Atestado do Microsoft Entra ID para fornecedores de chaves de segurança FIDO2
As chaves de segurança FIDO2 permitem autenticação resistente a phishing. Elas podem substituir credenciais fracas por credenciais fortes de chave pública/privada com apoio de hardware, que não podem ser reutilizadas nem reproduzidas ou compartilhadas entre serviços. As chaves de segurança são compatíveis com cenários de dispositivo compartilhado, permitindo que você leve consigo as credenciais e se autentique com segurança em qualquer dispositivo compatível.
Na política de métodos de autenticação do Microsoft Entra ID, os administradores podem impor o atestado para chaves de segurança FIDO2. Quando Impor atestado é definido como Sim, a Microsoft requer metadados extras de chaves de segurança FIDO2 registradas no locatário. Como fornecedor, sua chave de segurança FIDO2 pode ser usada quando o atestado é imposto, se os requisitos a seguir forem atendidos.
Observação
Atualmente, o Microsoft Entra ID oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está comprometida em proteger clientes e usuários com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas a dispositivos para contas corporativas.
Requisitos de atestado
A Microsoft conta com o MDS (Serviço de Metadados) da FIDO Alliance para determinar a compatibilidade da chave de segurança com o Windows, o navegador Microsoft Edge e as contas online da Microsoft. Os fornecedores relatam dados ao MDS da FIDO.
Durante o registro FIDO2, o Microsoft Entra ID requer chaves de segurança para fornecer uma instrução de atestado. Para fornecedores, o formato de atestado esperado é empacotado, conforme definido pelo padrão FIDO.
Os requisitos específicos variam de acordo com a forma como um administrador configura a política de métodos de autenticação FIDO2.
| Impor atestado definido como Sim | Impor atestado definido como Não |
|---|---|
| Ele deve fornecer uma instrução de atestado empacotado válida e um certificado completo que encadeia de volta para as raízes do atestado extraídas do MDS da FIDO Alliance, para que a Microsoft possa validar os metadados da chave. | Ele deve fornecer uma instrução de atestado empacotado válida (mas a Microsoft ignorará os resultados da verificação do atestado) e um certificado completo (que não precisa estar associado a uma cadeia de certificados específica). |
Observação
Os fornecedores são responsáveis por publicar todos os certificados de atestado raiz no MDS da FIDO Alliance; caso contrário, a verificação do atestado pode falhar.
Além disso, se o atestado for imposto, os seguintes requisitos se aplicam:
- O autenticador precisa ter uma certificação FIDO2. Isso pode ser no nível qualquer. Para saber mais sobre a certificação, acesse o site de Visão Geral da Certificação da FIDO Alliance.
- Os metadados do produto precisam ser carregados no MDS da FIDO Alliance e você precisa verificar se os metadados estão no MDS. Os metadados devem indicar que seu autenticador é compatível com:
- FIDO 2.0 ou superior.
- Verificação do usuário ou PIN do cliente – o Microsoft Entra ID requer verificação do usuário com biometria ou PIN para todas as tentativas de autenticação FIDO2.
- Chaves residentes (ou credenciais detectáveis) – são necessárias para usar uma chave de segurança para entrar no Microsoft Entra ID sem inserir um nome de usuário.
- Extensão secreta HMAC (Códigos Autenticadores de Mensagem Baseados em Hash) ou extensão PRF (Função Pseudo-Aleatória) – Uma extensão secreta HMAC ou extensão PRF é necessária para usar uma chave de segurança para desbloquear o Windows em cenários offline.
Linhas do tempo
A Microsoft ingere a versão mais recente do MDS da FIDO Alliance todos os meses. Pode haver um atraso de no máximo quatro semanas do momento em que a sua chave de segurança FIDO2 aparece no MDS da FIDO Alliance até o momento em que a Microsoft reconhece o modelo de chave. Se sua chave atender aos requisitos de atestado da Microsoft, ela aparecerá automaticamente na página do parceiro Microsoft FIDO2.
