Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os perfis de passkey permitem configurações granulares baseadas em grupo para autenticação FIDO2 usando passkeys. Em vez de uma única configuração para todo o locatário, você pode definir requisitos específicos, como atestado, tipo de chave de acesso (vinculada ao dispositivo ou sincronizada) ou restrições do GUID de Atestado do Autenticador (AAGUID). Você pode aplicar requisitos em perfis de chave secreta separados para diferentes grupos de usuários, como administradores versus equipe de linha de frente.
Observação
Um Administrador de Política de Autenticação precisa configurar um perfil passkey (versão prévia) para habilitar chaves de passagem sincronizadas (versão prévia). Para obter mais informações, consulte Como habilitar as chaves de passagem sincronizadas (FIDO2) na ID do Microsoft Entra (versão prévia).
O que são perfis passkey?
Um perfil de chave de passagem é um conjunto nomeado de regras de política que rege como os usuários em grupos de destino podem se registrar e autenticar com chaves de passagem (FIDO2). Os perfis dão suporte a controles avançados, como:
- Impor o atestado: Habilitado, Desabilitado
- Tipos de destino: associado ao dispositivo, Sincronizado
- Autenticadores específicos de destino: permitir ou bloquear autenticadores específicos por seu AAGUID. Para obter mais informações, consulte o GUID de Atestado do Autenticador.
Antes de começar
- Os usuários devem concluir a MFA (autenticação multifator) nos últimos cinco minutos antes de poderem registrar uma chave de passagem (FIDO2).
- Os usuários precisam de um autenticador que dê suporte aos requisitos de atestado do Microsoft Entra ID. Para obter mais informações, consulte o atestado de ID do Microsoft Entra para fornecedores de chaves de segurança FIDO2.
- Os dispositivos devem dar suporte à autenticação FIDO2 (chave de acesso). Para dispositivos Windows associados ao Microsoft Entra ID, a melhor experiência é no Windows 10 versão 1903 ou superior. Os dispositivos ingressados de forma híbrida devem executar o Windows 10 versão 2004 ou superior.
- Se um perfil de chave de acesso para chaves de acesso associadas ao dispositivo e sincronizadas for direcionado ao Microsoft Authenticator, os usuários precisarão usar o Microsoft Authenticator na versão iOS 6.8.37 ou Android versão 6.2507.4749.
- Limite de tamanho de política
- A política de métodos de autenticação dá suporte a um limite de tamanho de 20 KB. Não é possível salvar mais perfis de chave de acesso após o limite de tamanho ser atingido. Para verificar o tamanho, use a API Get authenticationMethodsPolicy do Microsoft Graph para recuperar o JSON para a política de métodos de autenticação. Salve a saída como um arquivo .txt, clique com o botão direito do mouse e selecione Propriedades para exibir o tamanho do arquivo.
- Tamanhos de referência:
- Política de chave de acesso base sem alterações: 1,44 KB
- Destino com 1 perfil de chave de acesso aplicado: 0,23 KB
- Destino com 5 perfis de chave de acesso aplicados: 0,4 KB
- Perfil passkey sem AAGUIDs: 0,4 KB
- Perfil de passkey com 10 AAGUIDs: 0,3 KB
Habilitar perfis de chave de acesso (versão prévia)
Observação
Após a aceitação de perfis de chave de acesso (versão prévia), as configurações da política de chave de acesso global (FIDO2) serão transferidas automaticamente para um perfil de chave de acesso padrão. Há suporte para um máximo de três perfis de chave de acesso, incluindo o perfil de chave de acesso padrão . O suporte para mais perfis de passkey está em desenvolvimento.
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue atépolíticas de métodos> deAutenticaçãode> da > do Entra.
Selecione Passkey (FIDO2) e selecione Aceitar para visualização pública na faixa de visualização pública para ver os perfis de chave de acesso (versão prévia).
Observação
As configurações anteriores da política FIDO2 são transferidas automaticamente para o perfil de passkey padrão. Os alvos de usuário anteriores também são transferidos automaticamente para Ativar e Alvo.
Para concluir a aceitação, selecione o perfil de chave de acesso padrão.
Para tipos de destino, selecione os tipos de chaves de acesso que você deseja permitir.
Clique em Salvar.
Criar um novo perfil de chave de acesso
Na guia Configurar , clique em + Adicionar perfil de chave de acesso.
Preencha os detalhes do perfil. A tabela a seguir explica o impacto se você impor o atestado. Para obter outros requisitos de atestado de fornecedor, consulte o atestado de ID do Microsoft Entra para fornecedores de chaves de segurança FIDO2.
Aplicar certificação Não (padrão) Yes Tipos de chave de acesso com suporte Sincronizado e associado ao dispositivo Vinculado somente ao dispositivo Senha necessária para apresentar uma declaração de atestado válida Não requer uma chave de acesso para apresentar uma declaração de atestado válida no momento do registro.
