Matriz de autenticação com chave de acesso (FIDO2) do Microsoft Entra ID

O Microsoft Entra ID permite que as chaves de acesso (FIDO2) sejam usadas para autenticação multifator sem senha. Esse artigo aborda quais aplicativos nativos, navegadores da Web e sistemas operacionais oferecem suporte ao login usando senha com o Microsoft Entra ID.

Para habilitar chaves de segurança FIDO2 para desbloquear um dispositivo Windows, veja Habilitar login com chave de segurança FIDO2 em dispositivos Windows 10 e 11 com ID Microsoft Entra.

Observação

Atualmente, o Microsoft Entra ID oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está comprometida em proteger clientes e usuários com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas a dispositivos para contas corporativas.

A seção a seguir aborda o suporte à autenticação FIDO2 (chave de passagem) em navegadores da Web com a ID do Microsoft Entra.

SO	Chrome	Edge	Firefox	Safari
Windows	✅	✅	✅	N/D
macOS	✅	✅	✅	✅
ChromeOS	✅	N/D	N/D	N/D
Linux	✅	✅	✅	N/D
iOS	✅	✅	✅	✅
Android	✅	✅	❌	N/D

Considerações para cada plataforma

Windows

• O login com chave de segurança requer um dos seguintes itens:
  • Windows 10 versão 1903 ou posterior
  • Microsoft Edge baseado em Chromium
  • Chrome 76 ou posterior
  • Firefox 66 ou posterior

macOS

• O login com senha requer o macOS Catalina 11.1 ou posterior com Safari 14 ou posterior porque o Microsoft Entra ID exige verificação do usuário para autenticação multifator.
• As chaves de segurança de comunicação de campo próximo (NFC) e Bluetooth de Baixa Energia (BLE) não são suportadas no macOS pela Apple.
• O novo registro de chave de segurança não funciona nesses navegadores macOS porque eles não solicitam a configuração de biometria ou PIN.
• Veja Efetue login quando mais de três chaves de acesso estiverem registradas para o Safari no macOS.

ChromeOS

• As chaves de segurança NFC e BLE não são suportadas pelo Google no ChromeOS.
• O registro da chave de segurança não é compatível com o ChromeOS ou o navegador Chrome.

Linux

• O login com senha no Microsoft Authenticator não é suportado no Firefox no Linux.

iOS

• O login com senha requer o iOS 14.3 ou posterior porque o Microsoft Entra ID exige verificação do usuário para autenticação multifator.
• As chaves de segurança BLE não são suportadas no iOS pela Apple.
• NFC com chaves de segurança certificadas FIPS 140-3 não é suportada no iOS pela Apple.
• O novo registro de chave de segurança não funciona em navegadores iOS porque eles não solicitam a configuração de biometria ou PIN.
• Confira Entrar quando mais de três chaves de acesso estiverem registradas.

Android

• O login com chave de acesso requer o Google Play Services 21 ou posterior porque o Microsoft Entra ID requer a verificação do usuário para autenticação multifator.
• As chaves de segurança BLE não são suportadas pelo Google no Android.
• O registro da chave de segurança com o Microsoft Entra ID ainda não é compatível com o Android.
• O login com senha não é suportado no Firefox para Android.

Problemas conhecidos

Entrar quando mais de três chaves de acesso forem registradas

Se você registrou mais de três chaves de acesso, pode ser que entrar com uma chave de acesso não funcione no iOS ou no Safari no macOS. Se você tiver mais de três chaves de acesso, como uma solução alternativa, clique em Opções de entrada e entre sem inserir um nome de usuário.

aplicativos nativos

A seção a seguir aborda o suporte à autenticação FIDO2 (chave de passagem) na Microsoft e aplicativos de terceiros com a ID do Microsoft Entra.

Observação

A autenticação de senha com um Provedor de Identidade (IDP) de terceiros não é compatível com aplicativos de terceiros que usam o agente de autenticação ou aplicativos da Microsoft no macOS, iOS ou Android no momento.

