Atestación de Microsoft Entra ID para proveedores de claves de seguridad FIDO2
Las claves de seguridad FIDO2 permiten una autenticación resistente a la suplantación de identidad (phishing). Pueden reemplazar las credenciales débiles por credenciales seguras de clave pública/privada con respaldo de hardware que no se pueden reutilizar, reproducir ni compartir entre servicios. Las claves de seguridad admiten escenarios de dispositivos compartidos, lo que te permite llevar tus credenciales contigo y autenticarte de forma segura en cualquier dispositivo compatible.
En la directiva de métodos de autenticación de Microsoft Entra ID, los administradores pueden aplicar la atestación para las claves de seguridad FIDO2. Cuando Aplicar atestación se establece en Sí, Microsoft requiere metadatos adicionales de las claves de seguridad FIDO2 que se registran con el inquilino. Como proveedor, la clave de seguridad FIDO2 se puede usar cuando se aplica la atestación, si se cumplen los siguientes requisitos.
Nota:
Microsoft Entra ID admite actualmente claves de paso enlazadas al dispositivo almacenadas en claves de seguridad FIDO2 y en Microsoft Authenticator. Microsoft se compromete a proteger a los clientes y usuarios con claves de paso. Estamos invirtiendo en claves de paso sincronizadas y enlazadas al dispositivo para cuentas profesionales.
Requisitos para la atestación
Microsoft se basa en el FIDO Alliance Metadata Service (MDS) para determinar la compatibilidad de la clave de seguridad con Windows, el explorador Microsoft Edge y las cuentas en línea de Microsoft. Los proveedores informan de los datos al FIDO MDS.
Durante el registro FIDO2, Microsoft Entra ID requiere que las claves de seguridad proporcionen una instrucción de atestación. Para los proveedores, el formato de atestación esperado es empaquetado, tal y como se define en el estándar de FIDO.
Los requisitos específicos varían en función de cómo un administrador configura la directiva de métodos de autenticación de FIDO2.
Opción Aplicar atestación establecida en Sí | Opción Aplicar atestación establecida en No |
---|---|
Debe proporcionar una instrucción de atestación empaquetada válida y un certificado completo que se encadene a las raíces de atestación extraídas de FIDO Alliance MDS para que Microsoft pueda validar los metadatos de la clave. | Debe proporcionar una instrucción de atestación empaquetada válida (pero Microsoft omitirá los resultados de la comprobación de atestación) y un certificado completo (que no necesita estar asociado a una cadena de certificados determinada). |
Nota:
Los proveedores son responsables de publicar todos los certificados de atestación raíz en FIDO Alliance MDS. De lo contrario, se puede producir un error en la comprobación de atestación.
Además, si se aplica la atestación, se aplican los siguientes requisitos:
- Tu autenticador debe tener una certificación de FIDO2. Puede ser a cualquier nivel. Para obtener más información sobre la certificación, visite el sitio web de información general sobre la certificación de FIDO Alliance.
- Los metadatos del producto deben cargarse en FIDO Alliance MDS y debes comprobar que los metadatos están en MDS. Los metadatos deben indicar que el autenticador admite:
- FIDO 2.0 o superior.
- Comprobación del usuario o PIN de cliente: Microsoft Entra ID requiere la comprobación del usuario con datos biométricos o PIN para todos los intentos de autenticación de FIDO2.
- Claves residentes (o credenciales detectables): son necesarias para usar una clave de seguridad para iniciar sesión en Microsoft Entra ID sin introducir un nombre de usuario.
- Extensión de secreto de códigos de autenticador de mensajes basados en hash (HMAC) o función pseudoaleatoria (PRF): esto es necesario para usar una clave de seguridad para desbloquear Windows en escenarios sin conexión.
Escalas de tiempo
Microsoft ingiere la versión más reciente de FIDO Alliance MDS cada mes. Puede haber un retraso máximo de cuatro semanas desde el momento en que la clave de seguridad FIDO2 aparece en FIDO Alliance MDS hasta que Microsoft reconoce el modelo de clave. Si la clave cumple los requisitos de atestación de Microsoft, aparecerá automáticamente en la página de asociado de FIDO2 de Microsoft.
Claves de seguridad FIDO2 aptas para la atestación con Microsoft Entra ID
La siguiente tabla incluye cada modelo de clave de seguridad FIDO2 listado en la versión 93 de MDS que es apto para atestación con Microsoft Entra ID. Para cada modelo, la tabla muestra sus funcionalidades de características e identificador único global de atestación de autenticación (AAGUID).
