Habilitar chaves de acesso no Microsoft Authenticator (versão prévia)

Este artigo lista as etapas para habilitar e impor o uso de chaves de acesso no Authenticator para o Microsoft Entra ID. Primeiro, atualize a política de métodos de autenticação para permitir que os usuários finais entrem com chaves de acesso no Authenticator. Em seguida, você pode usar políticas de pontos fortes de autenticação de acesso condicional para impor o login com chave de acesso quando os usuários acessarem um recurso confidencial.

Requisitos

• Autenticação multifator (MFA) do Microsoft Entra
• Android 14 e posterior ou iOS 17 e posterior
• Uma conexão ativa com a Internet em qualquer dispositivo que faça parte do processo de registro/autenticação da chave de acesso. A conectividade com esses dois pontos de extremidade deve ser permitida em sua organização para habilitar o registro e a autenticação entre dispositivos:
  • cable.ua5v.com
  • cable.auth.com
• Para registro/autenticação entre dispositivos, ambos os dispositivos devem ter Bluetooth habilitado

Observação

Os usuários precisam instalar a versão mais recente do Authenticator para Android ou iOS para usar uma chave de acesso.

Para saber mais sobre onde você pode usar chaves de acesso no Authenticator para entrar, consulte Suporte para autenticação FIDO2 com o Microsoft Entra ID.

Habilitar chaves de acesso no Authenticator pelo centro de administração

Um administrador de política de autenticação precisa consentir para permitir o Authenticator nas Configurações de chave de acesso (FIDO2) da política de métodos de autenticação. Ele precisa permitir explicitamente os GUIDs de Atestado do Authenticator (AAGUIDs) para o Microsoft Authenticator para permitir que os usuários registrem senhas no aplicativo Authenticator. Não há nenhuma configuração para habilitar senhas na seção do aplicativo Microsoft Authenticator da política de Métodos de Autenticação.

1. Inicie sessão no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

2. Navegue até Proteção>Métodos de autenticação>Política de método de autenticação.

3. No método Passkey (FIDO2), selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Somente grupos de segurança são suportados.

4. Na guia Configurar, defina:

   • Defina Permitir configuração de autoatendimento como Sim. Se definido como Não, os usuários não poderão registrar uma chave de acesso usando Informações de segurança, mesmo que as chaves de acesso (FIDO2) estejam habilitadas pela política de métodos de autenticação.

   • Defina Impor atestado como Sim.

     Quando o atestado é habilitado na política de chave de acesso (FIDO), a ID do Microsoft Entra tenta verificar a legitimidade da chave de acesso que está sendo criada. Quando o usuário está registrando uma chave de acesso no Authenticator, o atestado verifica se o aplicativo Microsoft Authenticator legítimo criou a senha usando os serviços da Apple e do Google. Aqui estão mais detalhes:

     • iOS: o atestado do Authenticator usa o serviço de Atestado de Aplicativo do iOS para garantir a legitimidade do aplicativo Authenticator antes de registrar a chave de acesso.

       Observação

       O suporte para registrar senhas no Authenticator quando o atestado é imposto está sendo implementado para usuários do aplicativo iOS Authenticator. O suporte para registrar senhas atestadas no Authenticator em dispositivos Android está disponível para todos os usuários na versão mais recente do aplicativo.

     • Android:

       • Para o atestado Play Integrity, o atestado do Authenticator usa a API Play Integrity para garantir a legitimidade do app Authenticator antes de registrar a chave de acesso.
       • Para o atestado de chave, o atestado do autenticador usa o atestado de chave do Android para verificar se a chave de acesso que está sendo registrada tem suporte de hardware.

     Observação

     Para iOS e Android, o atestado do Authenticator depende dos serviços da Apple e do Google para verificar a autenticidade do aplicativo Authenticator. O uso intenso do serviço pode fazer com que o registro da chave de acesso falhe e os usuários podem precisar tentar novamente. Se os serviços da Apple e do Google estiverem inativos, o atestado do Autenticador bloqueará o registro que requer atestado até que os serviços sejam restaurados. Para monitorar o status do serviço Google Play Integrity, consulte Painel de status do Google Play. Para monitorar o status do serviço de Atestado de Aplicativo do iOS, consulte Status do Sistema.

   • As restrições de chave definem a usabilidade do uso de chaves de acesso específicas para registro e autenticação. Defina Impor restrições de chave como Sim para permitir ou bloquear apenas determinadas chaves de acesso, as quais são identificadas por seus AAGUIDs.

     Essa configuração deve ser Sim e você precisa adicionar os AAGUIDs do Microsoft Authenticator para permitir que os usuários registrem senhas no Authenticator, seja iniciando sessão no aplicativo Authenticator ou adicionando a Chave de acesso no Microsoft Authenticator de suas informações de segurança.