Chaves de segurança FIDO2 qualificadas para atestado com o Microsoft Entra ID
A tabela a seguir inclui cada modelo de chave de segurança FIDO2 listado no MDS versão 93 qualificado para atestado com o Microsoft Entra ID. Para cada modelo, a tabela mostra o AAGUID (Identificador global exclusivo de Atestado do Authenticator) e as capacidades dos recursos.
| Descrição | AAGUID | Biografia | USB | NFC | BLE |
|---|---|---|---|---|---|
| Autenticador ACS FIDO | 50a45b0c-80e7-f944-bf29-f552bfa2e048 |  |
 |
|
|
| Cartão autenticador ACS FIDO | 973446ca-e21c-9a9b-99f5-9b985a67af0f | |
|
|
|
| Aplicativo Allthenticator: roaming BLE FIDO2 Allthenticator para Windows, Mac, Linux e leitores de porta Allthenticate | 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 | |
|
|
|
| Cartão da chave Arculus FIDO 2.1 [P71] | 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 | |
|
|
|
| Cartão da chave Arculus FIDO2/U2F | 9d3df6ba-282f-11ed-a261-0242ac120002 | |
|
|
|
| ATKey.Card CTAP2.0 | d41f5a69-b817-4144-a13c-9ebd6d9254d6 | |
|
|
|
| ATKey.Card NFC | da1fa263-8b25-42b6-a820-c0036f21ba7f | |
|
|
|
| ATKey.Pro CTAP2.0 | e1a96183-5016-4f24-b55b-e3ae23614cc6 | |
|
|
|
| ATKey.Pro CTAP2.1 | e416201b-afeb-41ca-a03d-2281c28322aa | |
|
|
|
| ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 | |
|
|
|
| Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 | |
|
|
|
| authenton1 - CTAP2.1 | b267239b-954f-4041-a01b-ee4f33c145b6 | |
|
|
|
| Autenticador de Cartão Inteligente Chunghwa Telecom FIDO2 | 175cd298-83d2-4a26-b637-313c07a6434e | |
|
|
|
| Crayonic KeyVault K1 (Autenticador USB-NFC-BLE FIDO2) | be727034-574a-f799-5c76-0929e0430973 | |
|
|
|
| Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 | |
|
|
|
| Autenticador Egomet FIDO2 para Android | 1105e4ed-af1d-02ff-ffff-ffffffffffff | |
|
|
|
| Ensurity ThinC | 454e5346-4944-4ffd-6c93-8e9267193e9a | |
|
|
|
| Autenticador eWBM eFA310 FIDO2 | 95442b2e-f15e-4def-b270-efb106facb4e | |
|
|
|
| Autenticador eWBM eFA320 FIDO2 | 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c | |
|
|
|
| Autenticador eWBM eFPA FIDO2 | 61250591-b2bc-4456-b719-0b17be90bb30 | |
|
|
|
| Chave de impressão digital Excelsecu eSecu FIDO2 | 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 | |
|
|
|
| Chave de segurança de impressão digital Excelsecu eSecu FIDO2 | 20f0be98-9af9-986a-4b42-8eca4acb28e4 | |
|
|
|
| Chave de segurança de impressão digital Excelsecu eSecu FIDO2 | d384db22-4d50-ebde-2eac-5765cf1e2a44 | |
|
|
|
| Chave de segurança Excelsecu eSecu FIDO2 NFC | a3975549-b191-fd67-b8fb-017e2917fdb3 | |
|
|
|
| Chave de segurança Excelsecu eSecu FIDO2 NFC | fbefdf68-fe86-0106-213e-4d5fa24cbe2e | |
|
|
|
| Chave de segurança Excelsecu eSecu FIDO2 Pro | 0d9b2e56-566b-c393-2940-f821b7f15d6d | |
|
|
|
