Microsoft Entra ID- Nachweis für Anbieter von FIDO2-Sicherheitsschlüsseln
FIDO2-Sicherheitsschlüssel ermöglichen eine phishing-sichere Authentifizierung. Sie können schwache Anmeldedaten durch starke, hardwaregestützte Public/Private-Key-Anmeldedaten ersetzen, die nicht wiederverwendet, wiedergegeben oder für andere Dienste freigegeben werden können. Sicherheitsschlüssel unterstützen Szenarien mit gemeinsam genutzten Geräten, so dass Sie Ihre Anmeldeinformationen bei sich tragen und sich auf jedem unterstützten Gerät sicher authentifizieren können.
In der Richtlinie für Microsoft Entra ID-Authentifizierungsmethoden können Administratoren den Nachweis für FIDO2-Sicherheitsschlüssel erzwingen. Wenn Nachweis erzwingen auf Ja festgelegt wird, verlangt Microsoft zusätzliche Metadaten von FIDO2-Sicherheitsschlüsseln, die beim Mandanten registriert sind. Als Anbieter kann Ihr FIDO2-Sicherheitsschlüssel verwendet werden, wenn der Nachweis erzwungen wird, und die folgenden Anforderungen erfüllt sind.
Hinweis
Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.
Nachweisanforderungen
Microsoft stützt sich auf den FIDO Alliance Metadata Service (MDS), um die Kompatibilität der Sicherheitsschlüssel mit Windows, dem Microsoft Edge-Browser und den Online-Konten von Microsoft zu bestimmen. Anbietende melden Daten an das FIDO MDS.
Bei der FIDO2-Registrierung verlangt Microsoft Entra ID, dass die Sicherheitsschlüssel eine Bescheinigung bereitstellen. Für Anbietende ist das erwartete Nachweisformat gepackt, wie durch den FIDO-Standard definiert.
Die spezifischen Anforderungen variieren je nachdem, wie ein Administrator die FIDO2-Authentifizierungsmethoden-Richtlinie konfiguriert.
Erzwingen des Nachweises auf "Ja" | Erzwingen des Nachweises auf Nein |
---|---|
Es muss eine gültige gepackte Nachweiserklärung und ein vollständiges Zertifikat bereitstellen, das auf den aus dem FIDO Alliance MDS extrahierten Nachweisstamm zurückgreift, damit Microsoft die Metadaten des Schlüssels validieren kann. | Es muss eine gültige gepackte Nachweiserklärung (Microsoft ignoriert jedoch die Nachweisüberprüfungsergebnisse) und ein vollständiges Zertifikat (das nicht mit einer bestimmten Zertifikatkette verbunden sein muss) enthalten. |
Hinweis
Die Anbieter sind dafür verantwortlich, alle Stammzertifikate auf dem FIDO Alliance MDS zu veröffentlichen; andernfalls kann die Verifizierung der Zertifikate fehlschlagen.
Wenn die Bescheinigung erzwungen wird, gelten zusätzlich die folgenden Anforderungen:
- Ihr Authentifikator muss eine FIDO2-Zertifizierung haben. Dies kann auf jeder Ebene geschehen. Weitere Informationen zur Zertifizierung finden Sie auf der FIDO Alliance Certification Overview-Website.
- Ihre Produkt-Metadaten müssen in das FIDO Alliance MDS hochgeladen werden, und Sie müssen überprüfen, ob Ihre Metadaten im MDS enthalten sind. Die Metadaten müssen angeben, dass Ihr Authentifikator Folgendes unterstützt:
- rev2.00.032 oder höher
- Benutzerverifizierung oder Client-PIN - Microsoft Entra ID erfordert für alle FIDO2-Authentifizierungsversuche eine Benutzerverifizierung mit biometrischen Daten oder PIN.
