Udostępnij za pośrednictwem


Zaświadczanie microsoft Entra ID dla dostawców kluczy zabezpieczeń FIDO2

Klucze zabezpieczeń FIDO2 umożliwiają uwierzytelnianie odporne na wyłudzanie informacji. Mogą zastąpić słabe poświadczenia silnymi poświadczeniami publicznymi/prywatnymi opartymi na sprzęcie, które nie mogą być ponownie używane, odtwarzane ani współużytkowane przez usługi. Klucze zabezpieczeń obsługują scenariusze urządzeń udostępnionych, umożliwiając bezpieczne uwierzytelnianie poświadczeń na dowolnym obsługiwanym urządzeniu.

W zasadach metod uwierzytelniania identyfikatora firmy Microsoft administratorzy mogą wymuszać zaświadczenie dla kluczy zabezpieczeń FIDO2. Gdy ustawienie Wymuszanie zaświadczania ma wartość Tak, firma Microsoft wymaga dodatkowych metadanych z kluczy zabezpieczeń FIDO2 zarejestrowanych w dzierżawie. Jako dostawca klucz zabezpieczeń FIDO2 może być używany w przypadku wymuszania zaświadczania, jeśli spełnione są następujące wymagania.

Uwaga

Identyfikator Entra firmy Microsoft obsługuje obecnie powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 i w aplikacji Microsoft Authenticator. Firma Microsoft zobowiązuje się do zabezpieczania klientów i użytkowników przy użyciu kluczy dostępu. Inwestujemy zarówno w zsynchronizowane, jak i powiązane z urządzeniami klucz dostępu dla kont służbowych.

Wymagania dotyczące zaświadczania

Firma Microsoft korzysta z usługi FIDO Alliance Metadata Service (MDS) w celu określenia zgodności klucza zabezpieczeń z systemem Windows, przeglądarki Microsoft Edge i kont Microsoft Online. Dostawcy raportują dane do rozwiązania FIDO MDS.

Podczas rejestracji FIDO2 identyfikator Entra firmy Microsoft wymaga podania instrukcji zaświadczania. W przypadku dostawców oczekiwany format zaświadczania jest pakowany zgodnie ze standardem FIDO.

Określone wymagania różnią się w zależności od tego, jak administrator konfiguruje zasady metod uwierzytelniania FIDO2.

Wymuszanie zaświadczania ustawionego na wartość Tak Wymuszanie zaświadczania ustawionego na Nie
Musi podać prawidłową pakowaną instrukcję zaświadczania i kompletny certyfikat, który tworzy łańcuchy z powrotem do korzeni zaświadczania wyodrębnionych z MDS FIDO Alliance, aby firma Microsoft mogła zweryfikować metadane klucza. Musi on podać prawidłową spakowaną instrukcję zaświadczania (ale firma Microsoft zignoruje wyniki weryfikacji zaświadczania) i kompletny certyfikat (który nie musi być skojarzony z określonym łańcuchem certyfikatów).

Uwaga

Dostawcy są odpowiedzialni za publikowanie wszystkich certyfikatów zaświadczania głównego do FIDO Alliance MDS; w przeciwnym razie weryfikacja zaświadczania może zakończyć się niepowodzeniem.

Ponadto w przypadku wymuszania zaświadczania obowiązują następujące wymagania:

  • Wystawca uwierzytelniający musi mieć certyfikat FIDO2. Może to być na dowolnym poziomie. Aby dowiedzieć się więcej na temat certyfikacji, odwiedź witrynę internetową FIDO Alliance Certification Overview (Omówienie certyfikacji FIDO Alliance).
  • Metadane produktu muszą zostać przekazane do rozwiązania MDS FIDO Alliance i należy sprawdzić, czy metadane są w usłudze MDS. Metadane muszą wskazywać, że aplikacja authenticator obsługuje następujące uwierzytelnianie:
    • FIDO 2.0 lub nowszy.
    • Weryfikacja użytkownika lub numer PIN klienta — identyfikator Entra firmy Microsoft wymaga weryfikacji użytkownika przy użyciu danych biometrycznych lub numeru PIN dla wszystkich prób uwierzytelniania FIDO2.
    • Klucze rezydentne (lub poświadczenia umożliwiające odnajdywanie) — klucze rezydentne są wymagane do logowania się do identyfikatora Entra firmy Microsoft bez wprowadzania nazwy użytkownika.
    • Rozszerzenie wpisu tajnego uwierzytelniania komunikatów opartych na skrótach (HMAC) lub rozszerzenie pseudolosowej funkcji (PRF) — rozszerzenie klucza tajnego HMAC lub rozszerzenie PRF jest wymagane do korzystania z klucza zabezpieczeń w celu odblokowania systemu Windows w scenariuszach trybu offline.

