Matriz de autenticación de Passkey (FIDO2) con Microsoft Entra ID
Microsoft Entra ID permite usar claves de acceso (FIDO2) para la autenticación sin contraseña multifactor. En este artículo se tratan las aplicaciones nativas, los exploradores web y los sistemas operativos que admiten el inicio de sesión mediante la clave de acceso con el identificador de Entra de Microsoft.
Para habilitar las claves de seguridad FIDO2 para desbloquear un dispositivo Windows, consulte Habilitar el inicio de sesión con clave de seguridad FIDO2 en dispositivos Windows 10 y 11 mediante Microsoft Entra ID.
Nota:
Microsoft Entra ID admite actualmente claves de paso enlazadas al dispositivo almacenadas en claves de seguridad FIDO2 y en Microsoft Authenticator. Microsoft se compromete a proteger a los clientes y usuarios con claves de paso. Estamos invirtiendo en claves de paso sincronizadas y enlazadas al dispositivo para cuentas profesionales.
Visión general
| SO | Chrome | Edge | Firefox | Safari | Aplicaciones nativas |
|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/D | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅2 |
| ChromeOS | ✅ | N/D | N/D | N/D | N/D |
| Linux | ✅ | ✅ | ✅1 | N/D | ❌ |
| iOS | ✅ | ✅ | ✅ | ✅ | ✅2 |
| Android | ✅ | ✅1 | ❌ | N/D | ✅2 |
1Iniciar sesión con clave de acceso en Microsoft Authenticator aún no se admite en este escenario.
2Requiere que se instale un agente de autenticación en el dispositivo del usuario. Algunas aplicaciones de Microsoft admiten la autenticación de clave de acceso sin un agente de autenticación. Para obtener más información, consulte Soporte para aplicaciones nativas.
Consideraciones para cada plataforma
Windows
- La mejor experiencia de inicio de sesión con clave de paso es en Windows 11 versión 22H2 o posterior.
- El inicio de sesión con clave de seguridad requiere uno de los siguientes elementos:
- Windows 10, versión 1903 o posterior
- Microsoft Edge basado en Chromium
- Chrome 76 o posterior
- Firefox 66 o posterior
- microsoft Graph PowerShell admite la clave de acceso (FIDO2). Algunos módulos de PowerShell que usan Internet Explorer en lugar de Edge no son capaces de realizar la autenticación de FIDO2. Por ejemplo, los módulos de PowerShell para SharePoint Online o Teams, o cualquier script de PowerShell que requiera credenciales de administrador, no solicitan FIDO2.
- Como solución alternativa, la mayoría de los proveedores pueden colocar certificados en las claves de seguridad FIDO2. La autenticación basada en certificados (CBA) funciona en todos los exploradores. Si puede habilitar CBA para las cuentas de administrador, puede exigir CBA, en lugar de FIDO2, entretanto.
macOS
- El inicio de sesión con clave de acceso requiere macOS Catalina 11.1 o posterior con Safari 14 o posterior, ya que Microsoft Entra ID requiere la comprobación del usuario para la autenticación multifactor.
- Las claves de seguridad de comunicación de campo cercano (NFC) y Bluetooth Low Energy (BLE) no se admiten en macOS de Apple.
- El nuevo registro de claves de seguridad no funciona en estos exploradores macOS porque no solicitan configurar la biometría ni el PIN.
- Consulte Iniciar sesión cuando se registran más de tres claves de acceso para Safari en macOS.
ChromeOS
- Google no admite las claves de seguridad NFC y BLE en ChromeOS.
- El registro de claves de seguridad no se admite en chromeOS ni en el explorador Chrome.
Linux
- El inicio de sesión con la clave de acceso en Microsoft Authenticator no se admite en Firefox en Linux.
iOS
- El inicio de sesión con clave de acceso requiere iOS 14.3 o posterior, ya que Microsoft Entra ID requiere la comprobación del usuario para la autenticación multifactor.
- Apple no admite las claves de seguridad BLE en iOS.
- El nuevo registro de claves de seguridad no funciona en exploradores iOS porque no se le pide que configure la biometría ni el PIN.
- Consulte Iniciar sesión cuando se registran más de tres claves de acceso.
