Habilite senhas (FIDO2) para sua organização

Artigo
04/13/2024

Para empresas que usam senhas atualmente, as chaves de acesso (FIDO2) fornecem uma maneira perfeita para os funcionários se autenticarem sem inserir um nome de usuário ou senha. As chaves de acesso proporcionam maior produtividade aos trabalhadores e oferecem melhor segurança.

Esse artigo lista requisitos e etapas para habilitar chaves de acesso em sua organização. Depois de concluir essas etapas, os usuários da sua organização poderão registrar-se e entrar na conta Microsoft Entra usando uma chave de acesso armazenada em uma chave de segurança FIDO2 ou no Microsoft Authenticator.

Para obter mais informações sobre como habilitar as chaves de acesso no Microsoft Authenticator, consulte Como habilitar chaves de passagem no Microsoft Authenticator.

Para obter mais informações sobre autenticação de chave de acesso, veja Suporte para autenticação FIDO2 com Microsoft Entra ID.

Observação

Atualmente, o Microsoft Entra ID oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está comprometida em proteger clientes e usuários com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas a dispositivos para contas corporativas.

Requisitos

MFA (autenticação multifator) do Microsoft Entra.
Chaves de segurança FIDO2 compatíveis ou Microsoft Authenticator.
Dispositivos que suportam autenticação de chave de acesso (FIDO2). Para dispositivos Windows associados ao Microsoft Entra ID, a melhor experiência é no Windows 10 versão 1903 ou superior. Dispositivos ingressados de forma híbrida devem executar o Windows 10 versão 2004 ou superior.

As chaves de acesso são suportadas nos principais cenários do Windows, macOS, Android e iOS. Para obter mais informações sobre cenários suportados, veja Suporte para autenticação FIDO2 no Microsoft Entra ID.

Habilitar método de autenticação por chave de acesso

Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Proteção>Métodos de autenticação>Política de método de autenticação.
No método Chave de segurança FIDO2, selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Somente grupos de segurança são suportados.
Salvar a configuração.

Observação

Se você vir um erro ao tentar salvar, a causa poderá ser o número de usuários ou grupos sendo adicionados. Como alternativa, substitua os usuários e grupos que você está tentando adicionar por um único grupo, na mesma operação e clique em Salvar novamente.

Configurações opcionais de senha

Existem algumas configurações opcionais na guia Configurar para ajudar a gerenciar como as chaves de acesso podem ser usadas para login.

Captura de tela das opções de chave de segurança FIDO2.

Permitir configuração de autoatendimento deve permanecer definido como Sim. Se definido como não, seus usuários não poderão registrar uma chave de acesso por meio do MySecurityInfo, mesmo se habilitado pela política de Métodos de Autenticação.
Impor atestado deve ser definido como Sim se sua organização quiser ter certeza de que um modelo de chave de segurança FIDO2 ou provedor de chave de acesso é genuíno e vem do fornecedor legítimo.
- Para chaves de segurança FIDO2, exigimos que os metadados da chave de segurança sejam publicados e verificados com o FIDO Alliance Serviço de Metadados de Instância e também passem por outro conjunto de testes de validação da Microsoft. Para obter mais informações, confira O que é uma chave de segurança compatível com a Microsoft?.
- Para chaves de acesso no Microsoft Authenticator, atualmente não oferecemos suporte ao atestado.
Aviso

A aplicação do atestado determina se uma chave de acesso é permitida apenas durante o registro. Os usuários que conseguirem registrar uma chave de acesso sem atestado não serão bloqueados durante o login se Impor atestado estiver definido como Sim posteriormente.

Política de Restrição de Chave

Aplicar restrições de chave deve ser definido como Sim somente se sua organização quiser permitir ou proibir apenas determinados modelos de chave de segurança ou provedores de chave de acesso, que são identificados por seu GUID de atestado de autenticador (AAGUID). Você pode trabalhar com seu fornecedor de chave de segurança para determinar o AAGUID da chave de acesso. Se a chave de acesso já estiver registrada, você poderá encontrar o AAGUID visualizando os detalhes do método de autenticação da chave de acesso do usuário.
Quando Aplicar restrições de chave estiver definido como Sim, você poderá selecionar Microsoft Authenticator (versão prévia) se a caixa de seleção for exibida no centro de administração. Isso preencherá automaticamente os AAGUIDs do aplicativo Authenticator para você na lista de restrições de chave.

