Attestation Microsoft Entra ID pour les fournisseurs de clés de sécurité FIDO2
Les clés de sécurité FIDO2 permettent une authentification anti-hameçonnage. Elles peuvent remplacer des informations d’identification faibles par des informations d’identification fortes à clé privée/publique appuyées par du matériel. Ces informations d’identification ne peuvent pas être réutilisées, relues, ou partagées entre les services. Les clés de sécurité prennent en charge les scénarios d’appareils partagés, ce qui vous permet de garder vos informations d’identification avec vous et de vous authentifier de manière sécurisée sur tout appareil compatible.
Dans la stratégie Méthodes d’authentification de Microsoft Entra ID, les administrateurs peuvent appliquer l’attestation pour les clés de sécurité FIDO2. Lorsque le paramètre Appliquer l’attestation est défini sur Oui, Microsoft requiert des métadonnées supplémentaires à partir des clés de sécurité FIDO2 inscrites auprès du locataire. En tant que fournisseur, votre clé de sécurité FIDO2 peut être utilisée lorsque l’attestation est appliquée, si les exigences suivantes sont remplies.
Remarque
Microsoft Entra ID prend actuellement en charge les clés secrètes liées à l’appareil stockées sur les clés de sécurité FIDO2 et dans Microsoft Authenticator. Microsoft s’engage à sécuriser les clients et les utilisateurs avec des clés secrètes. Nous investissons dans les clés d’accès synchronisées et liées à l’appareil pour les comptes professionnels.
Exigences d’attestation
Microsoft s’appuie sur le FIDO Alliance Metadata Service (MDS) pour déterminer la compatibilité des clés de sécurité avec Windows, le navigateur Microsoft Edge et les comptes Microsoft en ligne. Les fournisseurs signalent leurs données à FIDO MDS.
Lors de l’inscription FIDO2, Microsoft Entra ID requiert des clés de sécurité pour fournir une déclaration d’attestation. Pour les fournisseurs, le format d’attestation attendu est packed, tel que défini par la norme FIDO.
Les exigences spécifiques varient en fonction de la façon dont un administrateur configure la stratégie de méthodes d’authentification FIDO2.
Appliquer l’attestation défini sur Oui | Appliquer l’attestation défini sur Non |
---|---|
Il doit fournir une instruction d’attestation packed valide et un certificat complet qui revient aux racines d’attestation extraites de FIDO Alliance MDS, afin que Microsoft puisse valider les métadonnées de la clé. | Il doit fournir une déclaration d’attestation packed valide (mais Microsoft ignore les résultats de vérification de l’attestation) et un certificat complet (qui n’a pas besoin d’être associé à une chaîne de certificats particulière). |
Remarque
Les fournisseurs sont chargés de publier tous les certificats d’attestation racines dans le FIDO Alliance MDS, sinon la vérification d’attestation peut échouer.
En outre, si l’attestation est appliquée, les exigences suivantes doivent être remplies :
- Votre authentificateur doit avoir une certification FIDO2. Cela peut être à n’importe quel niveau. Pour en savoir plus sur la certification, visitez la page Certification Overview (« Vue d’ensemble de la certification »).
- Les métadonnées de votre produit doivent être chargées dans le FIDO Alliance MDS, et vous devez vérifier que vos métadonnées se trouvent dans le MDS. Les métadonnées doivent indiquer que votre authentificateur prend en charge :
- FIDO 2.0 ou version ultérieure.
- Vérification de l’utilisateur ou code PIN client : Microsoft Entra ID requiert la vérification de l’utilisateur avec la biométrie ou le code PIN pour toutes les tentatives d’authentification FIDO2.
- Clés résidentes (ou informations d’identification détectables) : ces clés sont requises pour utiliser une clé de sécurité pour se connecter à Microsoft Entra ID sans saisir un nom d’utilisateur.
- Extension secrète HMAC (Hash-Based Message Authenticator Codes) ou extension PRF : requise pour utiliser une clé de sécurité pour déverrouiller Windows dans des scénarios hors connexion.
Chronologies
Microsoft ingère la dernière version de FIDO Alliance MDS chaque mois. Il peut y avoir un délai maximal de quatre semaines entre le moment où votre clé de sécurité FIDO2 apparaît dans le FIDO Alliance MDS et où Microsoft reconnaît le modèle de clé. Si votre clé répond aux exigences d’attestation Microsoft, elle apparaît automatiquement sur la page partenaire Microsoft FIDO2.
