Microsoft Entra ID Attestation voor LEVERANCIERS van FIDO2-beveiligingssleutels
FIDO2-beveiligingssleutels maken phishingbestendige verificatie mogelijk. Ze kunnen zwakke referenties vervangen door sterke, openbare/persoonlijke-sleutelreferenties die niet opnieuw kunnen worden gebruikt, opnieuw kunnen worden afgespeeld of gedeeld tussen services. Beveiligingssleutels ondersteunen scenario's voor gedeelde apparaten, zodat u uw referenties bij u kunt dragen en veilig kunt verifiëren op elk ondersteund apparaat.
In het beleid voor verificatiemethoden voor Microsoft Entra-id's kunnen beheerders attestation afdwingen voor FIDO2-beveiligingssleutels. Wanneer Attestation afdwingen is ingesteld op Ja, vereist Microsoft extra metagegevens van FIDO2-beveiligingssleutels die zijn geregistreerd bij de tenant. Als leverancier is uw FIDO2-beveiligingssleutel bruikbaar wanneer attestation wordt afgedwongen, als aan de volgende vereisten wordt voldaan.
Notitie
Microsoft Entra ID ondersteunt momenteel apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels en in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen. We investeren in zowel gesynchroniseerde als apparaatgebonden wachtwoordsleutels voor werkaccounts.
Attestation-vereisten
Microsoft is afhankelijk van de MDS (FIDO Alliance Metadata Service) om de compatibiliteit van beveiligingssleutels te bepalen met Windows-, Microsoft Edge-browser- en online Microsoft-accounts. Leveranciers rapporteren gegevens aan de FIDO MDS.
Tijdens de FIDO2-registratie vereist Microsoft Entra ID beveiligingssleutels om een attestation-instructie op te geven. Voor leveranciers is de verwachte attestation-indeling verpakt, zoals gedefinieerd door de FIDO-standaard.
De specifieke vereisten variëren op basis van de manier waarop een beheerder het FIDO2-verificatiemethodenbeleid configureert.
| Attestation afdwingen ingesteld op Ja | Attestation afdwingen ingesteld op Nee |
|---|---|
| Het moet een geldige attestation-instructie en een volledig certificaat opgeven dat is gekoppeld aan de attestation-roots die zijn geëxtraheerd uit de FIDO Alliance MDS, zodat Microsoft de metagegevens van de sleutel kan valideren. | Er moet een geldige attestation-instructie worden opgegeven (maar Microsoft negeert attestation-verificatieresultaten) en een volledig certificaat (dat niet hoeft te worden gekoppeld aan een bepaalde certificaatketen). |
Notitie
Leveranciers zijn verantwoordelijk voor het publiceren van alle basisattestcertificaten naar de FIDO Alliance MDS; anders kan attestation-verificatie mislukken.
Als attestation wordt afgedwongen, zijn bovendien de volgende vereisten van toepassing:
- Uw verificator moet beschikken over een FIDO2-certificering. Dit kan op elk niveau zijn. Ga naar de website fido Alliance Certification Overview voor meer informatie over de certificering.
- Uw productmetagegevens moeten worden geüpload naar de MDS van de FIDO Alliance en u moet controleren of uw metagegevens zich in MDS bevindt. De metagegevens moeten aangeven dat uw verificator ondersteuning biedt voor:
- FIDO 2.0 of hoger.
- Gebruikersverificatie of clientpincode- Microsoft Entra-id vereist gebruikersverificatie met biometrie of pincode voor alle FIDO2-verificatiepogingen.
- Residente sleutels (of detecteerbare referenties) - Resident-sleutels zijn vereist voor het gebruik van een beveiligingssleutel om u aan te melden bij Microsoft Entra ID zonder een gebruikersnaam in te voeren.
- Hash-based Message Authenticator Codes (HMAC) secret extension of Pseudo-Random Function (PRF) extensie: een HMAC-geheime extensie of PRF-extensie is vereist voor het gebruik van een beveiligingssleutel voor het ontgrendelen van Windows in offline scenario's.