Descripción | AAGUID | Biografía | USB | NFC | BLE |
---|---|---|---|---|---|
Autenticador FIDO de ACS | 50a45b0c-80e7-f944-bf29-f552bfa2e048 | ||||
Tarjeta de autenticador FIDO de ACS | 973446ca-e21c-9a9b-99f5-9b985a67af0f | ||||
Aplicación Allthenticator: itinerancia BLE FIDO2, Allthenticator para windows, Mac, Linux y lectores de puertas Allthenticate | 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 | ||||
Tarjeta de clave FIDO 2.1 de Arculus [P71] | 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 | ||||
Tarjeta de clave de Arculus FIDO2/U2F | 9d3df6ba-282f-11ed-a261-0242ac120002 | ||||
ATKey.Card CTAP2.0 | d41f5a69-b817-4144-a13c-9ebd6d9254d6 | ||||
ATKey.Card NFC | da1fa263-8b25-42b6-a820-c0036f21ba7f | ||||
ATKey.Pro CTAP2.0 | e1a96183-5016-4f24-b55b-e3ae23614cc6 | ||||
ATKey.Pro CTAP2.1 | e416201b-afeb-41ca-a03d-2281c28322aa | ||||
ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 | ||||
Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 | ||||
authenton1 - CTAP2.1 | b267239b-954f-4041-a01b-ee4f33c145b6 | ||||
Autenticador de tarjeta inteligente de Chunghwa Telecom FIDO2 | 175cd298-83d2-4a26-b637-313c07a6434e | ||||
Crayonic KeyVault K1 (Autenticador FIDO2 USB-NFC-BLE) | be727034-574a-f799-5c76-0929e0430973 | ||||
Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 | ||||
Autenticador para Android Egomet FIDO2 | 1105e4ed-af1d-02ff-ffff-ffffffffffff | ||||
Ensurity ThinC | 454e5346-4944-4ffd-6c93-8e9267193e9a | ||||
Autenticador eWBM eFA310 FIDO2 | 95442b2e-f15e-4def-b270-efb106facb4e | ||||
Autenticador eWBM eFA320 FIDO2 | 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c | ||||
Autenticador eWBM eFPA FIDO2 | 61250591-b2bc-4456-b719-0b17be90bb30 | ||||
Clave de huella digital de Excelsecu eSecu FIDO2 | 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 | ||||
Clave de seguridad de huella digital de Excelsecu eSecu FIDO2 | 20f0be98-9af9-986a-4b42-8eca4acb28e4 | ||||
Clave de seguridad de huella digital de Excelsecu eSecu FIDO2 | d384db22-4d50-ebde-2eac-5765cf1e2a44 | ||||
Clave de seguridad de Excelsecu eSecu FIDO2 NFC | a3975549-b191-fd67-b8fb-017e2917fdb3 | ||||
Clave de seguridad de Excelsecu eSecu FIDO2 NFC | fbefdf68-fe86-0106-213e-4d5fa24cbe2e | ||||
Clave de seguridad de Excelsecu eSecu FIDO2 Pro | 0d9b2e56-566b-c393-2940-f821b7f15d6d | ||||
Clave de seguridad de Excelsecu eSecu FIDO2 PRO | bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a | ||||
Clave de seguridad de Excelsecu eSecu FIDO2 | cdbdaea2-c415-5073-50f7-c04e968640b6 | ||||
Autenticador Feitian AllinOne FIDO2 | 12ded745-4bed-47d4-abaa-e713f51d6393 | ||||
Autenticador Feitian BioPass FIDO2 | 77010bd7-212a-4fc9-b236-d2ca5e9d4084 | ||||
Autenticador Feitian BioPass FIDO2 Plus | b6ede29c-3772-412c-8a78-539c1f4c62d2 | ||||
Autenticador Feitian ePass FIDO2 | 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 | ||||
Autenticador Feitian ePass FIDO2-NFC | ee041bce-25e5-4cdb-8f86-897fd6418464 | ||||
Serie Feitian ePass FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) | 234cd403-35a2-4cc2-8015-77ea280c77f5 | ||||
Autenticador Feitian iePass FIDO | 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d | ||||
FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a | ||||
Tarjeta de huella digital FT-JCOS FIDO | 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 | ||||
Clave de seguridad Titan de Google v2 | 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 | ||||
