Habilitar chaves de acesso no Microsoft Authenticator (versão prévia)

Este artigo lista as etapas para habilitar e impor o uso de chaves de acesso no Authenticator para o Microsoft Entra ID. Primeiro, atualize a política de métodos de autenticação para permitir que os usuários finais entrem com chaves de acesso no Authenticator. Em seguida, você pode usar políticas de pontos fortes de autenticação de acesso condicional para impor o login com chave de acesso quando os usuários acessarem um recurso confidencial.

Requisitos

• Autenticação multifator (MFA) do Microsoft Entra
• Android 14 e posterior ou iOS 17 e posterior
• Uma conexão de Internet ativa em qualquer dispositivo que faça parte do processo de registro/autenticação de chave de acesso
• Para registro/autenticação entre dispositivos, ambos os dispositivos devem ter Bluetooth habilitado

Observação

Os usuários precisam instalar a versão mais recente do Authenticator para Android ou iOS para usar uma chave de acesso.

Para saber mais sobre onde você pode usar chaves de acesso no Authenticator para entrar, consulte Suporte para autenticação FIDO2 com o Microsoft Entra ID.

Habilitar chaves de acesso no Authenticator pelo centro de administração

A política do Microsoft Authenticator não oferece a opção de habilitar uma chave de acesso no Authenticator. Em vez disso, para habilitar as chaves de acesso no Authenticator, você deve editar a política de métodos de autenticação da chave de segurança FIDO2.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

2. Navegue até Proteção>Métodos de autenticação>Política de método de autenticação.

3. No método Chave de segurança FIDO2, selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Somente grupos de segurança são suportados.

4. Na guia Configurar, defina:

   • Permitir configuração de autoatendimento para Sim

   • Impor atestado para Não

   • impor restrições de chave para Sim

   • Restringir chaves específicas para Permitir

   • Selecione Microsoft Authenticator (versão prévia) se a caixa de seleção for exibida no centro de administração. Essa configuração preenche automaticamente os AAGUIDs do aplicativo Authenticator para você na lista de restrições de chave. Outra opção seria adicionar manualmente os seguintes AAGUIDs para habilitar a versão prévia da chave de acesso do Authenticator:

     • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

   

Aviso

As restrições de chave definem a usabilidade do uso de chaves de acesso específicas para registro e autenticação. Se você alterar as restrições de chave e remover um AAGUID permitido antes, os usuários que anteriormente registraram um método permitido não poderão mais usá-lo para entrar. Se a sua organização atualmente não impuser restrições de chave e já tiver o uso ativo de chave secreta, você deverá coletar os AAGUIDs das chaves que estão sendo usadas hoje. Adicione-os à lista Permitidos, juntamente com os AAGUIDs do Authenticator, para habilitar esta pré-visualização. Esta tarefa pode ser realizada com um script automatizado que analisa logs como detalhes de registro e logs de entrada.

A lista a seguir descreve outras configurações opcionais:

Geral

• Permitir configuração de autoatendimento deve permanecer definido como Sim. Se definido como não, os usuários não poderão registrar uma chave de acesso por meio do MySecurityInfo, mesmo se habilitado pela política Métodos de Autenticação.
• Impor atestado deve ser definido como Não para a versão prévia. O suporte ao atestado está planejado para disponibilidade geral.

Política de Restrição de Chave

• Impor restrições de chave deve ser definido como Sim somente se sua organização quiser permitir ou proibir determinadas chaves de acesso do FIDO, que são identificadas por seu AAGUID (GUID de Atestado do Authenticator). Se preferir, você pode inserir manualmente os AAGUIDs do aplicativo Authenticator ou restringir especificamente dispositivos Android ou iOS. Outra opção seria adicionar manualmente os seguintes AAGUIDs para habilitar a versão prévia da chave de acesso do Authenticator:

  • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
  • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

Depois de concluir a configuração, selecione Salvar.

Habilitar chaves de acesso no Authenticator usando o Explorador do Graph

Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso no Authenticator usando o Explorador do Graph. Aqueles atribuídos pelo menos a função Administrador de Política de Autenticação podem atualizar a política de métodos de autenticação para permitir os AAGUIDs para o Authenticator.

Para configurar a política usando o Explorador do Graph:

1. Entre no Explorador do Graph e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

2. Recupere a política de Métodos de autenticação:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Para desabilitar a imposição de atestado e impor restrições de chave para permitir apenas AAGUIDs para o Microsoft Authenticator, execute uma operação PATCH usando o seguinte corpo da solicitação:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Verifique se a política de chave de acesso (FIDO2) está atualizada corretamente.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Excluir uma chave de acesso

Para remover uma chave de acesso associada a uma conta de usuário, exclua a chave do método de autenticação do usuário.

1. Entre no centro de administração do Microsoft Entra e pesquise o usuário cuja chave de acesso precisa ser removida.

2. Selecione Métodos de autenticação> clique com o botão direito do mouse em Chave de segurança FIDO2 e selecione Excluir.

   

Observação

Os usuários também precisam remover a chave de acesso do Authenticator em seu dispositivo.

Impor entrada com chaves de acesso no Authenticator

Para fazer com que os usuários entrem com uma chave de acesso quando acessarem um recurso confidencial, use a força de autenticação resistente a phishing interna ou crie uma força de autenticação personalizada seguindo estas etapas:

1. Entre no centro de administração do Microsoft Entra como administrador de acesso condicional.

2. Navegue até Proteção>Métodos de autenticação>Forças de autenticação.

3. Selecione Nova força de autenticação.

4. Forneça um Nome descritivo para sua nova força de autenticação.

5. Opcionalmente, forneça uma Descrição.

6. Selecione Chaves de acesso (FIDO2) e, em seguida, selecione Opções avançadas.

7. Adicionar AAGUIDs para chaves de acesso no Authenticator:

   • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

8. Escolha Próximo e revise a configuração da política.

Próximas etapas

Suporte para chave de acesso no Windows