| Chave de segurança Excelsecu eSecu FIDO2 PRO | bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a | |
|
|
|
| Chave de segurança Excelsecu eSecu FIDO2 | cdbdaea2-c415-5073-50f7-c04e968640b6 | |
|
|
|
| Autenticador Feitian AllinOne FIDO2 | 12ded745-4bed-47d4-abaa-e713f51d6393 | |
|
|
|
| Autenticador Feitian BioPass FIDO2 | 77010bd7-212a-4fc9-b236-d2ca5e9d4084 | |
|
|
|
| Autenticador Feitian BioPass FIDO2 Plus | b6ede29c-3772-412c-8a78-539c1f4c62d2 | |
|
|
|
| Autenticador Feitian ePass FIDO2 | 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 | |
|
|
|
| Autenticador Feitian ePass FIDO2-NFC | ee041bce-25e5-4cdb-8f86-897fd6418464 | |
|
|
|
| Série Feitian ePass FIDO2-NFC (CTAP2.1, CTAP2.0, U2F) | 234cd403-35a2-4cc2-8015-77ea280c77f5 | |
|
|
|
| Autenticador Feitian iePass FIDO | 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d | |
|
|
|
| FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a | |
|
|
|
| Cartão de impressão digital FT-JCOS FIDO | 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 | |
|
|
|
| Chave de segurança v2 do Google Titan | 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 | |
|
|
|
| Autenticador GoTrust Idem Card FIDO2 | 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 | |
|
|
|
| Autenticador GoTrust Idem Key FIDO2 | 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a | |
|
|
|
| HID Crescendo C2300 | aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 | |
|
|
|
| HID Crescendo C3000 | c80dbd9a-533f-4a17-b941-1a2f1c7cedff | |
|
|
|
| HID Crescendo habilitado | 54d9fee8-e621-4291-8b18-7157b99c5bec | |
|
|
|
| Chave HID Crescendo | 692db549-7ae5-44d5-a1e5-dd20a493b723 | |
|
|
|
| Chave HID Crescendo V2 | 2d3bec26-15ee-4f5d-88b2-53622490270b | |
|
|
|
| Hideez Key 4 FIDO2 SDK | 4e768f2c-5fab-48b3-b300-220eb487752b | |
|
|
|
| Chave de segurança Hyper FIDO Bio | d821a7d4-e97c-4cb6-bd82-4237731fd4be | |
|
|
|
| Hyper FIDO Pro | 9f77e279-a6e2-4d58-b700-31e5943c6a98 | |
|
|
|
| Autenticador HYPR FIDO2 | 0076631b-d4a0-427f-5773-0ec71c9e0279 | |
|
|
|
| IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 | |
|
|
|
| Cartão IDEMIA ID-ONE | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 | |
|
|
|
| Autenticador IDmelon Android | 39a5647e-1853-446c-a1f6-a79bae9f5bc7 | |
|
|
|
| Autenticador IDmelon iOS | 820d89ed-d65a-409e-85cb-f73f0578f82a | |
|
|
|
| IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b | |
|
|
|
| IDPrime 3940 FIDO | b50d5e0a-7f81-4959-9b12-f45407407503 | |
|
|
|
| IDPrime 931 Fido | 2194b428-9397-4046-8f39-007a1605a482 | |
|
|
|
| IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a | |
|
|
|
| Autenticador ImproveID | 4c50ff10-1057-4fc6-b8ed-43a529530c3c | |
|
|
|
| Autenticador KEY-ID FIDO2 | d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 | |
|
|
|
| Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 | -d4f2-4d21-bb19-764a986ec160 | |
