Habilitar chaves de acesso no Microsoft Authenticator

Este artigo lista as etapas para habilitar e impor o uso de chaves de acesso no Authenticator para o Microsoft Entra ID. Primeiro, atualize a política de métodos de autenticação para permitir que os usuários finais entrem com chaves de acesso no Authenticator. Em seguida, você pode usar políticas de pontos fortes de autenticação de acesso condicional para impor o login com chave de acesso quando os usuários acessarem um recurso confidencial.

Requisitos

  • Autenticação multifator (MFA) do Microsoft Entra
  • Android 14 e posterior ou iOS 17 e posterior
  • Uma conexão de Internet ativa em qualquer dispositivo que faça parte do processo de registro/autenticação de chave de acesso. A conectividade com a esses dois pontos de extremidade deve ser permitida em sua organização para habilitar o registro e a autenticação entre dispositivos:
  • Para registro/autenticação entre dispositivos, ambos os dispositivos devem ter Bluetooth habilitado

Observação

Os usuários precisam instalar a versão mais recente do Authenticator para Android ou iOS para usar uma chave de acesso.

Para saber mais sobre onde você pode usar chaves de acesso no Authenticator para entrar, consulte Suporte para autenticação FIDO2 com o Microsoft Entra ID.

Habilitar chaves de acesso no Authenticator pelo centro de administração

Um administrador de política de autenticação precisa consentir para permitir o Authenticator nas Configurações de chave de acesso (FIDO2) da política de métodos de autenticação. Ele precisa permitir explicitamente os GUIDs de Atestado do Authenticator (AAGUIDs) para o Microsoft Authenticator para permitir que os usuários registrem senhas no aplicativo Authenticator. Não há nenhuma configuração para habilitar senhas na seção do aplicativo Microsoft Authenticator da política de Métodos de Autenticação.

  1. Inicie sessão no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

  2. Navegue até Proteção>Métodos de autenticação>Política de método de autenticação.

  3. No método Passkey (FIDO2), selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Somente grupos de segurança são suportados.

  4. Na guia Configurar, defina:

    • Defina Permitir configuração de autoatendimento como Sim. Se definido como Não, os usuários não poderão registrar uma chave de acesso usando informações de segurança, mesmo se as chaves de passagem (FIDO2) estiverem habilitadas pela política de métodos de autenticação.

    • Defina Impor atestado para Sim

      Quando o atestado está habilitadona política de chave de acesso (FIDO), o Microsoft Entra ID tenta verificar a legitimidade da chave de acesso que está sendo criada. Quando o usuário está registrando uma chave de acesso no Authenticator, o atestado verifica se o aplicativo legítimo do Microsoft Authenticator criou a chave de acesso usando os serviços da Apple e do Google. Aqui estão mais detalhes:

      • iOS: o atestado do Authenticator usa o serviço Atestado de Aplicativo do iOS para garantir a legitimidade do aplicativo do Authenticator antes de registrar a chave de acesso.

        Observação

        O suporte para registrar chaves de acesso no Authenticator quando o atestado é obrigatório está sendo implementado atualmente para usuários do aplicativo Authenticator no iOS. O suporte para registrar chaves de acesso atestadas no Authenticator em dispositivos Android está disponível para todos os usuários na última versão do aplicativo.

      • Android:

        • Para atestado de integridade de reprodução, o atestado doo Authenticator usa a API de Integridade de Executar para garantir a legitimidade do aplicativo do Authenticator antes de registrar a chave de acesso.
        • Para atestado de chave, o atestado do Authenticator usa o atestado de chave pelo Android para verificar se a chave de acesso que está sendo registrada tem suporte de hardware.

      Observação

      Para iOS e Android, o atestado do Authenticator conta com os serviços da Apple e do Google para verificar a autenticidade do aplicativo do Authenticator. O uso pesado do serviço pode fazer com que o registro da chave de acesso falhe e os usuários talvez precisem tentar novamente. Se os serviços da Apple e do Google estiverem inativos, o atestado do Authenticator bloqueará o registro que requer atestado até que os serviços sejam restaurados. Para monitorar o status do serviço de Integridade do Google Play, consulte o Painel de status do Google Play. Para monitorar o status do serviço de Atestado de aplicativo iOS, consulte o Status do Sistema.

    • As restrições de chave definem a usabilidade do uso de chaves de acesso específicas para registro e autenticação. Defina Impor restrições de chave como Sim para permitir ou bloquear apenas determinadas chaves de acesso, as quais são identificadas por seus AAGUIDs.

      Essa configuração deve ser Sim e você precisa adicionar os AAGUIDs do Microsoft Authenticator para permitir que os usuários registrem senhas no Authenticator, seja iniciando sessão no aplicativo Authenticator ou adicionando a Chave de acesso no Microsoft Authenticator de suas informações de segurança.

