Ativar chaves de acesso (FIDO2) para a sua organização
Para empresas que usam senhas atualmente, as chaves de acesso (FIDO2) fornecem uma maneira perfeita para os trabalhadores se autenticarem sem inserir um nome de usuário ou senha. As chaves de acesso proporcionam maior produtividade para os trabalhadores e têm melhor segurança.
Este artigo lista os requisitos e as etapas para habilitar as chaves de acesso em sua organização. Depois de concluir estas etapas, os usuários em sua organização podem se registrar e entrar em suas contas do Microsoft Entra usando uma chave de acesso armazenada em uma chave de segurança FIDO2 ou no Microsoft Authenticator.
Para obter mais informações sobre como habilitar chaves de acesso no Microsoft Authenticator, consulte Como habilitar chaves de acesso no Microsoft Authenticator.
Para obter mais informações sobre a autenticação por chave de acesso, consulte Suporte para autenticação FIDO2 com ID do Microsoft Entra.
Nota
O Microsoft Entra ID atualmente oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está empenhada em proteger clientes e utilizadores com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas ao dispositivo para contas de trabalho.
Requisitos
- Microsoft Entra autenticação multifator (MFA).
- Chaves de segurança FIDO2 elegíveis para atestado com Microsoft Entra ID ou Microsoft Authenticator.
- Dispositivos que suportam autenticação por chave de acesso (FIDO2). Para dispositivos Windows que aderiram ao Microsoft Entra ID, a melhor experiência é no Windows 10 versão 1903 ou superior. Os dispositivos associados a híbridos devem executar o Windows 10 versão 2004 ou superior.
As chaves de acesso são suportadas nos principais cenários no Windows, macOS, Android e iOS. Para obter mais informações sobre cenários suportados, consulte Suporte para autenticação FIDO2 no Microsoft Entra ID.
Ativar método de autenticação por chave de acesso
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Métodos>de autenticação de proteção>Política de método de autenticação.
Sob a chave de segurança FIDO2 do método, defina a alternância como Ativar. Selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Apenas grupos de segurança são suportados.
Salve a configuração.
Nota
Se vir um erro quando tentar guardar, a causa poderá dever-se ao número de utilizadores ou grupos que estão a ser adicionados. Como solução alternativa, substitua os usuários e grupos que você está tentando adicionar por um único grupo, na mesma operação, e clique em Salvar novamente.
Configurações opcionais da chave de acesso
Existem algumas definições opcionais no separador Configurar para ajudar a gerir a forma como as chaves de acesso podem ser utilizadas para iniciar sessão.
Permitir configuração de autosserviço deve permanecer definido como Sim. Se definido como não, os usuários não poderão registrar uma chave de acesso por meio de MySecurityInfo, mesmo se habilitados pela política de Métodos de Autenticação.
Impor atestado deve ser definido como Sim se sua organização quiser ter certeza de que um modelo de chave de segurança FIDO2 ou provedor de chave de acesso é genuíno e vem do fornecedor legítimo.
- Para chaves de segurança FIDO2, exigimos que os metadados da chave de segurança sejam publicados e verificados com o Serviço de Metadados da FIDO Alliance e também passamos no outro conjunto de testes de validação da Microsoft. Para obter mais informações, consulte Tornar-se um fornecedor de chave de segurança FIDO2 compatível com a Microsoft.
- Para chaves de acesso no Microsoft Authenticator, atualmente não oferecemos suporte a atestado.
Aviso
A aplicação do atestado rege se uma chave de acesso é permitida apenas durante o registo. Os usuários que puderem registrar uma chave de acesso sem atestado não serão bloqueados durante o login se Impor atestado estiver definido como Sim posteriormente.
Política de restrição de chave
Impor restrições de chave deve ser definido como Sim somente se sua organização quiser permitir ou não apenas determinados modelos de chave de segurança ou provedores de chave de acesso, que são identificados pelo GUID de Atestado de Autenticador (AAGUID). Você pode trabalhar com seu fornecedor de chave de segurança para determinar o AAGUID da chave de acesso. Se a chave de acesso já estiver registrada, você pode encontrar o AAGUID visualizando os detalhes do método de autenticação da chave de acesso para o usuário.
Quando Impor restrições de chave estiver definido como Sim, você poderá selecionar Microsoft Authenticator (visualização) se a caixa de seleção for exibida no centro de administração. Isso preencherá automaticamente os AAGUIDs do aplicativo Authenticator para você na lista de restrição de chave. Caso contrário, pode adicionar manualmente os seguintes AAGUIDs para ativar a pré-visualização da chave de acesso do Autenticador:
- Autenticador para Android: de1e552d-db1d-4423-a619-566b625cdc84
- Autenticador para iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Aviso
As principais restrições definem a usabilidade de modelos ou provedores específicos para registro e autenticação. Se você alterar as restrições de chave e remover um AAGUID permitido anteriormente, os usuários que registraram anteriormente um método permitido não poderão mais usá-lo para entrar.
GUID de Atestado do Autenticador de Chave de Acesso (AAGUID)
A especificação FIDO2 requer que cada fornecedor de chave de segurança forneça um GUID de Atestado de Autenticador (AAGUID) durante o registro. Um AAGUID é um identificador de 128 bits que indica o tipo de chave, como marca e modelo. Espera-se também que os fornecedores de chaves de acesso em computadores e dispositivos móveis forneçam um AAGUID durante o registo.
