Suporte para autenticação FIDO2 com o Microsoft Entra ID
O Microsoft Entra ID permite que as chaves de acesso sejam usadas para autenticação sem senha. Este artigo aborda quais aplicativos nativos, navegadores da Web e sistemas operacionais dão suporte à autenticação sem senha usando chaves de acesso com o Microsoft Entra ID.
Observação
Atualmente, o Microsoft Entra ID oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está comprometida em proteger clientes e usuários com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas a dispositivos para contas corporativas.
Suporte a aplicativos nativos
Suporte a aplicativos nativos com o agente de autenticação (versão prévia)
Os aplicativos da Microsoft fornecem suporte nativo à autenticação do FIDO2 em Preview para todos os usuários que têm um agente de autenticação instalado para seu sistema operacional. A autenticação FIDO2 também tem suporte na visualização de aplicativos de terceiros usando o agente de autenticação.
As tabelas a seguir listam quais agentes de autenticação são aceitos para diferentes sistemas operacionais.
| SO | Agente de autenticação | Suporta a FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Portal da Empresa do Microsoft Intune 1 | ✅ |
| Android2 | Autenticador ou Portal da Empresa | ❌ |
1No macOS, o plug-in do logon único (SSO) do Microsoft Enterprise é necessário para habilitar o Portal da Empresa como um agente de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos de plug-in de SSO, incluindo o registro no gerenciamento de dispositivo móvel. Para autenticação FIDO2, verifique se você executa a versão mais recente de aplicativos nativos.
2O suporte a aplicativos nativos para FIDO2 no Android está em desenvolvimento.
Se um usuário instalou um agente de autenticação, ele pode optar por entrar com uma chave de segurança quando acessar um aplicativo como o Outlook. Eles são redirecionados para iniciar sessão com o FIDO2 e redirecionados de volta para o Outlook como um usuário conectado após a autenticação bem-sucedida.
Suporte a aplicativos da Microsoft sem agente de autenticação
No momento, não é possível entrar em aplicativos nativos da Microsoft com autenticação FIDO2 quando o usuário não tem um agente de autenticação no iOS, macOS e Android.
Suporte a aplicativos de terceiros sem agente de autenticação
Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de segurança quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, confira Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.
Suporte ao navegador da Web
Esta tabela mostra o suporte de navegadores à autenticação no Microsoft Entra ID e em contas da Microsoft usando o FIDO2. Consumidores criam as contas da Microsoft para serviços como Xbox, Skype ou Outlook.com.
| Sistema operacional | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/D |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/D | N/D | N/D |
| Linux | ✅ | ❌ | ❌ | N/D |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N/D |
Observação
As chaves de acesso no Authenticator não funcionam com navegadores como Google Chrome ou Microsoft Edge em dispositivos Android. O suporte para criar e entrar usando chaves de acesso do Authenticator em navegadores depende das atualizações de API disponibilizadas pela plataforma Android.
Suporte ao navegador para cada plataforma
As tabelas a seguir mostram quais transportes têm suporte em cada plataforma. Os tipos de dispositivo com suporte incluem USB, NFC(comunicação por campo de proximidade) e BLE (Bluetooth de Baixa Energia).
Windows
| Navegador | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Versão mínima do navegador
A seguir estão os requisitos mínimos de versão do navegador no Windows.
| Navegador | Versão mínima |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 version 19031 |
| Firefox | 66 |
1 Todas as versões do novo Microsoft Edge com base em Chromium dão suporte a FIDO2. O suporte no Microsoft Edge herdado foi adicionado em 1903.
macOS
| Navegador | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/D | N/D |
| Chrome | ✅ | N/D | N/D |
| Firefox2 | ✅ | N/D | N/D |
| Safari2 | ✅ | N/D | N/D |
1Não há suporte para as chaves de segurança NFC e BLE no macOS da Apple.
2O novo registro de chave de segurança não funciona nesses navegadores macOS porque eles não solicitam a configuração da biometria ou do PIN.
ChromeOS
| Navegador1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Não há suporte para o registro de chave de segurança no navegador ChromeOS ou Chrome.
Linux
| Navegador | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Navegador1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/D |
| Chrome | ✅ | ✅ | N/D |
| Firefox | ✅ | ✅ | N/D |
| Safari | ✅ | ✅ | N/D |
1O novo registro de chave de segurança não funciona nesses navegadores iOS porque eles não solicitam a configuração da biometria ou do PIN.
2Não há suporte para chaves de segurança BLE no iOS da Apple.
Android
| Navegador1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1O registro de chave de segurança com o Microsoft Entra ID ainda não tem suporte no Android.
2Não há suporte para chaves de segurança BLE no Android pelo Google.
Problemas conhecidos
Suporte do PowerShell
O Microsoft Graph PowerShell dá suporte ao FIDO2. Alguns módulos do PowerShell que usam o Internet Explorer em vez do Edge não têm a capacidade de realizar a autenticação FIDO2. Por exemplo, os módulos do PowerShell para SharePoint Online ou Teams, ou quaisquer scripts do PowerShell que exijam credenciais de administrador, não solicitam o FIDO2.
Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A CBA (autenticação baseada em certificado) funciona em todos os navegadores. Se você puder habilitar a CBA nessas contas de administrador, poderá exigir a CBA em vez do FIDO2 nesse ínterim.