     As informações de segurança exigem que essa configuração seja definida como Sim para que os usuários possam escolher a chave de acesso no Authenticator e passar por um fluxo de registro de senha do Authenticator dedicado. Se você escolher Não, os usuários ainda poderão adicionar uma chave de acesso no Microsoft Authenticator escolhendo o método de chave de segurança ou chave de acesso, dependendo do sistema operacional e do navegador. No entanto, não esperamos que muitos usuários descubram e usem esse método.

     Se a sua organização atualmente não impuser restrições de chave e já tiver o uso ativo de chave secreta, você deverá coletar os AAGUIDs das chaves que estão sendo usadas hoje. Inclua esses usuários e os AAGUIDs do Autenticador para habilitar essa versão prévia. Você pode fazer isso com um script automatizado que analisa logs, como detalhes de registro e logs de entrada.

     Se você alterar as restrições de chave e remover um AAGUID permitido antes, os usuários que anteriormente registraram um método permitido não poderão mais usá-lo para entrar.

   • Defina Restringir chaves específicas como Permitir.

   • Selecione Microsoft Authenticator (versão preview) para adicionar automaticamente os AAGUIDs do aplicativo Authenticator à lista de restrição de chave ou adicione manualmente os seguintes AAGUIDs para permitir que os usuários registrem senhas no Authenticator iniciando sessão no aplicativo Authenticator ou passando por um fluxo guiado na página Informações de segurança:

     • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

     Observação

     Se você desativar as restrições de chaves, desmarque a caixa de seleção Microsoft Authenticator (versão preview) para que os usuários não sejam solicitados a configurar uma chave de acesso no aplicativo Authenticator em Informações de segurança.

   

5. Depois de concluir a configuração, selecione Salvar.

   Observação

   Se você vir um erro ao tentar salvar, substitua vários grupos por um único grupo em uma operação e clique em Salvar novamente.

Habilitar chaves de acesso no Authenticator usando o Explorador de Gráficos

Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso no Authenticator usando o Explorador do Graph. Aqueles atribuídos pelo menos a função Administrador de Política de Autenticação podem atualizar a política de métodos de autenticação para permitir os AAGUIDs para o Authenticator.

Para configurar a política usando o Explorador do Graph:

1. Entre no Explorador do Graph e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

2. Recupere a política de Métodos de autenticação:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Para desabilitar a imposição de atestado e impor restrições de chave para permitir apenas AAGUIDs para o Microsoft Authenticator, execute uma operação PATCH usando o seguinte corpo da solicitação:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Verifique se a política de chave de acesso (FIDO2) está atualizada corretamente.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Restringir o uso do Bluetooth a senhas no Authenticator

Algumas organizações restringem o uso do Bluetooth, o que inclui o uso de senhas. Nesses casos, as organizações podem permitir chaves de acesso permitindo o emparelhamento Bluetooth exclusivamente com autenticadores FIDO2 habilitados para chave de acesso. Para obter mais informações sobre como configurar o uso do Bluetooth apenas para senhas, consulte Senhas em ambientes restritos por Bluetooth.

Excluir uma chave de acesso

Se um usuário excluir uma chave de acesso no Authenticator, a chave de acesso também será removida dos métodos de login do usuário. Um administrador de política de autenticação também pode seguir estas etapas para excluir uma chave de acesso dos métodos de autenticação do usuário, mas não removerá a chave de acesso do Authenticator.

1. Entre no centro de administração do Microsoft Entra e pesquise o usuário cuja chave de acesso precisa ser removida.
2. Selecione Métodos de autenticação> clique com o botão direito do mouse em Chave de segurança FIDO2 e selecione Excluir.

Observação

A menos que o usuário tenha iniciado a exclusão da chave de acesso no Authenticator, ele também precisará remover a chave de acesso no Authenticator em seu dispositivo.

Impor o início de sessão com chaves de acesso no Authenticator

Para fazer com que os usuários entrem com uma chave de acesso quando acessarem um recurso confidencial, use a força de autenticação resistente a phishing interna ou crie uma força de autenticação personalizada seguindo estas etapas:

1. Entre no centro de administração do Microsoft Entra como administrador de acesso condicional.

2. Navegue até Proteção>Métodos de autenticação>Forças de autenticação.

3. Selecione Nova força de autenticação.

4. Forneça um Nome descritivo para sua nova força de autenticação.

5. Opcionalmente, forneça uma Descrição.

6. Selecione Chaves de acesso (FIDO2) e, em seguida, selecione Opções avançadas.

7. Você pode selecionar a força da MFA resistente a phishing ou adicionar AAGUIDs para senhas no Authenticator:

   • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

8. Escolha Próximo e revise a configuração da política.

Próximas etapas

Suporte para chave de acesso no Windows