Partager via


Attestation Microsoft Entra ID pour les fournisseurs de clés de sécurité FIDO2

Les clés de sécurité FIDO2 permettent une authentification anti-hameçonnage. Elles peuvent remplacer des informations d’identification faibles par des informations d’identification fortes à clé privée/publique appuyées par du matériel. Ces informations d’identification ne peuvent pas être réutilisées, relues, ou partagées entre les services. Les clés de sécurité prennent en charge les scénarios d’appareils partagés, ce qui vous permet de garder vos informations d’identification avec vous et de vous authentifier de manière sécurisée sur tout appareil compatible.

Dans la stratégie Méthodes d’authentification de Microsoft Entra ID, les administrateurs peuvent appliquer l’attestation pour les clés de sécurité FIDO2. Lorsque le paramètre Appliquer l’attestation est défini sur Oui, Microsoft requiert des métadonnées supplémentaires à partir des clés de sécurité FIDO2 inscrites auprès du locataire. En tant que fournisseur, votre clé de sécurité FIDO2 peut être utilisée lorsque l’attestation est appliquée, si les exigences suivantes sont remplies.

Remarque

Microsoft Entra ID prend actuellement en charge les clés secrètes liées à l’appareil stockées sur les clés de sécurité FIDO2 et dans Microsoft Authenticator. Microsoft s’engage à sécuriser les clients et les utilisateurs avec des clés secrètes. Nous investissons dans les clés d’accès synchronisées et liées à l’appareil pour les comptes professionnels.

Exigences d’attestation

Microsoft s’appuie sur le FIDO Alliance Metadata Service (MDS) pour déterminer la compatibilité des clés de sécurité avec Windows, le navigateur Microsoft Edge et les comptes Microsoft en ligne. Les fournisseurs signalent leurs données à FIDO MDS.

Lors de l’inscription FIDO2, Microsoft Entra ID requiert des clés de sécurité pour fournir une déclaration d’attestation. Pour les fournisseurs, le format d’attestation attendu est packed, tel que défini par la norme FIDO.

Les exigences spécifiques varient en fonction de la façon dont un administrateur configure la stratégie de méthodes d’authentification FIDO2.

Appliquer l’attestation défini sur Oui Appliquer l’attestation défini sur Non
Il doit fournir une instruction d’attestation packed valide et un certificat complet qui revient aux racines d’attestation extraites de FIDO Alliance MDS, afin que Microsoft puisse valider les métadonnées de la clé. Il doit fournir une déclaration d’attestation packed valide (mais Microsoft ignore les résultats de vérification de l’attestation) et un certificat complet (qui n’a pas besoin d’être associé à une chaîne de certificats particulière).

Remarque

Les fournisseurs sont chargés de publier tous les certificats d’attestation racines dans le FIDO Alliance MDS, sinon la vérification d’attestation peut échouer.

En outre, si l’attestation est appliquée, les exigences suivantes doivent être remplies :

  • Votre authentificateur doit avoir une certification FIDO2. Cela peut être à n’importe quel niveau. Pour en savoir plus sur la certification, visitez la page Certification Overview (« Vue d’ensemble de la certification »).
  • Les métadonnées de votre produit doivent être chargées dans le FIDO Alliance MDS, et vous devez vérifier que vos métadonnées se trouvent dans le MDS. Les métadonnées doivent indiquer que votre authentificateur prend en charge :
    • FIDO 2.0 ou version ultérieure.
    • Vérification de l’utilisateur ou code PIN client : Microsoft Entra ID requiert la vérification de l’utilisateur avec la biométrie ou le code PIN pour toutes les tentatives d’authentification FIDO2.
    • Clés résidentes (ou informations d’identification détectables) : ces clés sont requises pour utiliser une clé de sécurité pour se connecter à Microsoft Entra ID sans saisir un nom d’utilisateur.
    • Extension secrète HMAC (Hash-Based Message Authenticator Codes) ou extension PRF : requise pour utiliser une clé de sécurité pour déverrouiller Windows dans des scénarios hors connexion.

Chronologies

Microsoft ingère la dernière version de FIDO Alliance MDS chaque mois. Il peut y avoir un délai maximal de quatre semaines entre le moment où votre clé de sécurité FIDO2 apparaît dans le FIDO Alliance MDS et où Microsoft reconnaît le modèle de clé. Si votre clé répond aux exigences d’attestation Microsoft, elle apparaît automatiquement sur la page partenaire Microsoft FIDO2.

Clés de sécurité FIDO2 éligibles pour l’attestation avec Microsoft Entra ID

Le tableau suivant inclut chaque modèle de clé de sécurité FIDO2 listé dans MDS version 93 pouvant faire l’objet d’une attestation avec Microsoft Entra ID. Pour chaque modèle, le tableau indique son identificateur AAGUID (Authenticator Attestation Globally Unique Identifier) et ses fonctionnalités.