Clés de sécurité FIDO2 éligibles pour l’attestation avec Microsoft Entra ID
Le tableau suivant inclut chaque modèle de clé de sécurité FIDO2 listé dans MDS version 93 pouvant faire l’objet d’une attestation avec Microsoft Entra ID. Pour chaque modèle, le tableau indique son identificateur AAGUID (Authenticator Attestation Globally Unique Identifier) et ses fonctionnalités.
Description | AAGUID | Bio | USB | NFC | BLE |
---|---|---|---|---|---|
Authentificateur FIDO ACS | 50a45b0c-80e7-f944-bf29-f552bfa2e048 | ||||
Carte d’authentificateur FIDO ACS | 973446ca-e21c-9a9b-99f5-9b985a67af0f | ||||
Application Allthenticator : itinérance BLE FIDO2 Allthenticator pour les lecteurs de portes Windows, Mac, Linux et Allthenticate | 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 | ||||
Carte de clé Arculus FIDO 2.1 [P71] | 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 | ||||
Carte de clé Arculus FIDO2/U2F | 9d3df6ba-282f-11ed-a261-0242ac120002 | ||||
ATKey.Card CTAP2.0 | d41f5a69-b817-4144-a13c-9ebd6d9254d6 | ||||
ATKey.Card NFC | da1fa263-8b25-42b6-a820-c0036f21ba7f | ||||
ATKey.Pro CTAP2.0 | e1a96183-5016-4f24-b55b-e3ae23614cc6 | ||||
ATKey.Pro CTAP2.1 | e416201b-afeb-41ca-a03d-2281c28322aa | ||||
ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 | ||||
Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 | ||||
authenton1 - CTAP2.1 | b267239b-954f-4041-a01b-ee4f33c145b6 | ||||
Authentificateur de carte à puce Chunghwa Telecom FIDO2 | 175cd298-83d2-4a26-b637-313c07a6434e | ||||
Crayonic KeyVault K1 (Authentificateur USB-NFC-BLE FIDO2) | be727034-574a-f799-5c76-0929e0430973 | ||||
Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 | ||||
Authentificateur Egomet FIDO2 pour Android | 1105e4ed-af1d-02ff-ffff-ffffffffffff | ||||
Ensurity ThinC | 454e5346-4944-4ffd-6c93-8e9267193e9a | ||||
Authentificateur eWBM eFA310 FIDO2 | 95442b2e-f15e-4def-b270-efb106facb4e | ||||
Authentificateur eWBM eFA320 FIDO2 | 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c | ||||
Authentificateur eWBM eFPA FIDO2 | 61250591-b2bc-4456-b719-0b17be90bb30 | ||||
Clé d’empreinte digitale Excelsecu eSecu FIDO2 | 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 | ||||
Clé de sécurité d’empreinte digitale Excelsecu eSecu FIDO2 | 20f0be98-9af9-986a-4b42-8eca4acb28e4 | ||||
Clé de sécurité d’empreinte digitale Excelsecu eSecu FIDO2 | d384db22-4d50-ebde-2eac-5765cf1e2a44 | ||||
Clé de sécurité NFC Excelsecu eSecu FIDO2 | a3975549-b191-fd67-b8fb-017e2917fdb3 | ||||
Clé de sécurité NFC Excelsecu eSecu FIDO2 | fbefdf68-fe86-0106-213e-4d5fa24cbe2e | ||||
Clé de sécurité Excelsecu eSecu FIDO2 Pro | 0d9b2e56-566b-c393-2940-f821b7f15d6d | ||||
Clé de sécurité Excelsecu eSecu FIDO2 PRO | bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a | ||||
Clé de sécurité Excelsecu eSecu FIDO2 | cdbdaea2-c415-5073-50f7-c04e968640b6 | ||||
Authentificateur Feitian AllinOne FIDO2 | 12ded745-4bed-47d4-abaa-e713f51d6393 | ||||
Authentificateur Feitian BioPass FIDO2 | 77010bd7-212a-4fc9-b236-d2ca5e9d4084 | ||||
Authentificateur Feitian BioPass FIDO2 Plus | b6ede29c-3772-412c-8a78-539c1f4c62d2 | ||||
Authentificateur Feitian ePass FIDO2 | 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 | ||||
Authentificateur NFC Feitian ePass FIDO2 | ee041bce-25e5-4cdb-8f86-897fd6418464 | ||||
Feitian ePass Série FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) | 234cd403-35a2-4cc2-8015-77ea280c77f5 | ||||
Authentificateur Feitian iePass FIDO | 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d | ||||
FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a | ||||