Aviso

As principais restrições definem a usabilidade de modelos ou provedores específicos para registro e autenticação. Se você alterar as restrições de chave e remover um AAGUID permitido antes, os usuários que anteriormente registraram um método permitido não poderão mais usá-lo para entrar.

GUID de atestado do autenticador de chave de acesso (AAGUID)

A especificação FIDO2 exige que cada fornecedor de chave de segurança forneça um GUID de atestado de autenticação (AAGUID) durante o registro. Um AAGUID é um identificador de 128 bits que indica o tipo de chave, como a marca e o modelo. Espera-se também que os provedores de senha em desktops e dispositivos móveis forneçam um AAGUID durante o registro.

Observação

O fornecedor deve garantir que o AAGUID seja idêntico em todas as chaves de segurança ou provedores de senha substancialmente idênticos feitos por esse fornecedor e diferente (com alta probabilidade) dos AAGUIDs de todos os outros tipos de chaves de segurança ou provedores de senha. Para garantir isso, o AAGUID para um determinado modelo de chave de segurança ou provedor de chave de acesso deve ser gerado aleatoriamente. Para obter mais informações, consulte Autenticação da Web: uma API para acessar Credenciais de Chave Pública - Nível 2 (w3.org).

Há duas maneiras de obter o AAGUID. Você pode perguntar ao fornecedor da chave de segurança ou do provedor de senha ou visualizar os detalhes do método de autenticação da chave por usuário.

Captura de tela de Visualizar AAGUID para chave de acesso.

Habilite chaves de acesso usando a Microsoft Graph API

Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso usando a Microsoft Graph API. Para habilitar chaves de acesso, você precisa atualizar a política de métodos de autenticação como Administrador Global ou Administrador de Política de Autenticação.

Para configurar a política usando o Explorador do Graph:

Entre no Explorador do Graph e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

Recupere a política de Métodos de autenticação:

GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Para desabilitar a imposição de atestado e impor restrições de chave para permitir apenas o AAGUID para RSA DS100, por exemplo, execute uma operação PATCH usando o seguinte corpo de solicitação:

PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

Certifique-se de que a política de chave de acesso (FIDO2) esteja atualizada corretamente.

GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Excluir uma chave de acesso

Para remover uma chave de acesso associada a uma conta de usuário, exclua a chave do método de autenticação do usuário.

Entre no centro de administração do Microsoft Entra e pesquise o usuário cuja chave de acesso precisa ser removida.
Selecione Métodos de autenticação> clique com o botão direito em Chave de acesso (vinculada ao dispositivo) e selecione Excluir.

Para fazer com que os usuários se conectem com uma chave de acesso ao acessar um recurso confidencial, você pode:

Usar uma força de autenticação resistente a phishing interna

Ou
Criar uma força de autenticação personalizada

As etapas a seguir mostram como criar uma política de acesso condicional com a força de autenticação personalizada que permite a entrada de chave de acesso apenas para um modelo de chave de segurança ou provedor de chave de acesso específico. Para obter uma lista de provedores FIDO2, confira Parceiros atuais do fornecedor de hardware FIDO2.

Entre no centro de administração do Microsoft Entra como administrador de acesso condicional.
Navegue até Proteção>Métodos de autenticação>Forças de autenticação.
Selecione Nova força de autenticação.
Forneça um Nome para sua nova força de autenticação.
Opcionalmente, forneça uma Descrição.
Selecione chaves de acesso (FIDO2).
Opcionalmente, se você deseja restringir por AAGUID(s) específico, selecione Opções avançadas depois Adicionar AAGUID. Insira os AAGUID(s) permitidos. Selecione Salvar.
Escolha Próximo e revise a configuração da política.

Problemas conhecidos

Usuários da Colaboração B2B

Não há suporte para o registro de credenciais FIDO2 para usuários de colaboração B2B no locatário do recurso.

Provisionamento da chave de segurança

O provisionamento e desprovisionamento de chaves de segurança pelo administrador não está disponível.

Alterações de UPN

Se o UPN de um usuário for alterado, você não poderá mais modificar as chaves de acesso para levar em conta a alteração. Se o usuário tiver uma chave de acesso, ele precisará entrar em Minhas informações de segurança, excluir a chave de acesso antiga e adicionar uma nova.