Matriz de autenticación de Passkey (FIDO2) con Microsoft Entra ID
Artículo
Microsoft Entra ID permite usar claves de paso (FIDO2) para la autenticación sin contraseña multifactor. En este artículo se tratan las aplicaciones nativas, los exploradores web y los sistemas operativos que admiten el inicio de sesión mediante la clave de paso con Microsoft Entra ID.
Microsoft Entra ID admite actualmente claves de paso enlazadas al dispositivo almacenadas en claves de seguridad FIDO2 y en Microsoft Authenticator. Microsoft se compromete a proteger a los clientes y usuarios con claves de paso. Estamos invirtiendo en claves de paso sincronizadas y enlazadas al dispositivo para cuentas profesionales.
En la sección siguiente se describe la compatibilidad con la autenticación de clave de acceso (FIDO2) en exploradores web con el identificador de Microsoft Entra.
SO
Chrome
Edge
Firefox
Safari
Windows
✅
✅
✅
N/D
macOS
✅
✅
✅
✅
ChromeOS
✅
N/D
N/D
N/D
Linux
✅
✅
✅
N/D
iOS
✅
✅
✅
✅
Android
✅
✅
❌
N/D
Consideraciones para cada plataforma
Windows
El inicio de sesión con clave de seguridad requiere uno de los siguientes elementos:
Windows 10, versión 1903 o posterior
Microsoft Edge basado en Chromium
Chrome 76 o posterior
Firefox 66 o posterior
macOS
El inicio de sesión con clave de paso requiere macOS Catalina 11.1 o posterior con Safari 14 o posterior, ya que Microsoft Entra ID requiere la comprobación del usuario para la autenticación multifactor.
Las claves de seguridad de comunicación de campo cercano (NFC) y Bluetooth Low Energy (BLE) no se admiten en macOS de Apple.
El nuevo registro de clave de seguridad no funciona en estos exploradores macOS porque no se le pide que configure los datos biométricos ni el PIN.
Google no admite las claves de seguridad NFC y BLE en ChromeOS.
El registro de claves de seguridad no se admite en ChromeOS ni en el explorador Chrome.
Linux
El inicio de sesión con la clave de paso en Microsoft Authenticator no se admite en Firefox en Linux.
iOS
El inicio de sesión con clave de paso requiere iOS 14.3 o posterior, ya que Microsoft Entra ID requiere la comprobación del usuario para la autenticación multifactor.
Apple no admite las claves de seguridad BLE en iOS.
Apple no admite en iOS NFC con claves de seguridad FIPS 140-3 certificadas.
El nuevo registro de clave de seguridad no funciona en los exploradores iOS porque no se le pide que configure los datos biométricos ni el PIN.
El inicio de sesión con clave de paso requiere Google Play Services 21 o posterior, ya que Microsoft Entra ID requiere la comprobación del usuario para la autenticación multifactor.
Google no admite claves de seguridad BLE en Android.
El registro de claves de seguridad con Microsoft Entra ID aún no se admite en Android.
El inicio de sesión con la clave de paso no se admite en Firefox en Android.
Problemas conocidos
Iniciar sesión cuando se registran más de tres claves de acceso
Si registró más de tres claves de paso, es posible que el inicio de sesión con una clave de paso no funcione en iOS o Safari en macOS. Si tiene más de tres claves de acceso, como solución alternativa, haga clic en Opciones de inicio de sesión e inicie sesión sin escribir un nombre de usuario.
En la sección siguiente se describe la compatibilidad con la autenticación de clave de acceso (FIDO2) en Microsoft y aplicaciones de terceros con el identificador de Microsoft Entra.
Nota:
La autenticación de clave de paso con un proveedor de identidades (IDP) de terceros no se admite en aplicaciones de terceros mediante un agente de autenticación o aplicaciones de Microsoft en macOS, iOS o Android en este momento.
Compatibilidad de aplicaciones nativas con el agente de autenticación
Las aplicaciones de Microsoft proporcionan compatibilidad nativa con la autenticación de clave de paso para todos los usuarios que tienen instalado un agente de autenticación para su sistema operativo. La autenticación por clave de acceso también se admite para aplicaciones de terceros que usan el intermediario de autenticación.
Si un usuario instaló un agente de autenticación, puede optar por iniciar sesión con una clave de paso cuando acceda a una aplicación como Outlook. Se les redirige para iniciar sesión con la clave de paso y se redirigen de nuevo a Outlook como un usuario que ha iniciado sesión después de la autenticación correcta.
En las tablas siguientes se enumeran los agentes de autenticación que se admiten para diferentes sistemas operativos.
SO
Agente de autenticación
iOS
Microsoft Authenticator
macOS
Portal de empresa de Microsoft Intune
Android
Authenticator, Portal de empresa o Vínculo a la aplicación de Windows
Compatibilidad con aplicaciones de Microsoft sin agente de autenticación
En la tabla siguiente se muestra la compatibilidad de aplicaciones de Microsoft con la clave de acceso (FIDO2) sin un agente de autenticación.
El inicio de sesión con la clave de seguridad FIDO2 en aplicaciones nativas requiere Windows 10 versión 1903 o posterior.
El inicio de sesión con la clave de acceso de Microsoft Authenticator en aplicaciones nativas requiere Windows 11 versión 22H2 o posterior.
Microsoft Graph PowerShell admite la clave de paso (FIDO2). Algunos módulos de PowerShell que usan Internet Explorer en lugar de Edge no son capaces de realizar la autenticación de FIDO2. Por ejemplo, los módulos de PowerShell para SharePoint Online o Teams, o cualquier script de PowerShell que requiera credenciales de administrador, no solicitan FIDO2.
Como solución alternativa, la mayoría de los proveedores pueden colocar certificados en las claves de seguridad FIDO2. La autenticación basada en certificados (CBA) funciona en todos los exploradores. Si puede habilitar CBA para las cuentas de administrador, puede exigir CBA, en lugar de FIDO2, entretanto.
El inicio de sesión con la clave de paso en aplicaciones nativas con el complemento SSO requiere iOS 17.1 o posterior.
macOS
En macOS, se requiere el complemento inicio de sesión único (SSO) de Microsoft Enterprise para habilitar el Portal de empresa como agente de autenticación. Los dispositivos que ejecutan macOS deben cumplir los requisitos del complemento SSO, incluida la inscripción en la administración de dispositivos móviles.
El inicio de sesión con la clave de paso en aplicaciones nativas con el complemento SSO requiere macOS 14.0 o posterior.
Android
El inicio de sesión con la clave de seguridad FIDO2 en aplicaciones nativas requiere Android 13 o posterior.
El inicio de sesión con la clave de paso en Microsoft Authenticator para aplicaciones nativas requiere Android 14 o posterior.
Es posible que el inicio de sesión con claves de seguridad FIDO2 fabricadas por Yubico con YubiOTP habilitado no funcione en dispositivos Samsung Galaxy. Como solución alternativa, los usuarios pueden deshabilitar YubiOTP e intentar iniciar sesión de nuevo.