Nota
O fornecedor deve garantir que o AAGUID seja idêntico em todas as chaves de segurança substancialmente idênticas ou provedores de chaves de acesso feitos por esse fornecedor, e diferente (com alta probabilidade) dos AAGUIDs de todos os outros tipos de chaves de segurança ou provedores de chaves de acesso. Para garantir isso, o AAGUID para um determinado modelo de chave de segurança ou provedor de chave de acesso deve ser gerado aleatoriamente. Para obter mais informações, consulte Autenticação da Web: uma API para acessar credenciais de chave pública - Nível 2 (w3.org).
Existem duas maneiras de obter o seu AAGUID. Você pode perguntar ao fornecedor da chave de segurança ou do provedor de chaves de acesso ou exibir os detalhes do método de autenticação da chave por usuário.
Provisionar chaves de segurança FIDO2 usando a API do Microsoft Graph (visualização)
Atualmente em visualização, os administradores podem usar o Microsoft Graph e clientes personalizados para provisionar chaves de segurança FIDO2 em nome dos usuários. O provisionamento requer a função Administrador de Autenticação ou um aplicativo cliente com permissão UserAuthenticationMethod.ReadWrite.All. As melhorias de provisionamento incluem:
- A capacidade de solicitar opções de criação WebAuthn do Microsoft Entra ID
- A capacidade de registrar a chave de segurança provisionada diretamente com o Microsoft Entra ID
Com essas novas APIs, as organizações podem criar seus próprios clientes para provisionar credenciais de chave de acesso (FIDO2) em chaves de segurança em nome de um usuário. Para simplificar este processo, são necessárias três etapas principais.
- Solicitar criaçãoOpções para um usuário: o ID do Microsoft Entra retorna os dados necessários para que seu cliente provisione uma credencial de chave de acesso (FIDO2). Isso inclui informações como informações do usuário, ID da terceira parte confiável, requisitos de política de credenciais, algoritmos, desafio de registro e muito mais.
- Provisione a credencial de chave de acesso (FIDO2) com as opções de criação: use o
creationOptions
e um cliente que ofereça suporte ao protocolo CTAP (Client to Authenticator Protocol) para provisionar a credencial. Durante esta etapa, você precisa inserir a chave de segurança e definir um PIN. - Registrar a credencial provisionada com o Microsoft Entra ID: Use a saída formatada do processo de provisionamento para fornecer ao Microsoft Entra ID os dados necessários para registrar a credencial de chave de acesso (FIDO2) para o usuário de destino.
Habilitar chaves de acesso usando a API do Microsoft Graph
Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso usando a API do Microsoft Graph. Para habilitar chaves de acesso, você precisa atualizar a política de métodos de autenticação como, pelo menos, um administrador de política de autenticação.
Para configurar a política usando o Graph Explorer:
Entre no Graph Explorer e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .
Recupere a política de métodos de autenticação:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Para desativar a imposição de atestado e impor restrições de chave para permitir apenas o AAGUID para RSA DS100, por exemplo, execute uma operação PATCH usando o seguinte corpo de solicitação:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }
Certifique-se de que a política de chave de acesso (FIDO2) está atualizada corretamente.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Eliminar uma chave de acesso
Para remover uma chave de acesso associada a uma conta de usuário, exclua a chave do método de autenticação do usuário.
Entre no centro de administração do Microsoft Entra e procure o usuário cuja chave de acesso precisa ser removida.
Selecione Métodos> de autenticação, clique com o botão direito do mouse em Chave de acesso (vinculado ao dispositivo) e selecione Excluir.
Impor o início de sessão com chave de acesso
Para fazer com que os usuários entrem com uma chave de acesso quando acessarem um recurso confidencial, você pode:
Use uma força de autenticação resistente a phishing integrada
Ou
Crie uma força de autenticação personalizada
As etapas a seguir mostram como criar uma política de Acesso Condicional de força de autenticação personalizada que permite a entrada por chave de acesso apenas para um modelo de chave de segurança específico ou provedor de chave de acesso. Para obter uma lista de provedores FIDO2, consulte Chaves de segurança FIDO2 qualificadas para atestado com ID do Microsoft Entra.
- Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
- Navegue até Proteção>Métodos>de autenticação Pontos fortes da autenticação.
- Selecione Nova força de autenticação.
- Forneça um Nome para sua nova força de autenticação.
- Opcionalmente, forneça uma Descrição.
- Selecione Chaves de acesso (FIDO2).
- Opcionalmente, se você quiser restringir por AAGUID (s) específico(s), selecione Opções avançadas e, em seguida , Adicionar AAGUID. Insira o(s) AAGUID(s) permitido(s). Selecione Guardar.
- Escolha Avançar e revise a configuração da política.
Problemas conhecidos
Utilizadores de colaboração B2B
O registro de credenciais FIDO2 não é suportado para usuários de colaboração B2B no locatário do recurso.
Provisionamento de chaves de segurança
O provisionamento do administrador e o desprovisionamento de chaves de segurança não estão disponíveis.
Alterações de UPN
Se o UPN de um usuário for alterado, você não poderá mais modificar as chaves de acesso para contabilizar a alteração. Se o usuário tiver uma chave de acesso, ele precisará entrar em Minhas informações de segurança, excluir a chave de acesso antiga e adicionar uma nova.
Próximos passos
Suporte nativo de aplicativo e navegador de autenticação sem senha (FIDO2)
FIDO2 chave de segurança Windows 10 entrar
Habilitar a autenticação FIDO2 para recursos locais
Registar chaves de segurança em nome dos utilizadores
Saiba mais sobre o registo de dispositivos
Saiba mais sobre a autenticação multifator do Microsoft Entra