Autenticador GoTrust Idem Card FIDO2 | 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 | ||||
Autenticador GoTrust Idem Key FIDO2 | 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a | ||||
HID Crescendo C2300 | aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 | ||||
HID Crescendo C3000 | c80dbd9a-533f-4a17-b941-1a2f1c7cedff | ||||
HID Crescendo Habilitado | 54d9fee8-e621-4291-8b18-7157b99c5bec | ||||
Clave de HID Crescendo | 692db549-7ae5-44d5-a1e5-dd20a493b723 | ||||
Clave HID Crescendo V2 | 2d3bec26-15ee-4f5d-88b2-53622490270b | ||||
Hideez Key 4 FIDO2 SDK | 4e768f2c-5fab-48b3-b300-220eb487752b | ||||
Clave de seguridad de Hyper FIDO Bio | d821a7d4-e97c-4cb6-bd82-4237731fd4be | ||||
Hyper FIDO Pro | 9f77e279-a6e2-4d58-b700-31e5943c6a98 | ||||
Autenticador HYPR FIDO2 | 0076631b-d4a0-427f-5773-0ec71c9e0279 | ||||
IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 | ||||
Tarjeta IDEMIA ID-ONE | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 | ||||
Autenticador IDmelon Android | 39a5647e-1853-446c-a1f6-a79bae9f5bc7 | ||||
Autenticador IDmelon iOS | 820d89ed-d65a-409e-85cb-f73f0578f82a | ||||
IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b | ||||
IDPrime 3940 FIDO | b50d5e0a-7f81-4959-9b12-f45407407503 | ||||
IDPrime 931 Fido | 2194b428-9397-4046-8f39-007a1605a482 | ||||
IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a | ||||
Autenticador ImproveID | 4c50ff10-1057-4fc6-b8ed-43a529530c3c | ||||
Autenticador KEY-ID FIDO2 | d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 | ||||
Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 | 4b3f8944-d4f2-4d21-bb19-764a986ec160 | ||||
Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 | ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 | ||||
Autenticador KONAI Secp256R1 FIDO2 Conformance Testing CTAP2 | f7c558a0-f465-11e8-b568-0800200c9a66 | ||||
KX701 SmartToken FIDO | fec067a1-f1d0-4c5e-b4c0-cc3237475461 | ||||
NEOWAVE Badgeo FIDO2 | c5703116-972b-4851-a3e7-ae1259843399 | ||||
NEOWAVE Winkeo FIDO2 | 3789da91-f943-46bc-95c3-50ea2012f03a | ||||
Autenticador NXP Semiconductros FIDO2 Conformance Testing CTAP2 | 07a9f89c-6407-4594-9d56-621d5f1e358b | ||||
Autenticador Nymi FIDO2 | 0acf3011-bc60-f375-fb53-6f05f43154e0 | ||||
AUTENTICADOR OCTATCO EzFinger2 FIDO2 | a1f52be5-dfab-4364-b51c-2bd496b14a56 | ||||
OneSpan DIGIPASS FX1 BIO | 30b5035e-d297-4ff1-b00b-addc96ba6a98 | ||||
OneSpan DIGIPASS FX1a | 30b5035e-d297-4ff1-010b-addc96ba6a98 | ||||
OneSpan DIGIPASS FX7 | 30b5035e-d297-4ff7-b00b-addc96ba6a98 | ||||
OneSpan FIDO Touch | 30b5035e-d297-4fc1-b00b-addc96ba6a97 | ||||
Autenticador OnlyKey Secp256R1 FIDO2 CTAP2 | 998f358b-2dd2-4cbe-a43a-e8107438dfb3 | ||||
Autenticador de OpenSK | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 | ||||
Autenticador Pone Biometrics OFFPAD | 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 | ||||
Precision InnaIT Key FIDO 2 con certificación de nivel 2 | 88bbd2f0-342a-42e7-9729-dd158be5407a | ||||
RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 | ||||
Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 | ||||
SafeNet eToken Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 | ||||
SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 | ||||
Clave de seguridad de Yubico | b92c3f9a-c014-4056-887f-140a2501163b | ||||
Clave de seguridad de Yubico | f8a011f3-8c0a-4d15-8006-17111f9edc7d | ||||
Clave de seguridad de Yubico con NFC | 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 | ||||