A ID do Microsoft Entra não pode garantir nenhum atributo sobre uma chave de acesso, incluindo se ela estiver sincronizada ou associada ao dispositivo, ou a criação, modelo ou provedor específico, mesmo se você selecionar AAGUIDs específicos de destino. Use listas AAGUID como um guia de política, em vez de um controle de segurança estrito quando Impor o atestado é definido como No.Necessário no momento do registro para que o Microsoft Entra ID possa verificar a marca e o modelo do autenticador em relação a metadados confiáveis. O atestado garante à sua organização que a chave de acesso é genuína e vem do fornecedor declarado.
O atestado é verificado somente durante o registro; As chaves de acesso que você adicionou anteriormente sem atestado não serão bloqueadas da entrada se você habilitar o atestado mais tarde.A próxima tabela descreve as opções de destino do perfil.
Meta Description Tipos de destino Você pode permitir chaves de passe associadas ao dispositivo e chaves de passagem sincronizadas se Impor o atestado estiver definido como Não. Destinar AAGUIDs específicos Você pode permitir ou bloquear determinados modelos de chave de segurança ou provedores de chave de passagem, identificados por seu AAGUID, para controlar quais autenticadores os usuários podem usar para registrar e entrar com chaves de passagem.
Se você remover um AAGUID permitido anteriormente, os usuários que registraram essa chave de acesso (FIDO2) como um método permitido não poderão mais usá-lo para entrar.Clique em Salvar.
Aplicar um perfil de chave de acesso a um grupo de destino
Selecione Habilitar e Direcionar.
Selecione Adicionar destino e selecione Todos os usuários ou Selecionar destinos para selecionar grupos.
Selecione quais perfis de chave de acesso você deseja atribuir a um destino específico.
Observação
Um grupo de destino (por exemplo, Engenharia) pode ser configurado para múltiplos perfis de senha. Quando um usuário está abrangido por vários perfis de chave de acesso, o registro e a autenticação com uma chave são permitidos se atenderem totalmente aos requisitos de um dos perfis abrangidos. Não há nenhuma ordem específica para a verificação. Se um usuário for membro de um grupo excluído na política de método de autenticação FIDO2 (Passkeys), ele será bloqueado do registro ou entrada da chave de passagem FIDO2. Os grupos excluídos têm precedência sobre grupos incluídos.
Excluir um perfil de chave de acesso
Selecione Configurar.
Selecione a lixeira à direita do perfil de chave de acesso que você deseja excluir e selecione Salvar.
Observação
Você só poderá excluir um perfil se ele não for atribuído a um grupo de usuários em Habilitar e direcionar. Se a lixeira estiver cinza, primeiro remova todos os alvos atribuídos a esse perfil.
Desabilitar perfis de chave de acesso (versão prévia)
Observação
A desativação dos perfis de chave de acesso (versão prévia) implicará:
- Remover todos os perfis passkey e seus respectivos alvos associados
- Reverta sua política de chave de acesso para a configuração padrão do perfil de chave de acesso, incluindo seus alvos de usuários
- Desabilitar o suporte para chaves de acesso sincronizadas
Verifique se nenhum administrador será bloqueado de suas contas devido a essas alterações.
- Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue atépolíticas de métodos> deAutenticaçãode> da > do Entra.
- Selecione Passkey (FIDO2) e selecione Desativar a visualização pública na barra de visualização pública.
- Examine as condições de recusa e clique em recusar se você aceitar.
Exemplos de casos de uso para perfis de chave de acesso
Observação
Se um perfil de chave de acesso para chaves de acesso associadas ao dispositivo e sincronizadas for direcionado ao Microsoft Authenticator, os usuários precisarão usar o Microsoft Authenticator na versão iOS 6.8.37 ou Android versão 6.2507.4749.
Consideração especial para contas com privilégios elevados
| Perfil Passkey | Grupos-alvo | Tipos de chaves de acesso | Imposição de atestado | Restrições de chave |
|---|---|---|---|---|
| Todas as chaves de passagem associadas ao dispositivo (atestado obrigatório) | Administradores de TI Executivos Engenharia |
Associado ao dispositivo | Enabled | Disabled |
| Todas as chaves de acesso sincronizadas ou associadas ao dispositivo | RH Sales |
Associado ao dispositivo, Sincronizado | Disabled | Disabled |
Distribuição direcionada de chaves de passe no Microsoft Authenticator
| Perfil Passkey | Grupos-alvo | Tipos de chaves de acesso | Imposição de atestado | Restrições de chaves |
|---|---|---|---|---|
| Todas as chaves de acesso associadas ao dispositivo (excluindo o Microsoft Authenticator) | Todos os usuários | Associado ao dispositivo | Enabled | Enabled – Comportamento: Bloquear - AAGUIDs: Microsoft Authenticator para iOS, Microsoft Authenticator para Android |
| Chaves de passagem no Microsoft Authenticator | Grupo piloto 1 Grupo piloto 2 |
Associado ao dispositivo | Enabled | Enabled Comportamento: Permitir - AAGUIDs: Microsoft Authenticator para iOS, Microsoft Authenticator para Android |
Conteúdo relacionado
Como habilitar as chaves de passagem sincronizadas (FIDO2) na ID do Microsoft Entra (versão prévia)