Harmonogram

Firma Microsoft co miesiąc pozyskiwa najnowszą wersję rozwiązania FIDO Alliance MDS. Od momentu pojawienia się klucza zabezpieczeń FIDO2 w usłudze FIDO Alliance MDS może wystąpić maksymalnie czterotygodniowe opóźnienie, gdy firma Microsoft rozpoznaje model kluczy. Jeśli klucz spełnia wymagania dotyczące zaświadczania firmy Microsoft, zostanie on automatycznie wyświetlony na stronie partnera Microsoft FIDO2.

Klucze zabezpieczeń FIDO2 kwalifikujące się do zaświadczania za pomocą identyfikatora Entra firmy Microsoft

Poniższa tabela zawiera każdy model klucza zabezpieczeń FIDO2 wymieniony w usłudze MDS w wersji 93, który kwalifikuje się do zaświadczania za pomocą identyfikatora Microsoft Entra ID. Dla każdego modelu w tabeli przedstawiono jego funkcje Globally Unique Identifier (AAGUID) i Authenticator Attestation Globally Unique Identifier (AAGUID).

opis AAGUID Życiorys USB Funkcja NFC BLE
ACS FIDO Authenticator 50a45b0c-80e7-f944-bf29-f552bfa2e048 n t n n
Karta uwierzytelniania ACS FIDO 973446ca-e21c-9a9b-99f5-9b985a67af0f n n t n
Aplikacja Allthenticator: roaming czytników drzwi BLE FIDO2 Allthenticator dla systemów Windows, Mac, Linux i Allthenticate 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 t t n n
Karta klucza ARCulus FIDO 2.1 [P71] 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 n t n n
Karta klucza Arculus FIDO2/U2F 9d3df6ba-282f-11ed-a261-0242ac120002 n t n n
ATKey.Card CTAP2.0 d41f5a69-b817-4144-a13c-9ebd6d9254d6 t n n n
ATKey.Card NFC da1fa263-8b25-42b6-a820-c0036f21ba7f t t t n
ATKey.Pro CTAP2.0 e1a96183-5016-4f24-b55b-e3ae23614cc6 t n n n
ATKey.Pro CTAP2.1 e416201b-afeb-41ca-a03d-2281c2832aa t t n n
ATKey.ProS ba76a271-6eb6-4171-874d-b6428dbe3437 t t n n
Atos CardOS FIDO2 1c086528-58d5-f211-823c-356786e36140 n t t n
authenton1 — CTAP2.1 b267239b-954f-4041-a01b-ee4f33c145b6 n t t n
Chunghwa Telecom FIDO2 Smart Card Authenticator 175cd298-83d2-4a26-b637-313c07a6434e n n t n
Crayonic KeyVault K1 (USB-NFC-BLE FIDO2 Authenticator) be727034-574a-f799-5c76-0929e0430973 t t t t
Cryptnox FIDO2 9c835346-796b-4c27-8898-d6032f515cc5 n n t n
Egomet FIDO2 Authenticator dla systemu Android 1105e4ed-af1d-02ff-ffff-ffffffffff t n n n
Zachubny cieńszy 454e5346-4944-4ffd-6c93-8e9267193e9a t t n n
eWBM eFA310 FIDO2 Authenticator 95442b2e-f15e-4def-b270-efb106facb4e t n n n
eWBM eFA320 FIDO2 Authenticator 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c t n n n
eWBM eFPA FIDO2 Authenticator 61250591-b2bc-4456-b719-0b17be90bb30 t n n n
Klucz odcisku palca programu Excelsecu eSecu FIDO2 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 t t n n
Excelsecu eSecu FIDO2 Odcisk palca klucz zabezpieczeń 20f0be98-9af9-986a-4b42-8eca4acb28e4 t t n n