- Residente Schlüssel (oder auffindbare Anmeldeinformationen) - Residente Schlüssel werden benötigt, um sich mit einem Sicherheitsschlüssel ohne Eingabe eines Benutzernamens bei Microsoft Entra ID anzumelden.
- HMAC-Geheimniserweiterung (Hash-Based Message Authenticator Codes) oder PRF-Erweiterung (Pseudo-Random Function) – Eine HMAC-Geheimniserweiterung oder PRF-Erweiterung ist für die Verwendung eines Sicherheitsschlüssels zum Entsperren von Windows in Offline-Szenarien erforderlich.
Zeitpläne
Microsoft nimmt jeden Monat die neueste Version des FIDO Alliance MDS auf. Von dem Zeitpunkt, an dem Ihr FIDO2-Sicherheitsschlüssel im FIDO Alliance MDS erscheint, bis zur Anerkennung des Schlüsselmodells durch Microsoft können maximal vier Wochen vergehen. Wenn Ihr Schlüssel die Microsoft-Bestätigungsanforderungen erfüllt, wird er automatisch auf der Microsoft FIDO2-Partnerseite angezeigt.
FIDO2-Sicherheitsschlüssel, die zum Nachweis mit Microsoft Entra ID berechtigt sind
Die folgende Tabelle enthält die einzelnen FIDO2-Sicherheitsschlüsselmodelle, die in MDS Version 93 aufgeführt sind und für den Nachweis mit Microsoft Entra ID berechtigt sind. In der Tabelle werden für jedes Modell der AAGUID-Wert (Authenticator Attestation Globally Unique Identifier, Authenticator-Nachweis-GUID) und Featurefunktionen angezeigt.
Beschreibung | AAGUID | Biografie | USB | NFC | BLE |
---|---|---|---|---|---|
ACS-FIDO-Authentifikator | 50a45b0c-80e7-f944-bf29-f552bfa2e048 | ||||
ACS FIDO-Authentifizierungskarte | 973446ca-e21c-9a9b-99f5-9b985a67af0f | ||||
Allthenticator App: Roaming BLE FIDO2 Allthenticator für Windows, Mac, Linux, und Allthenticate Door Reader | 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 | ||||
Arculus FIDO 2.1 Schlüsselkarte [P71] | 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 | ||||
Arculus FIDO2/U2F Schlüsselkarte | 9d3df6ba-282f-11ed-a261-0242ac120002 | ||||
ATKey.Card CTAP2.0 | d41f5a69-b817-4144-a13c-9ebd6d9254d6 | ||||
ATKey.Card NFC | da1fa263-8b25-42b6-a820-c0036f21ba7f | ||||
ATKey.Pro CTAP2.0 | e1a96183-5016-4f24-b55b-e3ae23614cc6 | ||||
ATKey.Pro CTAP2.1 | e416201b-afeb-41ca-a03d-2281c28322aa | ||||
ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 | ||||
Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 | ||||
authenton1 - CTAP2.1 | b267239b-954f-4041-a01b-ee4f33c145b6 | ||||
Chunghwa Telecom FIDO2 Smart Card Authentifikator | 175cd298-83d2-4a26-b637-313c07a6434e | ||||
Crayonic KeyVault K1 (USB-NFC-BLE FIDO2 Authentifikator) | be727034-574a-f799-5c76-0929e0430973 | ||||
Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 | ||||
Egomet FIDO2 Authentifikator für Android | 1105e4ed-af1d-02ff-ffff-ffffffffffff | ||||
Ensurity ThinC | 454e5346-4944-4ffd-6c93-8e9267193e9a | ||||
eWBM eFA310 FIDO2-Authentifikator | 95442b2e-f15e-4def-b270-efb106facb4e | ||||
eWBM eFA320 FIDO2-Authentifikator | 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c | ||||