Android
- El inicio de sesión con clave de acceso requiere Google Play Services 21 o posterior, ya que Microsoft Entra ID requiere la comprobación del usuario para la autenticación multifactor.
- Google no admite las claves de seguridad BLE en Android.
- Todavía no se admite el registro de claves de seguridad con el identificador de Entra de Microsoft en Android.
- El inicio de sesión con la clave de acceso no se admite en Firefox en Android.
Compatibilidad con aplicaciones nativas
En las secciones siguientes se trata la compatibilidad con la autenticación de clave de acceso (FIDO2) en Microsoft y aplicaciones de terceros con el identificador de Microsoft Entra.
Nota:
La autenticación de clave de paso con un proveedor de identidades (IDP) de terceros no se admite en aplicaciones de terceros mediante el agente de autenticación o las aplicaciones de Microsoft en macOS, iOS o Android en este momento.
Compatibilidad de aplicaciones nativas con el agente de autenticación
Las aplicaciones de Microsoft proporcionan compatibilidad nativa con la autenticación de clave de acceso para todos los usuarios que tienen instalado un agente de autenticación para su sistema operativo. La autenticación por clave de acceso también se admite para aplicaciones de terceros que usan el intermediario de autenticación.
Si un usuario instaló un agente de autenticación, puede optar por iniciar sesión con una clave de acceso cuando accede a una aplicación como Outlook. Se les redirige para iniciar sesión con la clave de acceso y se redirigen de nuevo a Outlook como un usuario que ha iniciado sesión después de la autenticación correcta.
En las tablas siguientes se enumeran los agentes de autenticación que se admiten para diferentes sistemas operativos.
| SO | Agente de autenticación |
|---|---|
| iOS | Microsoft Authenticator |
| macOS | Portal de empresa de Microsoft Intune |
| Android | Authenticator, Portal de empresa o Vínculo a la aplicación de Windows |
iOS
- El inicio de sesión con la clave de acceso en aplicaciones nativas sin el complemento de inicio de sesión único (SSO) de Microsoft Enterprise requiere iOS 16.0 o posterior.
- El inicio de sesión con la clave de acceso en aplicaciones nativas con el complemento SSO requiere iOS 17.1 o posterior.
macOS
- En macOS, se requiere el complemento inicio de sesión único (SSO) de Microsoft Enterprise para habilitar el Portal de empresa como agente de autenticación. Los dispositivos que ejecutan macOS deben cumplir los requisitos del complemento SSO, incluida la inscripción en la administración de dispositivos móviles.
- El inicio de sesión con la clave de acceso en aplicaciones nativas con el complemento SSO requiere macOS 14.0 o posterior.
Android
- El inicio de sesión con la clave de seguridad FIDO2 en aplicaciones nativas requiere Android 13 o posterior.
- El inicio de sesión con la clave de acceso en Microsoft Authenticator para aplicaciones nativas requiere Android 14 o posterior.
Compatibilidad con aplicaciones de Microsoft sin agente de autenticación
En la tabla siguiente se muestra la compatibilidad de aplicaciones de Microsoft con la clave de acceso (FIDO2) sin un agente de autenticación.
| Application | macOS | iOS | Android |
|---|---|---|---|
| Escritorio remoto | ✅ | ✅ | ❌ |
| Aplicación de Windows | ✅ | ✅ | ❌ |
Compatibilidad con aplicaciones de terceros sin agente de autenticación
Si el usuario todavía tiene que instalar un agente de autenticación, todavía puede iniciar sesión con una clave de acceso cuando acceda a aplicaciones habilitadas para MSAL. Para obtener más información sobre los requisitos de las aplicaciones habilitadas para MSAL, consulte Compatibilidad con la autenticación sin contraseña con claves FIDO2 en aplicaciones que desarrolle.
Problemas conocidos
Iniciar sesión cuando se registran más de tres claves de acceso
Si registró más de tres claves de acceso, es posible que el inicio de sesión con una clave de acceso no funcione en iOS o Safari en macOS. Si tiene más de tres claves de acceso, como solución alternativa, haga clic en Opciones de inicio de sesión e inicie sesión sin escribir un nombre de usuario.
Pasos siguientes
Habilitación del inicio de sesión con clave de seguridad sin contraseña