Tijdlijnen
Microsoft neemt elke maand de nieuwste versie van de FIDO Alliance MDS op. Er kan een maximale vertraging van vier weken zijn vanaf het moment dat uw FIDO2-beveiligingssleutel wordt weergegeven in FIDO Alliance MDS tot wanneer Microsoft het sleutelmodel herkent. Als uw sleutel voldoet aan de Vereisten voor Microsoft Attestation, wordt deze automatisch weergegeven op de microsoft FIDO2-partnerpagina.
FIDO2-beveiligingssleutels die in aanmerking komen voor attestation met Microsoft Entra-id
De volgende tabel bevat elk FIDO2-beveiligingssleutelmodel dat wordt vermeld in MDS-versie 93 die in aanmerking komt voor attestation met Microsoft Entra-id. Voor elk model toont de tabel de Authenticator Attestation Globally Unique Identifier (AAGUID) en functiemogelijkheden.
| Beschrijving | AAGUID | Biografie | USB | NFC | BLE |
|---|---|---|---|---|---|
| ACS FIDO Authenticator | 50a45b0c-80e7-f944-bf29-f552bfa2e048 |
|
|
|
|
| ACS FIDO Authenticator-kaart | 973446ca-e21c-9a9b-99f5-9b985a67af0f |
|
|
|
|
| Allthenticator-app: roaming BLE FIDO2 Allthenticator voor Windows, Mac, Linux en Allthenticate deurlezers | 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 |
|
|
|
|
| Arculus FIDO 2.1 Key Card [P71] | 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 |
|
|
|
|
| Arculus FIDO2/U2F-sleutelkaart | 9d3df6ba-282f-11ed-a261-0242ac120002 |
|
|
|
|
| ATKey.Card CTAP2.0 | d41f5a69-b817-4144-a13c-9ebd6d9254d6 |
|
|
|
|
| ATKey.Card NFC | da1fa263-8b25-42b6-a820-c0036f21ba7f |
|
|
|
|
| ATKey.Pro CTAP2.0 | e1a96183-5016-4f24-b55b-e3ae23614cc6 |
|
|
|
|
| ATKey.Pro CTAP2.1 | e416201b-afeb-41ca-a03d-2281c2832aa |
|
|
|
|
| ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 |
|
|
|
|
| Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 |
|
|
|
|
| authenton1 - CTAP2.1 | b267239b-954f-4041-a01b-ee4f33c145b6 |
|
|
|
|
| Chunghwa Telecom FIDO2 Smart Card Authenticator | 175cd298-83d2-4a26-b637-313c07a6434e |
|
|
|
|
| Crayonic KeyVault K1 (USB-NFC-BLE FIDO2 Authenticator) | be727034-574a-f799-5c76-0929e0430973 |
|
|
|
|
| Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 |
|
|
|
|
| Egomet FIDO2 Authenticator voor Android | 1105e4ed-af1d-02ff-ffff-ffffffff |
|
|
|
|
| Ensurity ThinC | 454e5346-4944-4ffd-6c93-8e9267193e9a |
|
|
|
|
| eWBM eFA310 FIDO2 Authenticator | 95442b2e-f15e-4def-b270-efb106facb4e |
|
|
|
|
| eWBM eFA320 FIDO2 Authenticator | 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c |
|
|
|
|
| eWBM eFPA FIDO2 Authenticator | 61250591-b2bc-4456-b719-0b17be90bb30 |
|
|
|
|
| Excelsecu eSecu FIDO2-vingerafdruksleutel | 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 |
|
|
|
|
| Excelsecu eSecu FIDO2-vingerafdrukbeveiligingssleutel | 20f0be98-9af9-986a-4b42-8eca4acb28e4 |
|
|
|
|
| Excelsecu eSecu FIDO2-vingerafdrukbeveiligingssleutel | d384db22-4d50-ebde-2eac-5765cf1e2a44 |
|
|
|
|
