y
Autenticador SmartDisplayer BobeePass FIDO2 516d3969-5a57-5651-5958-4e7a49434167 n y y y
Autenticador Solo Secp256R1 FIDO2 CTAP2 8876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Autenticador Solo Tap Secp256R1 FIDO2 CTAP2 8976631b-d4a0-427f-5773-0ec71c9e0279 n n y n
Autenticador Somu Secp256R1 FIDO2 CTAP2 9876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Clave Swissbit iShield FIDO2 931327dd-c89b-406c-a81e-ed7058ef36c6 n y n n
Clave Swissbit iShield Pro 5d629218-d3a5-11ed-afa1-0242ac120002 n y y n
Taglio CTAP2.1 CS 092277e5-8437-46b5-b911-ea64b294acb7 n n y n
Taglio CTAP2.1 EP 7d2afadd-bf6b-44a2-a66b-e831fceb8eff n n y n
Thales IDPrime FIDO Bio 4d41190c-7beb-4a84-8018-adf265a6352d y n y n
Autenticador Token Ring FIDO2 91ad6b93-264b-4987-8737-3a690cad6917 y n y n
Clave de seguridad TOKEN2 FIDO2 ab32f0c6-2239-afbb-c470-d2ef4e254db7 n n n n
Clave de seguridad TOKEN2 PIN Plus Series eabb46cc-e241-80bf-ae9e-96fa6d2975cf n y y n
Clave de seguridad uTrust FIDO2 73402251-f2a8-4f03-873e-3cb6db604b03 n y y n
VALMIDO PRO FIDO 5626bed4-e756-430b-a7ff-ca78c8b12738 y n n y
Clave de huella digital VeriMark Guard d94a29d9-52dd-4247-9c2d-8b818b610389 y n n n
Autenticador VinCSS FIDO2 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 n n n n
Autenticador WiSECURE AuthTron USB FIDO2 504d7149-4e4c-3841-4555-55445a677357 y y n n
Serie YubiKey 5 FIPS 73bb0cd4-e502-49b8-9c6f-b59445bf720b n y n n
Serie YubiKey 5 FIPS con luz 85203421-48f9-4355-9bc8-8a53846e5083 n y n n
Serie YubiKey 5 FIPS con NFC c1f9a0bc-1dd2-404a-b27f-8e29047a43fd n y y n
Serie YubiKey 5 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b n y n n
Serie YubiKey 5 cb69481e-8ff7-4039-93ec-0a2729a154a8 n y n n
Serie YubiKey 5 ee882879-721c-4913-9775-3dfcce97072a n y n n
Serie YubiKey 5 con luz a02167b9-ae71-4ac7-9a07-06432ebb6f1c n y n n
Serie YubiKey 5 con luz c5ef55ff-ad9a-4b9f-b580-adebafe026d0 n y n n
Serie YubiKey 5 con NFC 2fc0579f-8113-47ea-b116-bb5a8db9202a n y y n
Serie YubiKey 5 con NFC a25342c0-3cdc-4414-8e46-f4807fca511c n y n n
Serie YubiKey 5 con NFC fa2b99dc-9e39-4257-8f92-4a30d23c4118 n y y n
YubiKey Bio Edición FIDO dd86a2da-86a0-4cbe-b462-4bd31f57bc6f y y n n
Serie YubiKey Bio d8522d9f-575b-4866-88a9-ba99fa02f35b y y n n
Serie YubiKey Bio - Edición con varios protocolos 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 y y n n
Serie YubiKey Bio - Edición con varios protocolos 90636e1f-ef82-43bf-bdcf-5255f139d12f y y n n
Serie YubiKey Bio - Edición con varios protocolos 1VDJSN 58276709-bb4b-4bb3-baf1-60eea99282a7 y y n n
Serie YubiKey Bio (perfil empresarial) 83c47309-aabb-4108-8470-8be838b573cb y y n n

Pasos siguientes

Para obtener más información sobre la compatibilidad de Microsoft Entra ID para la autenticación resistente a la suplantación de identidad (phishing) con claves de seguridad FIDO2 en exploradores y aplicaciones nativas, consulta Compatibilidad con FIDO2.