Clave de seguridad de Yubico con NFC | 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 | ||||
Clave de seguridad NFC de Yubico | a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa | ||||
Clave de seguridad NFC de Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d | ||||
Clave de seguridad NFC de Yubico: Enterprise Edition | 0bb43545-fd2c-4185-87dd-feb0b2916ace | ||||
Clave de seguridad NFC de Yubico: Enterprise Edition | 47ab2fb4-66ac-4184-9ae1-86be814012d5 | ||||
Autenticador Sentry Enterprises CTAP2 | 89b19028-256b-4025-8872-255358d950e4 | ||||
Autenticador SmartDisplayer BobeePass FIDO2 | 516d3969-5a57-5651-5958-4e7a49434167 | ||||
Autenticador Solo Secp256R1 FIDO2 CTAP2 | 8876631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Autenticador Solo Tap Secp256R1 FIDO2 CTAP2 | 8976631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Autenticador Somu Secp256R1 FIDO2 CTAP2 | 9876631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Clave Swissbit iShield FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 | ||||
Clave Swissbit iShield Pro | 5d629218-d3a5-11ed-afa1-0242ac120002 | ||||
Taglio CTAP2.1 CS | 092277e5-8437-46b5-b911-ea64b294acb7 | ||||
Taglio CTAP2.1 EP | 7d2afadd-bf6b-44a2-a66b-e831fceb8eff | ||||
Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d | ||||
Autenticador Token Ring FIDO2 | 91ad6b93-264b-4987-8737-3a690cad6917 | ||||
Clave de seguridad TOKEN2 FIDO2 | ab32f0c6-2239-afbb-c470-d2ef4e254db7 | ||||
Clave de seguridad TOKEN2 PIN Plus Series | eabb46cc-e241-80bf-ae9e-96fa6d2975cf | ||||
Clave de seguridad uTrust FIDO2 | 73402251-f2a8-4f03-873e-3cb6db604b03 | ||||
VALMIDO PRO FIDO | 5626bed4-e756-430b-a7ff-ca78c8b12738 | ||||
Clave de huella digital VeriMark Guard | d94a29d9-52dd-4247-9c2d-8b818b610389 | ||||
Autenticador VinCSS FIDO2 | 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 | ||||
Autenticador WiSECURE AuthTron USB FIDO2 | 504d7149-4e4c-3841-4555-55445a677357 | ||||
Serie YubiKey 5 FIPS | 73bb0cd4-e502-49b8-9c6f-b59445bf720b | ||||
Serie YubiKey 5 FIPS con luz | 85203421-48f9-4355-9bc8-8a53846e5083 | ||||
Serie YubiKey 5 FIPS con NFC | c1f9a0bc-1dd2-404a-b27f-8e29047a43fd | ||||
Serie YubiKey 5 | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b | ||||
Serie YubiKey 5 | cb69481e-8ff7-4039-93ec-0a2729a154a8 | ||||
Serie YubiKey 5 | ee882879-721c-4913-9775-3dfcce97072a | ||||
Serie YubiKey 5 con luz | a02167b9-ae71-4ac7-9a07-06432ebb6f1c | ||||
Serie YubiKey 5 con luz | c5ef55ff-ad9a-4b9f-b580-adebafe026d0 | ||||
Serie YubiKey 5 con NFC | 2fc0579f-8113-47ea-b116-bb5a8db9202a | ||||
Serie YubiKey 5 con NFC | a25342c0-3cdc-4414-8e46-f4807fca511c | ||||
Serie YubiKey 5 con NFC | fa2b99dc-9e39-4257-8f92-4a30d23c4118 | ||||
YubiKey Bio Edición FIDO | dd86a2da-86a0-4cbe-b462-4bd31f57bc6f | ||||
Serie YubiKey Bio | d8522d9f-575b-4866-88a9-ba99fa02f35b | ||||
Serie YubiKey Bio - Edición con varios protocolos | 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 | ||||
Serie YubiKey Bio - Edición con varios protocolos | 90636e1f-ef82-43bf-bdcf-5255f139d12f | ||||
Serie YubiKey Bio - Edición con varios protocolos 1VDJSN | 58276709-bb4b-4bb3-baf1-60eea99282a7 | ||||
Serie YubiKey Bio (perfil empresarial) | 83c47309-aabb-4108-8470-8be838b573cb |
Pasos siguientes
Para obtener más información sobre la compatibilidad de Microsoft Entra ID para la autenticación resistente a la suplantación de identidad (phishing) con claves de seguridad FIDO2 en exploradores y aplicaciones nativas, consulta Compatibilidad con FIDO2.