| Excelsecu eSecu FIDO2 NFC-beveiligingssleutel | a3975549-b191-fd67-b8fb-017e2917fdb3 |
|
|
|
|
| Excelsecu eSecu FIDO2 NFC-beveiligingssleutel | fbefdf68-fe86-0106-213e-4d5fa24cbe2e |
|
|
|
|
| Excelsecu eSecu FIDO2 Pro-beveiligingssleutel | 0d9b2e56-566b-c393-2940-f821b7f15d6d |
|
|
|
|
| Excelsecu eSecu FIDO2 PRO-beveiligingssleutel | bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a |
|
|
|
|
| Excelsecu eSecu FIDO2-beveiligingssleutel | cdbdaea2-c415-5073-50f7-c04e968640b6 |
|
|
|
|
| Feitian AllinOne FIDO2 Authenticator | 12ded745-4bed-47d4-abaa-e713f51d6393 |
|
|
|
|
| Feitian BioPass FIDO2 Authenticator | 77010bd7-212a-4fc9-b236-d2ca5e9d4084 |
|
|
|
|
| Feitian BioPass FIDO2 Plus Authenticator | b6ede29c-3772-412c-8a78-539c1f4c62d2 |
|
|
|
|
| Feitian ePass FIDO2 Authenticator | 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 |
|
|
|
|
| Feitian ePass FIDO2-NFC Authenticator | ee041bce-25e5-4cdb-8f86-897fd6418464 |
|
|
|
|
| Feitian ePass FIDO2-NFC-serie (CTAP2.1, CTAP2.0, U2F) | 234cd403-35a2-4cc2-8015-77ea280c77f5 |
|
|
|
|
| Feitian iePass FIDO Authenticator | 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d |
|
|
|
|
| FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a |
|
|
|
|
| FT-JCOS FIDO-vingerafdrukkaart | 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 |
|
|
|
|
| Google Titan Security Key v2 | 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 |
|
|
|
|
| GoTrust Idem Card FIDO2 Authenticator | 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 |
|
|
|
|
| GoTrust Idem Key FIDO2 Authenticator | 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a |
|
|
|
|
| HID Crescendo C2300 | aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 |
|
|
|
|
| HID Crescendo C3000 | c80dbd9a-533f-4a17-b941-1a2f1c7cedff |
|
|
|
|
| HID Crescendo ingeschakeld | 54d9fee8-e621-4291-8b18-7157b99c5bec |
|
|
|
|
| HID Crescendo Key | 692db549-7ae5-44d5-a1e5-dd20a493b723 |
|
|
|
|
| HID Crescendo Key V2 | 2d3bec26-15ee-4f5d-88b2-536222490270b |
|
|
|
|
| Hideez Key 4 FIDO2 SDK | 4e768f2c-5fab-48b3-b300-220eb487752b |
|
|
|
|
| Hyper FIDO Bio Security Key | d821a7d4-e97c-4cb6-bd82-4237731fd4be |
|
|
|
|
| Hyper FIDO Pro | 9f77e279-a6e2-4d58-b700-31e5943c6a98 |
|
|
|
|
| HYPR FIDO2 Authenticator | 0076631b-d4a0-427f-5773-0ec71c9e0279 |
|
|
|
|
| IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 |
|
|
|
|
| IDEMIA ID-ONE-kaart | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 |
|
|
|
|
| IDmelon Android Authenticator | 39a5647e-1853-446c-a1f6-a79bae9f5bc7 |
|
|
|
|
| IDmeloen iOS Authenticator | 820d89ed-d65a-409e-85cb-f73f0578f82a |
|
|
|
|
| IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b |
|
|
|
|
| IDPrime 3940 FIDO | b50d5e0a-7f81-4959-9b12-f45407407503 |
|
|
|
|
| IDPrime 931 Fido | 2194b428-9397-4046-8f39-007a1605a482 |
|
|
|
|
| IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a |
|
|
|
|
| ImproveID Authenticator | 4c50ff10-1057-4fc6-b8ed-43a529530c3c |