eWBM eFPA FIDO2-Authentifikator | 61250591-b2bc-4456-b719-0b17be90bb30 | ||||
Excelsecu eSecu FIDO2 Fingerabdruck Schlüssel | 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 | ||||
Excelsecu eSecu FIDO2 Fingerabdruck-Sicherheitsschlüssel | 20f0be98-9af9-986a-4b42-8eca4acb28e4 | ||||
Excelsecu eSecu FIDO2 Fingerabdruck-Sicherheitsschlüssel | d384db22-4d50-ebde-2eac-5765cf1e2a44 | ||||
Excelsecu eSecu FIDO2 NFC Sicherheitsschlüssel | a3975549-b191-fd67-b8fb-017e2917fdb3 | ||||
Excelsecu eSecu FIDO2 NFC Sicherheitsschlüssel | fbefdf68-fe86-0106-213e-4d5fa24cbe2e | ||||
Excelsecu eSecu FIDO2 Pro-Sicherheitsschlüssel | 0d9b2e56-566b-c393-2940-f821b7f15d6d | ||||
Excelsecu eSecu FIDO2 PRO-Sicherheitsschlüssel | bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a | ||||
Excelsecu eSecu FIDO2-Sicherheitsschlüssel | cdbdaea2-c415-5073-50f7-c04e968640b6 | ||||
Feitian AllinOne FIDO2-Authentifikator | 12ded745-4bed-47d4-abaa-e713f51d6393 | ||||
Feitian BioPass FIDO2-Authentifikator | 77010bd7-212a-4fc9-b236-d2ca5e9d4084 | ||||
Feitian BioPass FIDO2 Plus-Authentifikator | b6ede29c-3772-412c-8a78-539c1f4c62d2d2 | ||||
Feitian ePass FIDO2-Authentifikator | 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 | ||||
Feitian ePass FIDO2-NFC-Authentifikator | ee041bce-25e5-4cdb-8f86-897fd6418464 | ||||
Feitian ePass FIDO2-NFC Series (CTAP2.1, CTAP2.0, U2F) | 234cd403-35a2-4cc2-8015-77ea280c77f5 | ||||
Feitian iePass FIDO-Authentifikator | 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d | ||||
FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a | ||||
FT-JCOS FIDO-Fingerabdruckkarte | 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 | ||||
Google Titan-Sicherheitsschlüssel v2 | 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 | ||||
GoTrust Idem Card FIDO2-Authentifikator | 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 | ||||
GoTrust Idem-Schlüssel FIDO2-Authentifikator | 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a | ||||
HID Crescendo C2300 | aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 | ||||
HID Crescendo C3000 | c80dbd9a-533f-4a17-b941-1a2f1c7cedff | ||||
HID Crescendo aktiviert | 54d9fee8-e621-4291-8b18-7157b99c5bec | ||||
HID Crescendo-Schlüssel | 692db549-7ae5-44d5-a1e5-dd20a493b723 | ||||
HID Crescendo-Schlüssel V2 | 2d3bec26-15ee-4f5d-88b2-53622490270b | ||||
Hideez-Schlüssel 4 FIDO2 SDK | 4e768f2c-5fab-48b3-b300-220eb487752b | ||||
Hyper FIDO Bio-Sicherheitsschlüssel | d821a7d4-e97c-4cb6-bd82-4237731fd4be | ||||
Hyper FIDO Pro | 9f77e279-a6e2-4d58-b700-31e5943c6a98 | ||||
HYPR FIDO2-Authentifikator | 0076631b-d4a0-427f-5773-0ec71c9e0279 | ||||
IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 | ||||
IDEMIA ID-ONE-Karte | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 | ||||
IDmelon Android-Authentifikator | 39a5647e-1853-446c-a1f6-a79bae9f5bc7 | ||||
IDmelon iOS-Authentifikator | 820d89ed-d65a-409e-85cb-f73f0578f82a | ||||
IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b | ||||
