Condividi tramite


Attestazione di Microsoft Entra ID per i fornitori di chiavi di sicurezza FIDO2

Le chiavi di sicurezza FIDO2 abilitano l'autenticazione resistente al phishing. Possono sostituire credenziali deboli con credenziali di chiave pubblica/privata avanzate supportate dall'hardware che non possono essere riutilizzate, riprodotte o condivise tra i servizi. Le chiavi di sicurezza supportano scenari di dispositivi condivisi, consentendo di trasportare le credenziali con l'utente e autenticarsi in modo sicuro in qualsiasi dispositivo supportato.

Nei criteri dei metodi di autenticazione di Microsoft Entra ID, gli amministratori possono applicare l'attestazione per le chiavi di sicurezza FIDO2. Quando l'opzione Imponi attestazione è impostata su , Microsoft richiede metadati aggiuntivi dalle chiavi di sicurezza FIDO2 registrate con il tenant. In qualità di fornitore, la chiave di sicurezza FIDO2 è utilizzabile quando viene applicata l'attestazione, se vengono soddisfatti i requisiti seguenti.

Nota

Microsoft Entra ID supporta attualmente le passkey associate a dispositivi archiviate nelle chiavi di sicurezza FIDO2 e su Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con le passkey. Stiamo investendo nelle passkey sincronizzate e associate a dispositivi per gli account aziendali.

Requisiti di attestazione

Microsoft si basa sul servizio metadati FIDO Alliance (MDS) per determinare la compatibilità delle chiavi di sicurezza con Windows, il browser Microsoft Edge e gli account Microsoft online. I fornitori segnalano i dati a FIDO MDS.

Durante la registrazione FIDO2, Microsoft Entra ID richiede chiavi di sicurezza per fornire un'istruzione di attestazione. Per i fornitori, il formato di attestazione previsto è compresso, come definito dallo standard FIDO.

I requisiti specifici variano in base al modo in cui un amministratore configura i criteri dei metodi di autenticazione FIDO2.

Imporre impostazione di attestazione su Sì Imporre impostazione di attestazione su No
Deve fornire un'istruzione di attestazione compressa valida e un certificato completo che concatena le radici di attestazione estratte da FIDO Alliance MDS, in modo tale che Microsoft possa convalidare i metadati della chiave. Deve fornire un'istruzione di attestazione compressa valida (ma Microsoft ignorerà i risultati della verifica dell'attestazione) e un certificato completo (che non deve essere associato necessariamente a una determinata catena di certificati).

Nota

I fornitori sono responsabili della pubblicazione di tutti i certificati di attestazione radice in FIDO Alliance MDS; in caso contrario, la verifica dell'attestazione può non riuscire.

Inoltre, se viene applicata l'attestazione, si applicano i requisiti seguenti:

  • L'autenticatore deve avere una certificazione FIDO2. Questo può essere a qualsiasi livello. Per saperne di più sulla certificazione, visita il sito web FIDO Alliance Certification Overview.
  • I metadati del prodotto devono essere caricati in FIDO Alliance MDS ed è necessario verificare che i metadati si trovino in MDS. I metadati devono indicare che l'autenticatore supporta:
    • FIDO 2.0 o successiva.
    • Verifica utente o PIN client: Microsoft Entra ID richiede la verifica utente con biometria o PIN per tutti i tentativi di autenticazione FIDO2.
    • Chiavi residenti (o credenziali individuabili): le chiavi residenti sono necessarie per l'uso di una chiave di sicurezza per accedere a Microsoft Entra ID senza immettere un nome utente.
    • Estensione del segreto HMAC (Hash-based Message Authenticator Code) o estensione PRF (funzione pseudocasuale): è necessaria un'estensione del segreto HMAC o un'estensione PRF per l'uso di una chiave di sicurezza per sbloccare Windows in scenari offline.

Sequenze temporali

Microsoft inserisce l'ultima versione di FIDO Alliance MDS ogni mese. Potrebbe verificarsi un ritardo massimo di quattro settimane dal momento in cui la chiave di sicurezza FIDO2 viene visualizzata in FIDO Alliance MDS a quando Microsoft riconosce il modello della chiave. Se la chiave soddisfa i requisiti di attestazione Microsoft, viene visualizzata automaticamente nella pagina del partner Microsoft FIDO2.

Chiavi di sicurezza FIDO2 idonee per l'attestazione con Microsoft Entra ID

La tabella seguente include ogni modello di chiave di sicurezza FIDO2 elencato in MDS versione 93 idoneo per l'attestazione con Microsoft Entra ID. Per ogni modello, la tabella mostra le funzionalità Di attestazione autenticatore globalmente univoco (AAGUID) e funzionalità.