      As informações de segurança exigem que essa configuração seja definida como Sim para que os usuários possam escolher a chave de acesso no Authenticator e passar por um fluxo de registro de senha do Authenticator dedicado. Caso escolhaNão, os usuários ainda poderão adicionar uma chave de acesso no Microsoft Authenticator escolhendo o método de Chave de segurança ou chave de acesso, dependendo do sistema operacional e do navegador. No entanto, não esperamos que muitos usuários descubram e usem esse método.

      Se a sua organização atualmente não impuser restrições de chave e já tiver o uso ativo de chave secreta, você deverá coletar os AAGUIDs das chaves que estão sendo usadas hoje. Inclua esses usuários e os AAGUIDs do Authenticator. É possível fazer isso com um script automatizado que analisa logs como detalhes de registro e logs de entrada.

      Se você alterar as restrições de chave e remover um AAGUID permitido antes, os usuários que anteriormente registraram um método permitido não poderão mais usá-lo para entrar.

    • Defina Restringir chaves específicas como Permitir.

    • Selecione Microsoft Authenticator para adicionar automaticamente os AAGUIDs do aplicativo Authenticator à lista de restrição de chave ou adicione manualmente os seguintes AAGUIDs para permitir que os usuários registrem senhas no Authenticator iniciando sessão no aplicativo Authenticator ou passando por um fluxo guiado na página Informações de segurança:

      • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Observação

      Se você desativar as restrições de chave, desmarque a caixa de seleção Microsoft Authenticator para que os usuários não sejam solicitados a configurar uma chave de acesso no aplicativo Authenticator informações de segurança.

    Captura de tela mostrando o Microsoft Authenticator habilitado para chave de acesso.

  5. Depois de concluir a configuração, selecione Salvar.

    Observação

    Se você vir um erro ao tentar salvar, substitua vários grupos por um único grupo em uma operação e clique em Salvar novamente.

Habilitar chaves de acesso no Authenticator usando o Explorador de Gráficos

Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso no Authenticator usando o Explorador do Graph. Aqueles atribuídos pelo menos a função Administrador de Política de Autenticação podem atualizar a política de métodos de autenticação para permitir os AAGUIDs para o Authenticator.

Para configurar a política usando o Explorador do Graph:

  1. Entre no Explorador do Graph e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

  2. Recupere a política de Métodos de autenticação:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. Para desabilitar a imposição de atestado e impor restrições de chave para permitir apenas AAGUIDs para o Microsoft Authenticator, execute uma operação PATCH usando o seguinte corpo da solicitação:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": true,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "90a3ccdf-635c-4729-a248-9b709135078f",
                "de1e552d-db1d-4423-a619-566b625cdc84"
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. Verifique se a política de chave de acesso (FIDO2) está atualizada corretamente.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

Restringir o uso de Bluetooth a chaves de acesso no Authenticator

Algumas organizações restringem o uso de Bluetooth, o que inclui o uso de chaves de acesso. Nesses casos, as organizações podem permitir chaves de acesso permitindo o emparelhamento do Bluetooth exclusivamente com autenticadores de FIDO2 habilitados para chave de acesso. Para obter mais informações sobre como configurar o uso do Bluetooth apenas para chaves de acesso, confira Chaves de Acesso em Ambientes com Restrição de Bluetooth.

Excluir uma chave de acesso

Se um usuário excluir uma chave de acesso no Authenticator, ela também será removida dos métodos de entrada do usuário. Um Administrador de Política de Autenticação também pode seguir estas etapas para excluir uma chave de acesso dos métodos de autenticação do usuário, mas não removerá a chave de acesso do Authenticator.

  1. Entre no centro de administração do Microsoft Entra e pesquise o usuário cuja chave de acesso precisa ser removida.
  2. Selecione Métodos de autenticação> clique com o botão direito do mouse em Chave de segurança FIDO2 e selecione Excluir.

Observação

A menos que o usuário iniciou a exclusão da chave de acesso no Authenticator, ele também precisará remover ela no Authenticator em seu dispositivo.

Impor o início de sessão com chaves de acesso no Authenticator

Para fazer com que os usuários entrem com uma chave de acesso quando acessarem um recurso confidencial, use a força de autenticação resistente a phishing interna ou crie uma força de autenticação personalizada seguindo estas etapas:

  1. Entre no centro de administração do Microsoft Entra como administrador de acesso condicional.

  2. Navegue até Proteção>Métodos de autenticação>Forças de autenticação.

  3. Selecione Nova força de autenticação.

  4. Forneça um Nome descritivo para sua nova força de autenticação.

  5. Opcionalmente, forneça uma Descrição.

  6. Selecione Chaves de acesso (FIDO2) e, em seguida, selecione Opções avançadas.

  7. Selecione a Força do MFA resistente a phishing ou adicionar AAGUIDs para chaves de acesso no Authenticator:

    • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f
  8. Escolha Próximo e revise a configuração da política.

Próximas etapas

Suporte para chave de acesso no Windows