Description AAGUID Bio USB NFC BLE
Authentificateur FIDO ACS 50a45b0c-80e7-f944-bf29-f552bfa2e048 n y n n
Carte d’authentificateur FIDO ACS 973446ca-e21c-9a9b-99f5-9b985a67af0f n n y n
Application Allthenticator : itinérance BLE FIDO2 Allthenticator pour les lecteurs de portes Windows, Mac, Linux et Allthenticate 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 y y n n
Carte de clé Arculus FIDO 2.1 [P71] 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 n y n n
Carte de clé Arculus FIDO2/U2F 9d3df6ba-282f-11ed-a261-0242ac120002 n y n n
ATKey.Card CTAP2.0 d41f5a69-b817-4144-a13c-9ebd6d9254d6 y n n n
ATKey.Card NFC da1fa263-8b25-42b6-a820-c0036f21ba7f y y y n
ATKey.Pro CTAP2.0 e1a96183-5016-4f24-b55b-e3ae23614cc6 y n n n
ATKey.Pro CTAP2.1 e416201b-afeb-41ca-a03d-2281c28322aa y y n n
ATKey.ProS ba76a271-6eb6-4171-874d-b6428dbe3437 y y n n
Atos CardOS FIDO2 1c086528-58d5-f211-823c-356786e36140 n y y n
authenton1 - CTAP2.1 b267239b-954f-4041-a01b-ee4f33c145b6 n y y n
Authentificateur de carte à puce Chunghwa Telecom FIDO2 175cd298-83d2-4a26-b637-313c07a6434e n n y n
Crayonic KeyVault K1 (Authentificateur USB-NFC-BLE FIDO2) be727034-574a-f799-5c76-0929e0430973 y y y y
Cryptnox FIDO2 9c835346-796b-4c27-8898-d6032f515cc5 n n y n
Authentificateur Egomet FIDO2 pour Android 1105e4ed-af1d-02ff-ffff-ffffffffffff y n n n
Ensurity ThinC 454e5346-4944-4ffd-6c93-8e9267193e9a y y n n
Authentificateur eWBM eFA310 FIDO2 95442b2e-f15e-4def-b270-efb106facb4e y n n n
Authentificateur eWBM eFA320 FIDO2 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c y n n n
Authentificateur eWBM eFPA FIDO2 61250591-b2bc-4456-b719-0b17be90bb30 y n n n
Clé d’empreinte digitale Excelsecu eSecu FIDO2 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 y y n n
Clé de sécurité d’empreinte digitale Excelsecu eSecu FIDO2 20f0be98-9af9-986a-4b42-8eca4acb28e4 y y n n
Clé de sécurité d’empreinte digitale Excelsecu eSecu FIDO2 d384db22-4d50-ebde-2eac-5765cf1e2a44 y y n n
Clé de sécurité NFC Excelsecu eSecu FIDO2 a3975549-b191-fd67-b8fb-017e2917fdb3 n y y n
Clé de sécurité NFC Excelsecu eSecu FIDO2 fbefdf68-fe86-0106-213e-4d5fa24cbe2e n y y n
Clé de sécurité Excelsecu eSecu FIDO2 Pro 0d9b2e56-566b-c393-2940-f821b7f15d6d n y y y
Clé de sécurité Excelsecu eSecu FIDO2 PRO bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a n y y y
Clé de sécurité Excelsecu eSecu FIDO2 cdbdaea2-c415-5073-50f7-c04e968640b6 n y n n
Authentificateur Feitian AllinOne FIDO2 12ded745-4bed-47d4-abaa-e713f51d6393 y y y y
Authentificateur Feitian BioPass FIDO2 77010bd7-212a-4fc9-b236-d2ca5e9d4084 y y n n
Authentificateur Feitian BioPass FIDO2 Plus b6ede29c-3772-412c-8a78-539c1f4c62d2 y y n n
Authentificateur Feitian ePass FIDO2 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 n y n n
Authentificateur NFC Feitian ePass FIDO2 ee041bce-25e5-4cdb-8f86-897fd6418464 n y y n
Feitian ePass Série FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) 234cd403-35a2-4cc2-8015-77ea280c77f5 n y y n
Authentificateur Feitian iePass FIDO 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d n y n n
FIDO KeyPass S3 f4c63eff-d26c-4248-801c-3736c7eaa93a n y n n
Carte d’empreinte digitale FT-JCOS FIDO 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 n n y n
Clé de sécurité Google Titan v2 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 n y y n
Authentificateur GoTrust Idem Card FIDO2 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 n n n n