Descrizione AAGUID Biografia USB NFC BLE
Autenticatore ACS FIDO 50a45b0c-80e7-f944-bf29-f552bfa2e048 n y n n
Scheda di autenticazione FIDO ACS 973446ca-e21c-9a9b-99f5-9b985a67af0f n n y n
App Allthenticator: roaming BLE FIDO2 Allthenticator per Windows, Mac, Linux e lettore di porta Allthenticate 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 y y n n
Chiave elettronica [P71] Arculus FIDO 2.1 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 n y n n
Chiave elettronica Arculus FIDO2/U2F 9d3df6ba-282f-11ed-a261-0242ac120002 n y n n
ATKey.Card CTAP2.0 d41f5a69-b817-4144-a13c-9ebd6d9254d6 y n n n
ATKey.Card NFC da1fa263-8b25-42b6-a820-c0036f21ba7f y y y n
ATKey.Pro CTAP2.0 e1a96183-5016-4f24-b55b-e3ae23614cc6 y n n n
ATKey.Pro CTAP2.1 e416201b-afeb-41ca-a03d-2281c28322aa y y n n
ATKey.ProS ba76a271-6eb6-4171-874d-b6428dbe3437 y y n n
Atos CardOS FIDO2 1c086528-58d5-f211-823c-356786e36140 n y y n
authenton1 - CTAP2.1 b267239b-954f-4041-a01b-ee4f33c145b6 n y y n
Autenticatore di smart card Chunghwa Telecom FIDO2 175cd298-83d2-4a26-b637-313c07a6434e n n y n
Crayonic KeyVault K1 (USB-NFC-BLE FIDO2 Authenticator) be727034-574a-f799-5c76-0929e0430973 y y y y
Cryptnox FIDO2 9c835346-796b-4c27-8898-d6032f515cc5 n n y n
Egomet FIDO2 Authenticator per Android 1105e4ed-af1d-02ff-ffff-ffffffffff y n n n
Ensurity ThinC 454e5346-4944-4ffd-6c93-8e9267193e9a y y n n
eWBM eFA310 FIDO2 Authenticator 95442b2e-f15e-4def-b270-efb106facb4e y n n n
eWBM eFA320 FIDO2 Authenticator 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c y n n n
eWBM eFPA FIDO2 Authenticator 61250591-b2bc-4456-b719-0b17be90bb30 y n n n
Chiave di impronta digitale FIDO2 di Excelsecu eSecu 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 y y n n
Chiave di sicurezza dell'impronta digitale FIDO2 di Excelsecu eSecu 20f0be98-9af9-986a-4b42-8eca4acb28e4 y y n n
Chiave di sicurezza dell'impronta digitale FIDO2 di Excelsecu eSecu d384db22-4d50-ebde-2eac-5765cf1e2a44 y y n n
Chiave di sicurezza NFC FIDO2 di Excelsecu eSecu a3975549-b191-fd67-b8fb-017e2917fdb3 n y y n
Chiave di sicurezza NFC FIDO2 di Excelsecu eSecu fbefdf68-fe86-0106-213e-4d5fa24cbe2e n y y n
Chiave di sicurezza di Excelsecu eSecu FIDO2 Pro 0d9b2e56-566b-c393-2940-f821b7f15d6d n y y y
Chiave di sicurezza di Excelsecu eSecu FIDO2 PRO bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a n y y y
Chiave di sicurezza FIDO2 di Excelsecu eSecu cdbdaea2-c415-5073-50f7-c04e968640b6 n y n n
Autenticatore Feitian AllinOne FIDO2 12ded745-4bed-47d4-abaa-e713f51d6393 y y y y
Autenticatore Feitian BioPass FIDO2 77010bd7-212a-4fc9-b236-d2ca5e9d4084 y y n n
Autenticatore Feitian BioPass FIDO2 Plus b6ede29c-3772-412c-8a78-539c1f4c62d2 y y n n
Autenticatore Feitian ePass FIDO2 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 n y n n
Autenticatore Feitian ePass FIDO2-NFC ee041bce-25e5-4cdb-8f86-897fd6418464 n y y n
Serie Feitian ePass FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) 234cd403-35a2-4cc2-8015-77ea280c77f5 n y y n
Autenticatore FIDO feitian iePass 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d n y n n
FIDO KeyPass S3 f4c63eff-d26c-4248-801c-3736c7ea93a n y n n
FT-JCOS FIDO Fingerprint Card 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 n n y n
Google Titan Security Key v2 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 n y y n