Excelsecu eSecu FIDO2 Odcisk palca klucz zabezpieczeń d384db22-4d50-ebde-2eac-5765cf1e2a44 t t n n
Excelsecu eSecu FIDO2 NFC Security Key a3975549-b191-fd67-b8fb-017e2917fdb3 n t t n
Excelsecu eSecu FIDO2 NFC Security Key fbefdf68-fe86-0106-213e-4d5fa24cbe2e n t t n
Klucz zabezpieczeń programu Excelsecu eSecu FIDO2 Pro 0d9b2e56-566b-c393-2940-f821b7f15d6d n t t t
Klucz zabezpieczeń programu Excelsecu eSecu FIDO2 PRO bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a n t t t
Klucz zabezpieczeń programu Excelsecu eSecu FIDO2 cdbdaea2-c415-5073-50f7-c04e968640b6 n t n n
Feitian AllinOne FIDO2 Authenticator 12ded745-4bed-47d4-abaa-e713f51d6393 t t t t
Feitian BioPass FIDO2 Authenticator 77010bd7-212a-4fc9-b236-d2ca5e9d4084 t t n n
Feitian BioPass FIDO2 Plus Authenticator b6ede29c-3772-412c-8a78-539c1f4c62d2 t t n n
Feitian ePass FIDO2 Authenticator 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 n t n n
Feitian ePass FIDO2-NFC Authenticator ee041bce-25e5-4cdb-8f86-897fd6418464 n t t n
Feitian ePass FIDO2-NFC Series (CTAP2.1, CTAP2.0, U2F) 234cd403-35a2-4cc2-8015-77ea280c77f5 n t t n
Feitian iePass FIDO Authenticator 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d n t n n
FIDO KeyPass S3 f4c63eff-d26c-4248-801c-3736c7ea93a n t n n
Karta odcisku palca FIDO FT-JCOS 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 n n t n
Google Titan Security Key v2 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 n t t n
GoTrust Idem Card FIDO2 Authenticator 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 n n n n
GoTrust Idem Key FIDO2 Authenticator 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a n n n n
HID Crescendo C2300 aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 n n t n
HID Crescendo C3000 c80dbd9a-533f-4a17-b941-1a2f1c7cedff n n t n
Włączono funkcję HID Crescendo 54d9fee8-e621-4291-8b18-7157b99c5bec n n t n
Klucz HID Crescendo 692db549-7ae5-44d5-a1e5-dd20a493b723 n t t n
HID Crescendo Key V2 2d3bec26-15ee-4f5d-88b2-53622490270b n t t n
Hideez Key 4 FIDO2 SDK 4e768f2c-5fab-48b3-b300-220eb487752b n t t t
Klucz zabezpieczeń bio funkcji Hyper FIDO d821a7d4-e97c-4cb6-bd82-4237731fd4be t n n n
Hyper FIDO Pro 9f77e279-a6e2-4d58-b700-31e5943c6a98 n n n n
HYPR FIDO2 Authenticator 0076631b-d4a0-427f-5773-0ec71c9e0279 t n n n
IDCore 3121 Fido e86addcd-7711-47e5-b42a-c18257b0bf61 n n t n
IDEMIA ID-ONE Card 8d1b1fcb-3c76-49a9-9129-5515b346aa02 n t t n
IDmelon Android Authenticator 39a5647e-1853-446c-a1f6-a79bae9f5bc7 t n n n
IDmelon iOS Authenticator 820d89ed-d65a-409e-85cb-f73f0578f82a t n n n
IDPrime 3930 FIDO ca4cff1b-5a81-4404-8194-59aabcf1660b n n t n
IDPrime 3940 FIDO b50d5e0a-7f81-4959-9b12-f45407407503 n n t n
IDPrime 931 Fido 2194b428-9397-4046-8f39-007a1605a482 n n t n
IDPrime 941 Fido 2ffd6452-01da-471f-821b-ea4bf6c8676a n n t n