Authentificateur GoTrust Idem Key FIDO2 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a n n n n
HID Crescendo C2300 aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 n n y n
HID Crescendo C3000 c80dbd9a-533f-4a17-b941-1a2f1c7cedff n n y n
HID Crescendo Enabled 54d9fee8-e621-4291-8b18-7157b99c5bec n n y n
Clé HID Crescendo 692db549-7ae5-44d5-a1e5-dd20a493b723 n y y n
Clé HID Crescendo V2 2d3bec26-15ee-4f5d-88b2-53622490270b n y y n
Clé Hideez 4 FIDO2 SDK 4e768f2c-5fab-48b3-b300-220eb487752b n y y y
Clé de sécurité Bio Hyper FIDO d821a7d4-e97c-4cb6-bd82-4237731fd4be y n n n
Hyper FIDO Pro 9f77e279-a6e2-4d58-b700-31e5943c6a98 n n n n
Authentificateur HYPR FIDO2 0076631b-d4a0-427f-5773-0ec71c9e0279 y n n n
IDCore 3121 Fido e86addcd-7711-47e5-b42a-c18257b0bf61 n n y n
Carte IDEMIA ID-ONE 8d1b1fcb-3c76-49a9-9129-5515b346aa02 n y y n
Authentificateur IDmelon Android 39a5647e-1853-446c-a1f6-a79bae9f5bc7 y n n n
Authentificateur IDmelon iOS 820d89ed-d65a-409e-85cb-f73f0578f82a y n n n
IDPrime 3930 FIDO ca4cff1b-5a81-4404-8194-59aabcf1660b n n y n
IDPrime 3940 FIDO b50d5e0a-7f81-4959-9b12-f45407407503 n n y n
IDPrime 931 Fido 2194b428-9397-4046-8f39-007a1605a482 n n y n
IDPrime 941 Fido 2ffd6452-01da-471f-821b-ea4bf6c8676a n n y n
Authentificateur ImproveID 4c50ff10-1057-4fc6-b8ed-43a529530c3c n y y n
Authentificateur KEY-ID FIDO2 d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 n y n n
Authentificateur KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 4b3f8944-d4f2-4d21-bb19-764a986ec160 y y n n
Authentificateur KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 y y n n
Authentificateur CTAP2 KONAI Secp256R1 Test de conformité FIDO2 f7c558a0-f465-11e8-b568-0800200c9a66 y y y n
KX701 SmartToken FIDO fec067a1-f1d0-4c5e-b4c0-cc3237475461 n y y n
NEOWAVE Badgeo FIDO2 c5703116-972b-4851-a3e7-ae1259843399 n y y n
NEOWAVE Winkeo FIDO2 3789da91-f943-46bc-95c3-50ea2012f03a n y n n
Authentificateur NXP Semiconductros CTAP2 Test de conformité FIDO2 07a9f89c-6407-4594-9d56-621d5f1e358b n n n n
Authentificateur Nymi FIDO2 0acf3011-bc60-f375-fb53-6f05f43154e0 y n y n
Authentificateur OCTATCO EzFinger2 FIDO2 a1f52be5-dfab-4364-b51c-2bd496b14a56 y n n n
OneSpan DIGIPASS FX1 BIO 30b5035e-d297-4ff1-b00b-addc96ba6a98 y y y y
OneSpan DIGIPASS FX1a 30b5035e-d297-4ff1-010b-addc96ba6a98 y y y n
OneSpan DIGIPASS FX7 30b5035e-d297-4ff7-b00b-addc96ba6a98 n y n n
OneSpan FIDO Touch 30b5035e-d297-4fc1-b00b-addc96ba6a97 n y n y
Authentificateur OnlyKey Secp256R1 FIDO2 CTAP2 998f358b-2dd2-4cbe-a43a-e8107438dfb3 n n n n
Authentificateur OpenSK 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 n y n n
Authentificateur Pone Biometrics OFFPAD 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 y n n y
Clé Precision InnaIT FIDO 2 certifiée de niveau 2 88bbd2f0-342a-42e7-9729-dd158be5407a y y n n
RSA DS100 7e3f3d30-3557-4442-bdae-139312178b39 n y n n
Safenet eToken FIDO efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 n y n n
SafeNet eToken Fusion 74820b05-a6c9-40f9-8fb0-9f86aca93998 n y n n
SafeNet eToken Fusion CC 23786452-f02d-4344-87ed-aaf703726881 n y n n
Clé de sécurité Yubico b92c3f9a-c014-4056-887f-140a2501163b n y n n
Clé de sécurité Yubico f8a011f3-8c0a-4d15-8006-17111f9edc7d n y n n
Clé de sécurité Yubico avec NFC 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 n y y n