IDPrime 3940 FIDO | b50d5e0a-7f81-4959-9b12-f45407407503 | ||||
IDPrime 931 Fido | 2194b428-9397-4046-8f39-007a1605a482 | ||||
IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a | ||||
ImproveID-Authentifikator | 4c50ff10-1057-4fc6-b8ed-43a529530c3c | ||||
KEY-ID FIDO2-Authentifikator | d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 | ||||
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2-Authentifikator | 4b3f8944-d4f2-4d21-bb19-764a986ec160 | ||||
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2-Authentifikator | ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 | ||||
KONAI Secp256R1 FIDO2-Konformitätsprüfung CTAP2-Authentifikator | f7c558a0-f465-11e8-b568-0800200c9a66 | ||||
KX701 SmartToken FIDO | fec067a1-f1d0-4c5e-b4c0-cc3237475461 | ||||
NEOWAVE Badgeo FIDO2 | c5703116-972b-4851-a3e7-ae1259843399 | ||||
NEOWAVE Winkeo FIDO2 | 3789da91-f943-46bc-95c3-50ea2012f03a | ||||
NXP Semiconductros FIDO2-Konformitätsprüfung CTAP2-Authentifikator | 07a9f89c-6407-4594-9d56-621d5f1e358b | ||||
Nymi FIDO2-Authentifikator | 0acf3011-bc60-f375-fb53-6f05f43154e0 | ||||
OCTATCO EzFinger2 FIDO2-AUTHENTIFIKATOR | a1f52be5-dfab-4364-b51c-2bd496b14a56 | ||||
OneSpan DIGIPASS FX1 BIO | 30b5035e-d297-4ff1-b00b-addc96ba6a98 | ||||
OneSpan DIGIPASS FX1a | 30b5035e-d297-4ff1-010b-addc96ba6a98 | ||||
OneSpan DIGIPASS FX7 | 30b5035e-d297-4ff7-b00b-addc96ba6a98 | ||||
OneSpan FIDO Touch | 30b5035e-d297-4fc1-b00b-addc96ba6a97 | ||||
OnlyKey Secp256R1 FIDO2 CTAP2-Authentifikator | 998f358b-2dd2-4cbe-a43a-e8107438dfb3 | ||||
OpenSK-Authentifikator | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 | ||||
Pone-Biometrie OFFPAD-Authentifikator | 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 | ||||
Precision InnaIT-Schlüssel FIDO 2 Ebene 2 zertifiziert | 88bbd2f0-342a-42e7-9729-dd158be5407a | ||||
RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 | ||||
Safenet eToken FIDO | efb96b10-a9e-4b6c-a4a9-d32125ccd4a4 | ||||
SafeNet eToken-Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 | ||||
SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 | ||||
Sicherheitsschlüssel von Yubico | b92c3f9a-c014-4056-887f-140a2501163b | ||||
Sicherheitsschlüssel von Yubico | f8a011f3-8c0a-4d15-8006-1711f9edc7d | ||||
Sicherheitsschlüssel von Yubico mit NFC | 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 | ||||
Sicherheitsschlüssel von Yubico mit NFC | 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 | ||||
Sicherheitsschlüssel NFC von Yubico | a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa | ||||
Sicherheitsschlüssel NFC von Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d | ||||
Sicherheitsschlüssel NFC von Yubico - Enterprise Edition | 0bb43545-fd2c-4185-87dd-feb0b2916ace | ||||
Sicherheitsschlüssel NFC von Yubico - Enterprise Edition | 47ab2fb4-66ac-4184-9ae1-86be814012d5 | ||||
Sentry Enterprises CTAP2-Authentifikator | 89b19028-256b-4025-8872-255358d950e4 | ||||