|
|
|
|
| KEY-ID FIDO2 Authenticator | d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 |
|
|
|
|
| KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator | 4b3f8944-d4f2-4d21-bb19-764a986ec160 |
|
|
|
|
| KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator | ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 |
|
|
|
|
| KONAI Secp256R1 FIDO2 Conformance Testing CTAP2 Authenticator | f7c558a0-f465-11e8-b568-0800200c9a66 |
|
|
|
|
| KX701 SmartToken FIDO | fec067a1-f1d0-4c5e-b4c0-cc3237475461 |
|
|
|
|
| NEOWAVE Badgeo FIDO2 | c5703116-972b-4851-a3e7-ae1259843399 |
|
|
|
|
| NEOWAVE Winkeo FIDO2 | 3789da91-f943-46bc-95c3-50ea2012f03a |
|
|
|
|
| NXP Semiconductros FIDO2 Conformance Testing CTAP2 Authenticator | 07a9f89c-6407-4594-9d56-621d5f1e358b |
|
|
|
|
| Nymi FIDO2 Authenticator | 0acf3011-bc60-f375-fb53-6f05f43154e0 |
|
|
|
|
| OCTATCO EzFinger2 FIDO2 AUTHENTICATOR | a1f52be5-dfab-4364-b51c-2bd496b14a56 |
|
|
|
|
| OneSpan DIGIPASS FX1 BIO | 30b5035e-d297-4ff1-b00b-addc96ba6a98 |
|
|
|
|
| OneSpan DIGIPASS FX1a | 30b5035e-d297-4ff1-010b-addc96ba6a98 |
|
|
|
|
| OneSpan DIGIPASS FX7 | 30b5035e-d297-4ff7-b00b-addc96ba6a98 |
|
|
|
|
| OneSpan FIDO Touch | 30b5035e-d297-4fc1-b00b-addc96ba6a97 |
|
|
|
|
| OnlyKey Secp256R1 FIDO2 CTAP2 Authenticator | 998f358b-2dd2-4cbe-a43a-e8107438dfb3 |
|
|
|
|
| OpenSK-verificator | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 |
|
|
|
|
| Pone Biometrie OFFPAD Authenticator | 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 |
|
|
|
|
| Precisie InnaIT Key FIDO 2 Level 2 gecertificeerd | 88bbd2f0-342a-42e7-9729-dd158be5407a |
|
|
|
|
| RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 |
|
|
|
|
| Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 |
|
|
|
|
| SafeNet eToken Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 |
|
|
|
|
| SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 |
|
|
|
|
| Beveiligingssleutel door Yubico | b92c3f9a-c014-4056-887f-140a2501163b |
|
|
|
|
| Beveiligingssleutel door Yubico | f8a011f3-8c0a-4d15-8006-17111f9edc7d |
|
|
|
|
| Beveiligingssleutel door Yubico met NFC | 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 |
|
|
|
|
| Beveiligingssleutel door Yubico met NFC | 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 |
|
|
|
|
| Security Key NFC by Yubico | a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa |
|
|
|
|
| Security Key NFC by Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d |
|
|
|
|
| Security Key NFC by Yubico - Enterprise Edition | 0bb43545-fd2c-4185-87dd-feb0b2916ace |
|
|
|
|
| Security Key NFC by Yubico - Enterprise Edition | 47ab2fb4-66ac-4184-9ae1-86be814012d5 |
|
|
|
|
| Sentry Enterprises CTAP2 Authenticator | 89b19028-256b-4025-8872-255358d950e4 |
|
|
|
|
| SmartDisplayer BobeePass FIDO2 Authenticator | 516d3969-5a57-5651-5958-4e7a49434167 |
|
|
|
|