ImproveID Authenticator 4c50ff10-1057-4fc6-b8ed-43a529530c3c n t t n
KEY-ID FIDO2 Authenticator d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 n t n n
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator 4b3f8944-d4f2-4d21-bb19-764a986ec160 t t n n
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 t t n n
KONAI Secp256R1 FIDO2 — testowanie zgodności CTAP2 Authenticator f7c558a0-f465-11e8-b568-0800200c9a66 t t t n
KX701 SmartToken FIDO fec067a1-f1d0-4c5e-b4c0-cc3237475461 n t t n
NEOWAVE Badgeo FIDO2 c5703116-972b-4851-a3e7-ae1259843399 n t t n
NEOWAVE Winkeo FIDO2 3789da91-f943-46bc-95c3-50ea2012f03a n t n n
NXP Semiconductros FIDO2 Conformance Testing CTAP2 Authenticator 07a9f89c-6407-4594-9d56-621d5f1e358b n n n n
Nymi FIDO2 Authenticator 0acf3011-bc60-f375-fb53-6f05f43154e0 t n t n
OCTATCO EzFinger2 FIDO2 AUTHENTICATOR a1f52be5-dfab-4364-b51c-2bd496b14a56 t n n n
OneSpan DIGIPASS FX1 BIO 30b5035e-d297-4ff1-b00b-addc96ba6a98 t t t t
OneSpan DIGIPASS FX1a 30b5035e-d297-4ff1-010b-addc96ba6a98 t t n n
OneSpan DIGIPASS FX7 30b5035e-d297-4ff7-b00b-addc96ba6a98 n t n t
OneSpan FIDO Touch 30b5035e-d297-4fc1-b00b-addc96ba6a97 n t n t
OnlyKey Secp256R1 FIDO2 CTAP2 Authenticator 998f358b-2dd2-4cbe-a43a-e8107438dfb3 n n n n
Wystawca uwierzytelniania OpenSK 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 n t n n
Pone Biometryczne OFFPAD Authenticator 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 t n n t
Precision InnaIT Key FIDO 2 Level 2 certified 88bbd2f0-342a-42e7-9729-dd158be5407a t t n n
RSA DS100 7e3f3d30-3557-4442-bdae-139312178b39 n t n n
Safenet eToken FIDO efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 n t n n
SafeNet eToken Fusion 74820b05-a6c9-40f9-8fb0-9f86aca93998 n t n n
SafeNet eToken Fusion CC 23786452-f02d-4344-87ed-aaf703726881 n t n n
Klucz zabezpieczeń firmy Yubico b92c3f9a-c014-4056-887f-140a2501163b n t n n
Klucz zabezpieczeń firmy Yubico f8a011f3-8c0a-4d15-8006-17111f9edc7d n t n n
Klucz zabezpieczeń firmy Yubico z nfc 149a2021-8ef6-4133-96b8-81f8d5b7f1f5f5 n t t n
Klucz zabezpieczeń firmy Yubico z nfc 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 n t t n
Security Key NFC firmy Yubico a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa n t t n
Security Key NFC firmy Yubico e77e3c64-05e3-428b-8824-0cbeb04b829d n t n n
Security Key NFC by Yubico - Enterprise Edition 0bb43545-fd2c-4185-87dd-feb0b2916ace n t t n
Security Key NFC by Yubico - Enterprise Edition 47ab2fb4-66ac-4184-9ae1-86be814012d5 n t n n
Sentry Enterprises CTAP2 Authenticator 89b19028-256b-4025-8872-255358d950e4 t t n t
SmartDisplayer BobeePass FIDO2 Authenticator 516d3969-5a57-5651-5958-4e7a49434167 n t t t