SmartDisplayer BobeePass FIDO2-Authentifikator | 516d3969-5a57-5651-5958-4e7a49434167 | ||||
Solo Secp256R1 FIDO2 CTAP2-Authentifikator | 8876631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Solo Tap Secp256R1 FIDO2 CTAP2-Authentifikator | 8976631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Somu Secp256R1 FIDO2 CTAP2-Authentifikator | 9876631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Swissbit iShield-Schlüssel FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 | ||||
Swissbit iShield Key Pro | 5d629218-d3a5-11ed-afa1-0242ac120002 | ||||
Taglio CTAP2.1 CS | 092277e5-8437-46b5-b911-ea64b294acb7 | ||||
Taglio CTAP2.1 EP | 7d2afadd-bf6b-44a2-a66b-e831fceb8eff | ||||
Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d | ||||
Token Ring FIDO2-Authentifikator | 91ad6b93-264b-4987-8737-3a690cad6917 | ||||
TOKEN2 FIDO2-Sicherheitsschlüssel | ab32f0c6-2239-afbb-c470-d2ef4e254db7 | ||||
TOKEN2 PIN Plus-Sicherheitsschlüssel-Serie | eabb46cc-e241-80bf-ae9e-96fa6d2975cf | ||||
uTrust FIDO2-Sicherheitsschlüssel | 73402251-f2a8-4f03-873e-3cb6db604b03 | ||||
VALMIDO PRO FIDO | 5626bed4-e756-430b-a7ff-ca78c8b12738 | ||||
VeriMark Guard-Fingerabdruck-Schlüssel | d94a29d9-52dd-4247-9c2d-8b818b610389 | ||||
VinCSS FIDO2-Authentifikator | 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 | ||||
WiSECURE AuthTron USB FIDO2-Authentifikator | 504d7149-4e4c-3841-4555-55445a677357 | ||||
YubiKey 5 FIPS-Serie | 73bb0cd4-e502-49b8-9c6f-b59445bf720b | ||||
YubiKey 5 FIPS-Serie mit Blitz | 85203421-48f9-4355-9bc8-8a53846e5083 | ||||
YubiKey 5 FIPS-Serie mit NFC | c1f9a0bc-1dd2-404a-b27f-8e29047a43fd | ||||
YubiKey 5-Serie | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b | ||||
YubiKey 5-Serie | cb69481e-8ff7-4039-93ec-0a2729a154a8 | ||||
YubiKey 5-Serie | ee882879-721c-4913-9775-3dfcce97072a | ||||
YubiKey 5-Serie mit Blitz | a02167b9-ae71-4ac7-9a07-06432ebb6f1c | ||||
YubiKey 5-Serie mit Blitz | c5ef55ff-ad9a-4b9f-b580-adebafe026d0 | ||||
YubiKey 5-Serie mit NFC | 2fc0579f-8113-47ea-b116-bb5a8db9202a | ||||
YubiKey 5-Serie mit NFC | a25342c0-3cdc-4414-8e46-f4807fca511c | ||||
YubiKey 5-Serie mit NFC | fa2b99dc-9e39-4257-8f92-4a30d23c4118 | ||||
YubiKey Bio FIDO Edition | dd86a2da-86a0-4cbe-b462-4bd31f57bc6f | ||||
YubiKey Bio-Serie | d8522d9f-575b-4866-88a9-ba99fa02f35b | ||||
YubiKey Bio Serie - Multiprotokoll-Edition | 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 | ||||
YubiKey Bio Serie - Multiprotokoll-Edition | 90636e1f-ef82-43bf-bdcf-5255f139d12f | ||||
YubiKey Bio Serie - Multiprotokoll-Edition 1VDJSN | 58276709-bb4b-4bb3-baf1-60eea99282a7 | ||||
YubiKey Bio-Serie (Unternehmensprofil) | 83c47309-aabb-4108-8470-8be838b573cb |
Nächste Schritte
Weitere Informationen zur Unterstützung von Microsoft Entra ID für die phishing-resistente Authentifizierung mit FIDO2-Sicherheitsschlüsseln in Browsern und nativen Apps finden Sie unter FIDO2-Kompatibilität.