Autenticatore FIDO2 della scheda Idem GoTrust 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 n n n n
Autenticatore FIDO2 della chiave Idem GoTrust 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a n n n n
HID Crescendo C2300 aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 n n y n
HID Crescendo C3000 c80dbd9a-533f-4a17-b941-1a2f1c7cedff n n y n
HID Crescendo abilitato 54d9fee8-e621-4291-8b18-7157b99c5bec n n y n
HID Crescendo Key 692db549-7ae5-44d5-a1e5-dd20a493b723 n y y n
HID Crescendo Key V2 2d3bec26-15ee-4f5d-88b2-53622490270b n y y n
Hideez Key 4 FIDO2 SDK 4e768f2c-5fab-48b3-b300-220eb487752b n y y y
Chiave di sicurezza bio Hyper FIDO d821a7d4-e97c-4cb6-bd82-4237731fd4be y n n n
Hyper FIDO Pro 9f77e279-a6e2-4d58-b700-31e5943c6a98 n n n n
Autenticatore HYPR FIDO2 0076631b-d4a0-427f-5773-0ec71c9e0279 y n n n
IDCore 3121 Fido e86addcd-7711-47e5-b42a-c18257b0bf61 n n y n
IDEMIA ID-ONE Card 8d1b1fcb-3c76-49a9-9129-5515b346aa02 n y y n
Autenticatore IDmelon Android 39a5647e-1853-446c-a1f6-a79bae9f5bc7 y n n n
Autenticatore IDmelon iOS 820d89ed-d65a-409e-85cb-f73f0578f82a y n n n
IDPrime 3930 FIDO ca4cff1b-5a81-4404-8194-59aabcf1660b n n y n
IDPrime 3940 FIDO b50d5e0a-7f81-4959-9b12-f45407407503 n n y n
IDPrime 931 Fido 2194b428-9397-4046-8f39-007a1605a482 n n y n
IDPrime 941 Fido 2ffd6452-01da-471f-821b-ea4bf6c8676a n n y n
ImproveID Authenticator 4c50ff10-1057-4fc6-b8ed-43a529530c3c n y y n
Autenticatore FIDO2 KEY-ID d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 n y n n
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator 4b3f8944-d4f2-4d21-bb19-764a986ec160 y y n n
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 y y n n
KONAI Secp256R1 FIDO2 Conformità testing CTAP2 Authenticator f7c558a0-f465-11e8-b568-0800200c9a66 y y y n
KX701 SmartToken FIDO fec067a1-f1d0-4c5e-b4c0-cc3237475461 n y y n
NEOWAVE Badgeo FIDO2 c5703116-972b-4851-a3e7-ae1259843399 n y y n
NEOWAVE Winkeo FIDO2 3789da91-f943-46bc-95c3-50ea2012f03a n y n n
Autenticazione CTAP2 NXP Semiconductros FIDO2 07a9f89c-6407-4594-9d56-621d5f1e358b n n n n
Nymi FIDO2 Authenticator 0acf3011-bc60-f375-fb53-6f05f43154e0 y n y n
OCTATCO EzFinger2 FIDO2 AUTHENTICATOR a1f52be5-dfab-4364-b51c-2bd496b14a56 y n n n
OneSpan DIGIPASS FX1 BIO 30b5035e-d297-4ff1-b00b-addc96ba6a98 y y y y
OneSpan DIGIPASS FX1a 30b5035e-d297-4ff1-010b-addc96ba6a98 y y n n
OneSpan DIGIPASS FX7 30b5035e-d297-4ff7-b00b-addc96ba6a98 n y n y
Tocco FIDO di OneSpan 30b5035e-d297-4fc1-b00b-addc96ba6a97 n y n y
OnlyKey Secp256R1 FIDO2 CTAP2 Authenticator 998f358b-2dd2-4cbe-a43a-e8107438dfb3 n n n n
Autenticatore OpenSK 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 n y n n
Pone Biometrics OFFPAD Authenticator 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 y n n y
Precision InnaIT Key FIDO 2 Livello 2 certificato 88bbd2f0-342a-42e7-9729-dd158be5407a y y n n
RSA DS100 7e3f3d30-3557-4442-bdae-139312178b39 n y n n
Safenet eToken FIDO efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 n y n n
SafeNet eToken Fusion 74820b05-a6c9-40f9-8fb0-9f86aca93998 n y n n
SafeNet eToken Fusion CC 23786452-f02d-4344-87ed-aaf703726881 n y n n
Chiave di sicurezza di Yubico b92c3f9a-c014-4056-887f-140a2501163b n y n n
Chiave di sicurezza di Yubico f8a011f3-8c0a-4d15-8006-17111f9edc7d n y n n
Chiave di sicurezza di Yubico con NFC 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 n y y n