Carte d’empreinte digitale FT-JCOS FIDO | 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 | ||||
Clé de sécurité Google Titan v2 | 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 | ||||
Authentificateur GoTrust Idem Card FIDO2 | 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 | ||||
Authentificateur GoTrust Idem Key FIDO2 | 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a | ||||
HID Crescendo C2300 | aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 | ||||
HID Crescendo C3000 | c80dbd9a-533f-4a17-b941-1a2f1c7cedff | ||||
HID Crescendo Enabled | 54d9fee8-e621-4291-8b18-7157b99c5bec | ||||
Clé HID Crescendo | 692db549-7ae5-44d5-a1e5-dd20a493b723 | ||||
Clé HID Crescendo V2 | 2d3bec26-15ee-4f5d-88b2-53622490270b | ||||
Clé Hideez 4 FIDO2 SDK | 4e768f2c-5fab-48b3-b300-220eb487752b | ||||
Clé de sécurité Bio Hyper FIDO | d821a7d4-e97c-4cb6-bd82-4237731fd4be | ||||
Hyper FIDO Pro | 9f77e279-a6e2-4d58-b700-31e5943c6a98 | ||||
Authentificateur HYPR FIDO2 | 0076631b-d4a0-427f-5773-0ec71c9e0279 | ||||
IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 | ||||
Carte IDEMIA ID-ONE | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 | ||||
Authentificateur IDmelon Android | 39a5647e-1853-446c-a1f6-a79bae9f5bc7 | ||||
Authentificateur IDmelon iOS | 820d89ed-d65a-409e-85cb-f73f0578f82a | ||||
IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b | ||||
IDPrime 3940 FIDO | b50d5e0a-7f81-4959-9b12-f45407407503 | ||||
IDPrime 931 Fido | 2194b428-9397-4046-8f39-007a1605a482 | ||||
IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a | ||||
Authentificateur ImproveID | 4c50ff10-1057-4fc6-b8ed-43a529530c3c | ||||
Authentificateur KEY-ID FIDO2 | d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 | ||||
Authentificateur KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 | 4b3f8944-d4f2-4d21-bb19-764a986ec160 | ||||
Authentificateur KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 | ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 | ||||
Authentificateur CTAP2 KONAI Secp256R1 Test de conformité FIDO2 | f7c558a0-f465-11e8-b568-0800200c9a66 | ||||
KX701 SmartToken FIDO | fec067a1-f1d0-4c5e-b4c0-cc3237475461 | ||||
NEOWAVE Badgeo FIDO2 | c5703116-972b-4851-a3e7-ae1259843399 | ||||
NEOWAVE Winkeo FIDO2 | 3789da91-f943-46bc-95c3-50ea2012f03a | ||||
Authentificateur NXP Semiconductros CTAP2 Test de conformité FIDO2 | 07a9f89c-6407-4594-9d56-621d5f1e358b | ||||
Authentificateur Nymi FIDO2 | 0acf3011-bc60-f375-fb53-6f05f43154e0 | ||||
Authentificateur OCTATCO EzFinger2 FIDO2 | a1f52be5-dfab-4364-b51c-2bd496b14a56 | ||||
OneSpan DIGIPASS FX1 BIO | 30b5035e-d297-4ff1-b00b-addc96ba6a98 | ||||
OneSpan DIGIPASS FX1a | 30b5035e-d297-4ff1-010b-addc96ba6a98 | ||||
OneSpan DIGIPASS FX7 | 30b5035e-d297-4ff7-b00b-addc96ba6a98 | ||||
OneSpan FIDO Touch | 30b5035e-d297-4fc1-b00b-addc96ba6a97 | ||||
Authentificateur OnlyKey Secp256R1 FIDO2 CTAP2 | 998f358b-2dd2-4cbe-a43a-e8107438dfb3 | ||||
Authentificateur OpenSK | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 | ||||
Authentificateur Pone Biometrics OFFPAD | 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 | ||||
Clé Precision InnaIT FIDO 2 certifiée de niveau 2 | 88bbd2f0-342a-42e7-9729-dd158be5407a | ||||
RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 | ||||
Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 | ||||
SafeNet eToken Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 | ||||
SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 | ||||
Clé de sécurité Yubico | b92c3f9a-c014-4056-887f-140a2501163b | ||||
Clé de sécurité Yubico | f8a011f3-8c0a-4d15-8006-17111f9edc7d | ||||