Clé de sécurité Yubico avec NFC 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 n y y n
Clé de sécurité NFC Yubico a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa n y y n
Clé de sécurité NFC Yubico e77e3c64-05e3-428b-8824-0cbeb04b829d n y n n
Clé de sécurité NFC Yubico - Édition Entreprise 0bb43545-fd2c-4185-87dd-feb0b2916ace n y y n
Clé de sécurité NFC Yubico - Édition Entreprise 47ab2fb4-66ac-4184-9ae1-86be814012d5 n y n n
Authentificateur Sentry Enterprises CTAP2 89b19028-256b-4025-8872-255358d950e4 y y n y
Authentificateur SmartDisplayer BobeePass FIDO2 516d3969-5a57-5651-5958-4e7a49434167 n y y y
Authentificateur Solo Secp256R1 FIDO2 CTAP2 8876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Authentificateur Solo Tap Secp256R1 FIDO2 CTAP2 8976631b-d4a0-427f-5773-0ec71c9e0279 n n y n
Authentificateur Somu Secp256R1 FIDO2 CTAP2 9876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Clé Swissbit iShield FIDO2 931327dd-c89b-406c-a81e-ed7058ef36c6 n y n n
Swissbit iShield Key Pro 5d629218-d3a5-11ed-afa1-0242ac120002 n y y n
Taglio CTAP2.1 CS 092277e5-8437-46b5-b911-ea64b294acb7 n n y n
Taglio CTAP2.1 EP 7d2afadd-bf6b-44a2-a66b-e831fceb8eff n n y n
Thales IDPrime FIDO Bio 4d41190c-7beb-4a84-8018-adf265a6352d y n y n
Authentificateur Token Ring FIDO2 91ad6b93-264b-4987-8737-3a690cad6917 y n y n
Clé de sécurité TOKEN2 FIDO2 ab32f0c6-2239-afbb-c470-d2ef4e254db7 n n n n
Clé de sécurité TOKEN2 Série PIN Plus eabb46cc-e241-80bf-ae9e-96fa6d2975cf n y y n
Clé de sécurité uTrust FIDO2 73402251-f2a8-4f03-873e-3cb6db604b03 n y y n
VALMIDO PRO FIDO 5626bed4-e756-430b-a7ff-ca78c8b12738 y n n y
Clé d’empreinte digitale VeriMark Guard d94a29d9-52dd-4247-9c2d-8b818b610389 y n n n
Authentificateur VinCSS FIDO2 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 n n n n
Authentificateur WiSECURE AuthTron USB FIDO2 504d7149-4e4c-3841-4555-55445a677357 y y n n
YubiKey Série 5 FIPS 73bb0cd4-e502-49b8-9c6f-b59445bf720b n y n n
YubiKey Série 5 FIPS avec Lightning 85203421-48f9-4355-9bc8-8a53846e5083 n y n n
YubiKey Série 5 FIPS avec NFC c1f9a0bc-1dd2-404a-b27f-8e29047a43fd n y y n
YubiKey Série 5 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b n y n n
YubiKey Série 5 cb69481e-8ff7-4039-93ec-0a2729a154a8 n y n n
YubiKey Série 5 ee882879-721c-4913-9775-3dfcce97072a n y n n
YubiKey Série 5 avec Lightning a02167b9-ae71-4ac7-9a07-06432ebb6f1c n y n n
YubiKey Série 5 avec Lightning c5ef55ff-ad9a-4b9f-b580-adebafe026d0 n y n n
YubiKey Série 5 avec NFC 2fc0579f-8113-47ea-b116-bb5a8db9202a n y y n
YubiKey Série 5 avec NFC a25342c0-3cdc-4414-8e46-f4807fca511c n y y n
YubiKey Série 5 avec NFC fa2b99dc-9e39-4257-8f92-4a30d23c4118 n y y n
Édition YubiKey Bio FIDO dd86a2da-86a0-4cbe-b462-4bd31f57bc6f y y n n
YubiKey Série Bio d8522d9f-575b-4866-88a9-ba99fa02f35b y y n n
YubiKey Série Bio : édition multi-protocole 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 y y n n
YubiKey Série Bio : édition multi-protocole 90636e1f-ef82-43bf-bdcf-5255f139d12f y y n n
YubiKey Série Bio : édition multi-protocole 1VDJSN 58276709-bb4b-4bb3-baf1-60eea99282a7 y y n n
YubiKey Série Bio (Profil d’entreprise) 83c47309-aabb-4108-8470-8be838b573cb y y n n

Étapes suivantes

Pour plus d’informations sur la prise en charge de Microsoft Entra ID pour l’authentification résistante au hameçonnage avec des clés de sécurité FIDO2 dans les navigateurs et les applications natives, consultez la compatibilité FIDO2.