Solo Secp256R1 FIDO2 CTAP2 Authenticator 8876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Solo Tap Secp256R1 FIDO2 CTAP2 Authenticator 8976631b-d4a0-427f-5773-0ec71c9e0279 n n t n
Somu Secp256R1 FIDO2 CTAP2 Authenticator 9876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Swissbit iShield Key FIDO2 931327d-c89b-406c-a81e-ed7058ef36c6 n t n n
Swissbit iShield Key Pro 5d629218-d3a5-11ed-afa1-0242ac120002 n t t n
Taglio CTAP2.1 CS 092277e5-8437-46b5-b911-ea64b294acb7 n n t n
Taglio CTAP2.1 EP 7d2afadd-bf6b-44a2-a66b-e831fceb8eff n n t n
Thales IDPrime FIDO Bio 4d41190c-7beb-4a84-8018-adf265a6352d t n t n
Token Ring FIDO2 Authenticator 91ad6b93-264b-4987-8737-3a690cad6917 t n t n
TOKEN2 FIDO2 Klucz zabezpieczeń ab32f0c6-2239-afbb-c470-d2ef4e254db7 n n n n
TOKEN2 PIN plus seria kluczy zabezpieczeń eabb46cc-e241-80bf-ae9e-96fa6d2975cf n t t n
uTrust FIDO2 Security Key 73402251-f2a8-4f03-873e-3cb6db604b03 n t t n
VALMIDO PRO FIDO 5626bed4-e756-430b-a7ff-ca78c8b12738 t n n t
VeriMark Guard Odcisk palca d94a29d9-52dd-4247-9c2d-8b818b610389 t n n n
VinCSS FIDO2 Authenticator 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 n n n n
WiSECURE AuthTron USB FIDO2 Authenticator 504d7149-4e4c-3841-4555-55445a677357 t t n n
YubiKey 5 FIPS Series 73bb0cd4-e502-49b8-9c6f-b59445bf720b n t n n
YubiKey 5 FIPS Series with Lightning 85203421-48f9-4355-9bc8-8a53846e5083 n t n n
YubiKey 5 FIPS Series z NFC c1f9a0bc-1dd2-404a-b27f-8e29047a43fd n t t n
YubiKey 5 Series 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b n t n n
YubiKey 5 Series cb69481e-8ff7-4039-93ec-0a2729a154a8 n t n n
YubiKey 5 Series ee882879-721c-4913-9775-3dfcce97072a n t n n
YubiKey 5 Seria z błyskawicą a02167b9-ae71-4ac7-9a07-06432ebb6f1c n t n n
YubiKey 5 Seria z błyskawicą c5ef55ff-ad9a-4b9f-b580-adebafe026d0 n t n n
YubiKey 5 Series with NFC 2fc0579f-8113-47ea-b116-bb5a8db9202a n t t n
YubiKey 5 Series with NFC a25342c0-3cdc-4414-8e46-f4807fca511c n t t n
YubiKey 5 Series with NFC fa2b99dc-9e39-4257-8f92-4a30d23c4118 n t t n
YubiKey Bio FIDO Edition dd86a2da-86a0-4cbe-b462-4bd31f57bc6f t t n n
YubiKey Bio Series d8522d9f-575b-4866-88a9-ba99fa02f35b t t n n
YubiKey Bio Series — edycja z wieloma protokołami 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 t t n n
YubiKey Bio Series — edycja z wieloma protokołami 90636e1f-ef82-43bf-bdcf-5255f139d12f t t n n
YubiKey Bio Series — multi-protocol Edition 1VDJSN 58276709-bb4b-4bb3-baf1-60eea99282a7 t t n n
YubiKey Bio Series (profil przedsiębiorstwa) 83c47309-aabb-4108-8470-8be838b573cb t t n n

Następne kroki

Aby uzyskać więcej informacji na temat obsługi identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania odpornego na wyłudzanie informacji przy użyciu kluczy zabezpieczeń FIDO2 w przeglądarkach i aplikacjach natywnych, zobacz Zgodność ze standardem FIDO2.