Clé de sécurité Yubico avec NFC | 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 | ||||
Clé de sécurité Yubico avec NFC | 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 | ||||
Clé de sécurité NFC Yubico | a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa | ||||
Clé de sécurité NFC Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d | ||||
Clé de sécurité NFC Yubico - Édition Entreprise | 0bb43545-fd2c-4185-87dd-feb0b2916ace | ||||
Clé de sécurité NFC Yubico - Édition Entreprise | 47ab2fb4-66ac-4184-9ae1-86be814012d5 | ||||
Authentificateur Sentry Enterprises CTAP2 | 89b19028-256b-4025-8872-255358d950e4 | ||||
Authentificateur SmartDisplayer BobeePass FIDO2 | 516d3969-5a57-5651-5958-4e7a49434167 | ||||
Authentificateur Solo Secp256R1 FIDO2 CTAP2 | 8876631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Authentificateur Solo Tap Secp256R1 FIDO2 CTAP2 | 8976631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Authentificateur Somu Secp256R1 FIDO2 CTAP2 | 9876631b-d4a0-427f-5773-0ec71c9e0279 | ||||
Clé Swissbit iShield FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 | ||||
Swissbit iShield Key Pro | 5d629218-d3a5-11ed-afa1-0242ac120002 | ||||
Taglio CTAP2.1 CS | 092277e5-8437-46b5-b911-ea64b294acb7 | ||||
Taglio CTAP2.1 EP | 7d2afadd-bf6b-44a2-a66b-e831fceb8eff | ||||
Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d | ||||
Authentificateur Token Ring FIDO2 | 91ad6b93-264b-4987-8737-3a690cad6917 | ||||
Clé de sécurité TOKEN2 FIDO2 | ab32f0c6-2239-afbb-c470-d2ef4e254db7 | ||||
Clé de sécurité TOKEN2 Série PIN Plus | eabb46cc-e241-80bf-ae9e-96fa6d2975cf | ||||
Clé de sécurité uTrust FIDO2 | 73402251-f2a8-4f03-873e-3cb6db604b03 | ||||
VALMIDO PRO FIDO | 5626bed4-e756-430b-a7ff-ca78c8b12738 | ||||
Clé d’empreinte digitale VeriMark Guard | d94a29d9-52dd-4247-9c2d-8b818b610389 | ||||
Authentificateur VinCSS FIDO2 | 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 | ||||
Authentificateur WiSECURE AuthTron USB FIDO2 | 504d7149-4e4c-3841-4555-55445a677357 | ||||
YubiKey Série 5 FIPS | 73bb0cd4-e502-49b8-9c6f-b59445bf720b | ||||
YubiKey Série 5 FIPS avec Lightning | 85203421-48f9-4355-9bc8-8a53846e5083 | ||||
YubiKey Série 5 FIPS avec NFC | c1f9a0bc-1dd2-404a-b27f-8e29047a43fd | ||||
YubiKey Série 5 | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b | ||||
YubiKey Série 5 | cb69481e-8ff7-4039-93ec-0a2729a154a8 | ||||
YubiKey Série 5 | ee882879-721c-4913-9775-3dfcce97072a | ||||
YubiKey Série 5 avec Lightning | a02167b9-ae71-4ac7-9a07-06432ebb6f1c | ||||
YubiKey Série 5 avec Lightning | c5ef55ff-ad9a-4b9f-b580-adebafe026d0 | ||||
YubiKey Série 5 avec NFC | 2fc0579f-8113-47ea-b116-bb5a8db9202a | ||||
YubiKey Série 5 avec NFC | a25342c0-3cdc-4414-8e46-f4807fca511c | ||||
YubiKey Série 5 avec NFC | fa2b99dc-9e39-4257-8f92-4a30d23c4118 | ||||
Édition YubiKey Bio FIDO | dd86a2da-86a0-4cbe-b462-4bd31f57bc6f | ||||
YubiKey Série Bio | d8522d9f-575b-4866-88a9-ba99fa02f35b | ||||
YubiKey Série Bio : édition multi-protocole | 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 | ||||
YubiKey Série Bio : édition multi-protocole | 90636e1f-ef82-43bf-bdcf-5255f139d12f | ||||
YubiKey Série Bio : édition multi-protocole 1VDJSN | 58276709-bb4b-4bb3-baf1-60eea99282a7 | ||||
YubiKey Série Bio (Profil d’entreprise) | 83c47309-aabb-4108-8470-8be838b573cb |
Étapes suivantes
Pour plus d’informations sur la prise en charge de Microsoft Entra ID pour l’authentification résistante au hameçonnage avec des clés de sécurité FIDO2 dans les navigateurs et les applications natives, consultez la compatibilité FIDO2.