| Solo Secp256R1 FIDO2 CTAP2 Authenticator | 8876631b-d4a0-427f-5773-0ec71c9e0279 |
|
|
|
|
| Solo Tap Secp256R1 FIDO2 CTAP2 Authenticator | 8976631b-d4a0-427f-5773-0ec71c9e0279 |
|
|
|
|
| Somu Secp256R1 FIDO2 CTAP2 Authenticator | 9876631b-d4a0-427f-5773-0ec71c9e0279 |
|
|
|
|
| Swissbit iShield Key FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 |
|
|
|
|
| Swissbit iShield Key Pro | 5d629218-d3a5-11ed-afa1-0242ac120002 |
|
|
|
|
| T caching CTAP2.1 CS | 092277e5-8437-46b5-b911-ea64b294acb7 |
|
|
|
|
| T machtigingen CTAP2.1 EP | 7d2afadd-bf6b-44a2-a66b-e831fceb8eff |
|
|
|
|
| Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d |
|
|
|
|
| Tokenring FIDO2 Authenticator | 91ad6b93-264b-4987-8737-3a690cad6917 |
|
|
|
|
| TOKEN2 FIDO2-beveiligingssleutel | ab32f0c6-2239-afbb-c470-d2ef4e254db7 |
|
|
|
|
| TOKEN2 PIN Plus Security Key Series | eabb46cc-e241-80bf-ae9e-96fa6d2975cf |
|
|
|
|
| uTrust FIDO2-beveiligingssleutel | 73402251-f2a8-4f03-873e-3cb6db604b03 |
|
|
|
|
| VALMIDO PRO FIDO | 5626bed4-e756-430b-a7ff-ca78c8b12738 |
|
|
|
|
| Vingerafdruksleutel veriMark Guard | d94a29d9-52dd-4247-9c2d-8b818b610389 |
|
|
|
|
| VinCSS FIDO2 Authenticator | 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 |
|
|
|
|
| WiSECURE AuthTron USB FIDO2 Authenticator | 504d7149-4e4c-3841-4555-55445a677357 |
|
|
|
|
| YubiKey 5 FIPS-serie | 73bb0cd4-e502-49b8-9c6f-b59445bf720b |
|
|
|
|
| YubiKey 5 FIPS-serie met Bliksem | 85203421-48f9-4355-9bc8-8a53846e5083 |
|
|
|
|
| YubiKey 5 FIPS-serie met NFC | c1f9a0bc-1dd2-404a-b27f-8e29047a43fd |
|
|
|
|
| YubiKey 5-serie | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b |
|
|
|
|
| YubiKey 5-serie | cb69481e-8ff7-4039-93ec-0a2729a154a8 |
|
|
|
|
| YubiKey 5-serie | ee882879-721c-4913-9775-3dfcce97072a |
|
|
|
|
| YubiKey 5-serie met Bliksem | a02167b9-ae71-4ac7-9a07-06432ebb6f1c |
|
|
|
|
| YubiKey 5-serie met Bliksem | c5ef55ff-ad9a-4b9f-b580-adebafe026d0 |
|
|
|
|
| YubiKey 5-serie met NFC | 2fc0579f-8113-47ea-b116-bb5a8db9202a |
|
|
|
|
| YubiKey 5-serie met NFC | a25342c0-3cdc-4414-8e46-f4807fca511c |
|
|
|
|
| YubiKey 5-serie met NFC | fa2b99dc-9e39-4257-8f92-4a30d23c4118 |
|
|
|
|
| YubiKey Bio FIDO Edition | dd86a2da-86a0-4cbe-b462-4bd31f57bc6f |
|
|
|
|
| YubiKey Bio Series | d8522d9f-575b-4866-88a9-ba99fa02f35b |
|
|
|
|
| YubiKey Bio Series - Multi-protocol Edition | 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 |
|
|
|
|
| YubiKey Bio Series - Multi-protocol Edition | 90636e1f-ef82-43bf-bdcf-5255f139d12f |
|
|
|
|
| YubiKey Bio Series - Multi-protocol Edition 1VDJSN | 58276709-bb4b-4bb3-baf1-60eea99282a7 |
|
|
|
|
| YubiKey Bio Series (Enterprise Profile) | 83c47309-aabb-4108-8470-8be838b573cb |
|
|
|
|
Volgende stappen
Zie FIDO2-compatibiliteit voor meer informatie over microsoft Entra ID-ondersteuning voor phishing-bestendige verificatie met FIDO2-beveiligingssleutels in browsers en systeemeigen apps.