Chiave di sicurezza di Yubico con NFC 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 n y y n
Chiave di sicurezza NFC di Yubico a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa n y y n
Chiave di sicurezza NFC di Yubico e77e3c64-05e3-428b-8824-0cbeb04b829d n y n n
Chiave di sicurezza NFC di Yubico - edizione Enterprise 0bb43545-fd2c-4185-87dd-feb0b2916ace n y y n
Chiave di sicurezza NFC di Yubico - edizione Enterprise 47ab2fb4-66ac-4184-9ae1-86be814012d5 n y n n
Sentry Enterprises CTAP2 Authenticator 89b19028-256b-4025-8872-255358d950e4 y y n y
SmartDisplayer BobeePass FIDO2 Authenticator 516d3969-5a57-5651-5958-4e7a49434167 n y y y
Solo Secp256R1 FIDO2 CTAP2 Authenticator 8876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Solo Tap Secp256R1 FIDO2 CTAP2 Authenticator 8976631b-d4a0-427f-5773-0ec71c9e0279 n n y n
Somu Secp256R1 FIDO2 CTAP2 Authenticator 9876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Swissbit iShield Key FIDO2 931327dd-c89b-406c-a81e-ed7058ef36c6 n y n n
Swissbit iShield Key Pro 5d629218-d3a5-11ed-afa1-0242ac120002 n y y n
Taglio CTAP2.1 CS 092277e5-8437-46b5-b911-ea64b294acb7 n n y n
Taglio CTAP2.1 EP 7d2afadd-bf6b-44a2-a66b-e831fceb8eff n n y n
Thales IDPrime FIDO Bio 4d41190c-7beb-4a84-8018-adf265a6352d y n y n
Autenticatore FIDO2 dell'anello del token 91ad6b93-264b-4987-8737-3a690cad6917 y n y n
TOKEN2 FIDO2 Chiave di sicurezza ab32f0c6-2239-afbb-c470-d2ef4e254db7 n n n n
TOKEN2 PIN Plus Security Key Series eabb46cc-e241-80bf-ae9e-96fa6d2975cf n y y n
uTrust FIDO2 Security Key 73402251-f2a8-4f03-873e-3cb6db604b03 n y y n
VALMIDO PRO FIDO 5626bed4-e756-430b-a7ff-ca78c8b12738 y n n y
VeriMark Guard Fingerprint Key d94a29d9-52dd-4247-9c2d-8b818b610389 y n n n
Autenticatore VinCSS FIDO2 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 n n n n
Autenticatore WiSECURE AuthTron USB FIDO2 504d7149-4e4c-3841-4555-55445a677357 y y n n
Serie YubiKey 5 FIPS 73bb0cd4-e502-49b8-9c6f-b59445bf720b n y n n
YubiKey 5 Serie FIPS con Lightning 85203421-48f9-4355-9bc8-8a53846e5083 n y n n
YubiKey 5 Serie FIPS con NFC c1f9a0bc-1dd2-404a-b27f-8e29047a43fd n y y n
Serie YubiKey 5 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b n y n n
Serie YubiKey 5 cb69481e-8ff7-4039-93ec-0a2729a154a8 n y n n
Serie YubiKey 5 ee882879-721c-4913-9775-3dfcce97072a n y n n
Serie YubiKey 5 con Lightning a02167b9-ae71-4ac7-9a07-06432ebb6f1c n y n n
Serie YubiKey 5 con Lightning c5ef55ff-ad9a-4b9f-b580-adebafe026d0 n y n n
Serie YubiKey 5 con NFC 2fc0579f-8113-47ea-b116-bb5a8db9202a n y y n
Serie YubiKey 5 con NFC a25342c0-3cdc-4414-8e46-f4807fca511c n y y n
Serie YubiKey 5 con NFC fa2b99dc-9e39-4257-8f92-4a30d23c4118 n y y n
YubiKey Bio FIDO Edition dd86a2da-86a0-4cbe-b462-4bd31f57bc6f y y n n
YubiKey Bio Series d8522d9f-575b-4866-88a9-ba99fa02f35b y y n n
YubiKey Bio Series - Edizione multi-protocollo 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 y y n n
YubiKey Bio Series - Edizione multi-protocollo 90636e1f-ef82-43bf-bdcf-5255f139d12f y y n n
YubiKey Bio Series - Edizione multi-protocollo 1VDJSN 58276709-bb4b-4bb3-baf1-60eea99282a7 y y n n
YubiKey Bio Series (Profilo Enterprise) 83c47309-aabb-4108-8470-8be838b573cb y y n n

Passaggi successivi

Per altre informazioni sul supporto di Microsoft Entra ID per l'autenticazione resistente al phishing con chiavi di sicurezza FIDO2 nei browser e nelle app native, vedere Compatibilità FIDO2.