|
|
|
| Autenticador KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 | -2ACC-4B8E-9C01-BADE00CCBE26 | |
|
|
|
| Autenticador CTAP2 de teste de conformidade KONAI Secp256R1 FIDO2 | f7c558a0-f465-11e8-b568-0800200c9a66 | |
|
|
|
| KX701 SmartToken FIDO | fec067a1-f1d0-4c5e-b4c0-cc3237475461 | |
|
|
|
| NEOWAVE Badgeo FIDO2 | c5703116-972b-4851-a3e7-ae1259843399 | |
|
|
|
| NEOWAVE Winkeo FIDO2 | 3789da91-f943-46bc-95c3-50ea2012f03a | |
|
|
|
| Autenticador CTAP2 de teste de conformidade FIDO2 da NXP Semiconductros | 07a9f89c-6407-4594-9d56-621d5f1e358b | |
|
|
|
| Autenticador Nymi FIDO2 | 0acf3011-bc60-f375-fb53-6f05f43154e0 | |
|
|
|
| AUTENTICADOR OCTATCO EzFinger2 FIDO2 | a1f52be5-dfab-4364-b51c-2bd496b14a56 | |
|
|
|
| OneSpan DIGIPASS FX1 BIO | 30b5035e-d297-4ff1-b00b-addc96ba6a98 | |
|
|
|
| OneSpan DIGIPASS FX1a | 30b5035e-d297-4ff1-010b-addc96ba6a98 | |
|
|
|
| OneSpan DIGIPASS FX7 | 30b5035e-d297-4ff7-b00b-addc96ba6a98 | |
|
|
|
| OneSpan FIDO Touch | 30b5035e-d297-4fc1-b00b-addc96ba6a97 | |
|
|
|
| Autenticador OnlyKey Secp256R1 FIDO2 CTAP2 | 998f358b-2dd2-4cbe-a43a-e8107438dfb3 | |
|
|
|
| Autenticador OpenSK | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 | |
|
|
|
| Autenticador Pone Biometrics OFFPAD | 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 | |
|
|
|
| Chave Precision InnaIT FIDO 2 Nível 2 certificada | 88bbd2f0-342a-42e7-9729-dd158be5407a | |
|
|
|
| RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 | |
|
|
|
| Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 | |
|
|
|
| SafeNet eToken Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 | |
|
|
|
| SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 | |
|
|
|
| Chave de segurança da Yubico | b92c3f9a-c014-4056-887f-140a2501163b | |
|
|
|
| Chave de segurança da Yubico | f8a011f3-8c0a-4d15-8006-17111f9edc7d | |
|
|
|
| Chave de segurança da Yubico com NFC | 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 | |
|
|
|
| Chave de segurança da Yubico com NFC | 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 | |
|
|
|
| Chave de segurança NFC da Yubico | a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa | |
|
|
|
| Chave de segurança NFC da Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d | |
|
|
|
| Chave de segurança NFC da Yubico – Edição Enterprise | 0bb43545-fd2c-4185-87dd-feb0b2916ace | |
|
|
|
| Chave de segurança NFC da Yubico – Edição Enterprise | 47ab2fb4-66ac-4184-9ae1-86be814012d5 | |
|
|
|
| Autenticador CTAP2 da Sentry Enterprises | 89b19028-256b-4025-8872-255358d950e4 | |
|
|
|
| Autenticador SmartDisplayer BobeePass FIDO2 | 516d3969-5a57-5651-5958-4e7a49434167 | |
|
|
|
| Autenticador Solo Secp256R1 FIDO2 CTAP2 | 8876631b-d4a0-427f-5773-0ec71c9e0279 | |
|
|
|
| Autenticador Solo Tap Secp256R1 FIDO2 CTAP2 | 8976631b-d4a0-427f-5773-0ec71c9e0279 | |
