Compartilhar via


Suporte para autenticação FIDO2 com o Microsoft Entra ID

O Microsoft Entra ID permite que as chaves de acesso sejam usadas para autenticação sem senha. Este artigo aborda quais aplicativos nativos, navegadores da Web e sistemas operacionais dão suporte à autenticação sem senha usando chaves de acesso com o Microsoft Entra ID.

Observação

Atualmente, o Microsoft Entra ID oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está comprometida em proteger clientes e usuários com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas a dispositivos para contas corporativas.

Suporte a aplicativos nativos

As seções a seguir abrangem o suporte para aplicativos da Microsoft e de terceiros. No momento, a autenticação com chave de acesso (FIDO2) com um IDP (Provedor de Identidade) de terceiros não tem suporte em aplicativos de terceiros usando o agente de autenticação ou aplicativos da Microsoft no macOS, iOS ou Android.

Suporte a aplicativos nativos com o agente de autenticação

Os aplicativos da Microsoft fornecem suporte nativo à autenticação do FIDO2 para todos os usuários que têm um agente de autenticação instalado para seu sistema operacional. A autenticação FIDO2 também tem suporte de aplicativos de terceiros usando o agente de autenticação.

As tabelas a seguir listam quais agentes de autenticação são aceitos para diferentes sistemas operacionais.

SO Agente de autenticação Suporta a FIDO2
iOS Microsoft Authenticator
macOS Portal da Empresa do Microsoft Intune1
Android2 Autenticador, Portal da Empresa ou Link para o aplicativo do Windows

1No macOS, o plug-in do logon único (SSO) do Microsoft Enterprise é necessário para habilitar o Portal da Empresa como um agente de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos de plug-in de SSO, incluindo o registro no gerenciamento de dispositivo móvel. Para autenticação FIDO2, verifique se você executa a versão mais recente de aplicativos nativos.

2Suporte a aplicativos nativos para chaves de segurança FIDO2 no Android versão 13 e inferior está em desenvolvimento.

Se um usuário instalou um agente de autenticação, ele pode optar por entrar com uma chave de segurança quando acessar um aplicativo como o Outlook. Eles são redirecionados para iniciar sessão com o FIDO2 e redirecionados de volta para o Outlook como um usuário conectado após a autenticação bem-sucedida.

Suporte a aplicativos da Microsoft sem agente de autenticação

A tabela a seguir lista o suporte de aplicativo da Microsoft para chave de acesso (FIDO2) sem um agente de autenticação.

Aplicativo macOS iOS Android
Área de Trabalho Remota
Aplicativo do Windows

Suporte a aplicativos de terceiros sem agente de autenticação

Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de acesso quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, confira Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.

Suporte ao navegador da Web

Esta tabela mostra o suporte de navegadores à autenticação no Microsoft Entra ID e em contas da Microsoft usando o FIDO2. Consumidores criam as contas da Microsoft para serviços como Xbox, Skype ou Outlook.com.

Sistema operacional Chrome Edge Firefox Safari
Windows N/D
macOS
ChromeOS N/D N/D N/D
Linux N/D
iOS
Android 1 N/D

1Suporte para chaves de acesso no Authenticator usando o Edge em dispositivos Android em breve.

Suporte ao navegador para cada plataforma

As tabelas a seguir mostram quais transportes têm suporte em cada plataforma. Os tipos de dispositivo com suporte incluem USB, NFC(comunicação por campo de proximidade) e BLE (Bluetooth de Baixa Energia).

Windows

Navegador USB NFC BLE
Edge
Chrome
Firefox

Versão mínima do navegador

A seguir estão os requisitos mínimos de versão do navegador no Windows.

Navegador Versão mínima
Chrome 76
Edge Windows 10 version 19031
Firefox 66

1 Todas as versões do novo Microsoft Edge com base em Chromium dão suporte a FIDO2. O suporte no Microsoft Edge herdado foi adicionado em 1903.

macOS

Navegador USB NFC1 BLE1
Edge N/D N/D
Chrome N/D N/D
Firefox2 N/D N/D
Safari2,3 N/D N/D

1Não há suporte para as chaves de segurança NFC e BLE no macOS da Apple.

2O novo registro de chave de segurança não funciona nesses navegadores macOS porque eles não solicitam a configuração da biometria ou do PIN.

3Consulte Entrar quando mais de três chaves de acesso forem registradas.

ChromeOS

Navegador1 USB NFC BLE
Chrome

1Não há suporte para o registro de chave de segurança no navegador ChromeOS ou Chrome.

Linux

Navegador USB NFC BLE
Edge
Chrome
Firefox

iOS

Navegador1,3 Lightning NFC BLE2
Edge N/D
Chrome N/D
Firefox N/D
Safari N/D

1O novo registro de chave de segurança não funciona nesses navegadores iOS porque eles não solicitam a configuração da biometria ou do PIN.

2Não há suporte para chaves de segurança BLE no iOS da Apple.

3Consulte Entrar quando mais de três chaves de acesso forem registradas.

Android

Navegador1 USB NFC BLE2
Edge
Chrome
Firefox

1O registro de chave de segurança com o Microsoft Entra ID ainda não tem suporte no Android.

2Não há suporte para chaves de segurança BLE no Android pelo Google.

Problemas conhecidos

Entrar quando mais de três chaves de acesso forem registradas

Se você registrou mais de três chaves de acesso, a entada com uma chave de acesso pode não funcionar. Se você tiver mais de três chaves de acesso, como uma solução alternativa, clique em Opções de entrada e entre sem inserir um nome de usuário.

Captura de tela das opções de entrada.

Suporte do PowerShell

O Microsoft Graph PowerShell dá suporte ao FIDO2. Alguns módulos do PowerShell que usam o Internet Explorer em vez do Edge não têm a capacidade de realizar a autenticação FIDO2. Por exemplo, os módulos do PowerShell para SharePoint Online ou Teams, ou quaisquer scripts do PowerShell que exijam credenciais de administrador, não solicitam o FIDO2.

Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A CBA (autenticação baseada em certificado) funciona em todos os navegadores. Se você puder habilitar a CBA nessas contas de administrador, poderá exigir a CBA em vez do FIDO2 nesse ínterim.

Próximas etapas

Habilitar a entrada de chave de segurança sem senha