Suporte a aplicativos nativos com o agente de autenticação

Os aplicativos da Microsoft fornecem suporte nativo para autenticação por chave de acesso para todos os usuários que têm um gerenciador de autenticação instalado no sistema operacional deles. A autenticação por senha também é suportada por aplicativos de terceiros que usam o agente de autenticação.

Se um usuário instalou um agente de autenticação, ele pode optar por entrar com uma senha ao acessar um aplicativo como o Outlook. Eles são redirecionados para entrar com senha e redirecionados de volta ao Outlook como um usuário conectado após a autenticação bem-sucedida.

As tabelas a seguir listam quais agentes de autenticação são aceitos para diferentes sistemas operacionais.

SO	Agente de autenticação
iOS	Microsoft Authenticator
macOS	Portal da Empresa Microsoft Intune
Android	Autenticador, Portal da Empresa ou Link para o aplicativo do Windows

Suporte a aplicativos da Microsoft sem agente de autenticação

A tabela a seguir lista o suporte de aplicativo da Microsoft para chave de acesso (FIDO2) sem um agente de autenticação. Atualize seus aplicativos para a versão mais recente para garantir que eles sejam compatíveis com chaves de acesso.

Aplicativo	macOS	iOS	Android
Área de Trabalho Remota	✅	✅	❌
Aplicativo do Windows	✅	✅	❌
Microsoft 365 Copilot (Office)	N/D	✅	❌
Word	✅	✅	❌
PowerPoint	✅	✅	❌
Excel	✅	✅	❌
OneNote	✅	✅	❌
Loop	N/D	✅	❌
OneDrive	✅	✅	❌
Outlook	✅	✅	❌
Teams	✅	✅	❌
Edge	✅	✅	❌

Suporte a aplicativos de terceiros sem agente de autenticação

Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de acesso quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, confira Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.

Considerações para cada plataforma

Windows

• A entrada com a chave de segurança FIDO2 para aplicativos nativos requer o Windows 10 versão 1903 ou posterior.
• A entrada com chave de acesso no Microsoft Authenticator para aplicativos nativos requer o Windows 11 versão 22H2 ou posterior.
• O Microsoft Graph PowerShell oferece suporte à chave de acesso (FIDO2). Alguns módulos do PowerShell que usam o Internet Explorer em vez do Edge não têm a capacidade de realizar a autenticação FIDO2. Por exemplo, os módulos do PowerShell para SharePoint Online ou Teams, ou quaisquer scripts do PowerShell que exijam credenciais de administrador, não solicitam o FIDO2.
  • Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A CBA (autenticação baseada em certificado) funciona em todos os navegadores. Se você puder habilitar a CBA nessas contas de administrador, poderá exigir a CBA em vez do FIDO2 nesse ínterim.

iOS

• Para fazer login com senha em aplicativos nativos sem o plug-in Microsoft Enterprise Single Sign On (SSO), é necessário o iOS 16.0 ou posterior.
• Para fazer login com senha em aplicativos nativos com o plug-in SSO, é necessário o iOS 17.1 ou posterior.

macOS

• No macOS, o plug-in Microsoft Enterprise Single Sign On (SSO) é necessário para habilitar o Portal da Empresa como um agente de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos de plug-in de SSO, incluindo o registro no gerenciamento de dispositivo móvel.
• Login com chave de acesso em aplicativos nativos com o plug-in do SSO requer o macOS 14.0 ou posterior.

Android

• Para fazer login com a chave de segurança FIDO2 em aplicativos nativos, é necessário ter o Android 13 ou posterior.
• Para fazer login com senha no Microsoft Authenticator em aplicativos nativos, é necessário ter o Android 14 ou posterior.
• A entrada com chaves de segurança FIDO2 fabricadas pela Yubico com YubiOTP habilitada pode não funcionar em dispositivos Samsung Galaxy. Como solução alternativa, os usuários podem desabilitar o YubiOTP e tentar entrar novamente.

Próximas etapas

Habilitar a entrada de chave de segurança sem senha