|
|
|
| Autenticador Somu Secp256R1 FIDO2 CTAP2 | 9876631b-d4a0-427f-5773-0ec71c9e0279 | |
|
|
|
| Chave Swissbit iShield FIDO2 | 931327dd-c89b-406c-a81e-ed7058ef36c6 | |
|
|
|
| Chave Swissbit iShield Pro | 5d629218-d3a5-11ed-afa1-0242ac120002 | |
|
|
|
| Taglio CTAP2.1 CS | 092277e5-8437-46b5-b911-ea64b294acb7 | |
|
|
|
| Taglio CTAP2.1 EP | 7d2afadd-bf6b-44a2-a66b-e831fceb8eff | |
|
|
|
| Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d | |
|
|
|
| Autenticador FIDO2 Token Ring | 91ad6b93-264b-4987-8737-3a690cad6917 | |
|
|
|
| Chave de segurança TOKEN2 FIDO2 | ab32f0c6-2239-afbb-c470-d2ef4e254db7 | |
|
|
|
| Série de chaves de segurança TOKEN2 PIN Plus | eabb46cc-e241-80bf-ae9e-96fa6d2975cf | |
|
|
|
| Chave de segurança uTrust FIDO2 | 73402251-f2a8-4f03-873e-3cb6db604b03 | |
|
|
|
| VALMIDO PRO FIDO | 5626bed4-e756-430b-a7ff-ca78c8b12738 | |
|
|
|
| Chave de impressão digital VeriMark Guard | d94a29d9-52dd-4247-9c2d-8b818b610389 | |
|
|
|
| Autenticador VinCSS FIDO2 | 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 | |
|
|
|
| Autenticador WiSECURE AuthTron USB FIDO2 | 504d7149-4e4c-3841-4555-55445a677357 | |
|
|
|
| YubiKey 5 FIPS Series | 73bb0cd4-e502-49b8-9c6f-b59445bf720b | |
|
|
|
| YubiKey 5 FIPS Series with Lightning | 85203421-48f9-4355-9bc8-8a53846e5083 | |
|
|
|
| YubiKey 5 FIPS Series with NFC | c1f9a0bc-1dd2-404a-b27f-8e29047a43fd | |
|
|
|
| YubiKey 5 Series | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b | |
|
|
|
| YubiKey 5 Series | cb69481e-8ff7-4039-93ec-0a2729a154a8 | |
|
|
|
| YubiKey 5 Series | ee882879-721c-4913-9775-3dfcce97072a | |
|
|
|
| YubiKey 5 Series com Lightning | a02167b9-ae71-4ac7-9a07-06432ebb6f1c | |
|
|
|
| YubiKey 5 Series com Lightning | c5ef55ff-ad9a-4b9f-b580-adebafe026d0 | |
|
|
|
| YubiKey 5 Series com NFC | 2fc0579f-8113-47ea-b116-bb5a8db9202a | |
|
|
|
| YubiKey 5 Series com NFC | a25342c0-3cdc-4414-8e46-f4807fca511c | |
|
|
|
| YubiKey 5 Series com NFC | fa2b99dc-9e39-4257-8f92-4a30d23c4118 | |
|
|
|
| YubiKey Bio FIDO Edition | dd86a2da-86a0-4cbe-b462-4bd31f57bc6f | |
|
|
|
| YubiKey Bio Series | d8522d9f-575b-4866-88a9-ba99fa02f35b | |
|
|
|
| YubiKey Bio Series - Edição multiprotocolo | 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 | |
|
|
|
| YubiKey Bio Series - Edição multiprotocolo | 90636e1f-ef82-43bf-bdcf-5255f139d12f | |
|
|
|
| YubiKey Bio Series - Edição multiprotocolo 1VDJSN | 58276709-bb4b-4bb3-baf1-60eea99282a7 | |
|
|
|
| YubiKey Bio Series (Perfil empresarial) | 83c47309-aabb-4108-8470-8be838b573cb | |
|
|
|
Próximas etapas
Para obter mais informações sobre o suporte do Microsoft Entra ID para autenticação resistente a phishing com chaves de segurança FIDO2 em navegadores e aplicativos nativos, consulte Compatibilidade com FIDO2.