Matriz de autenticação com chave de acesso (FIDO2) do Microsoft Entra ID
O Microsoft Entra ID permite que as chaves de acesso (FIDO2) sejam usadas para autenticação multifator sem senha. Este artigo aborda quais aplicativos nativos, navegadores da Web e sistemas operacionais dão suporte à entrada usando a chave de acesso com a ID do Microsoft Entra.
Para habilitar as chaves de segurança FIDO2 para desbloquear um dispositivo Windows, consulte Habilitar a entrada da chave de segurança FIDO2 em dispositivos Windows 10 e 11 com o Microsoft Entra ID.
Observação
Atualmente, o Microsoft Entra ID oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está comprometida em proteger clientes e usuários com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas a dispositivos para contas corporativas.
Visão geral
| SO | Chrome | Edge | Firefox | Safari | Aplicativos nativos |
|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/D | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅2 |
| ChromeOS | ✅ | N/D | N/D | N/D | N/D |
| Linux | ✅ | ✅ | ✅1 | N/D | ❌ |
| iOS | ✅ | ✅ | ✅ | ✅ | ✅2 |
| Android | ✅ | ✅1 | ❌ | N/D | ✅2 |
1Entrar com chave de acesso no Microsoft Authenticator ainda não é compatível neste cenário.
2requer que um agente de autenticação seja instalado no dispositivo do usuário. Alguns aplicativos da Microsoft dão suporte à autenticação passkey sem um agente de autenticação. Para obter mais informações, consulte suporte a aplicativos nativos.
Considerações para cada plataforma
Windows
- A melhor experiência de início de sessão com chave de acesso é no Windows 11 versão 22H2 ou posterior.
- A entrada com a chave de segurança requer um dos seguintes itens:
- Windows 10 versão 1903 ou posterior
- Microsoft Edge baseado em Chromium
- Chrome 76 ou posterior
- Firefox 66 ou posterior
- do Microsoft Graph PowerShell dá suporte à chave de acesso (FIDO2). Alguns módulos do PowerShell que usam o Internet Explorer em vez do Edge não têm a capacidade de realizar a autenticação FIDO2. Por exemplo, os módulos do PowerShell para SharePoint Online ou Teams, ou quaisquer scripts do PowerShell que exijam credenciais de administrador, não solicitam o FIDO2.
- Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A CBA (autenticação baseada em certificado) funciona em todos os navegadores. Se você puder habilitar a CBA nessas contas de administrador, poderá exigir a CBA em vez do FIDO2 nesse ínterim.
macOS
- A entrada com chave de acesso requer o macOS Catalina 11.1 ou posterior com o Safari 14 ou posterior, pois a ID do Microsoft Entra requer a verificação do usuário para autenticação multifator.
- As chaves de segurança NFC (comunicação de campo próximo) e BLE (Baixa Energia Bluetooth) não têm suporte no macOS da Apple.
- O novo registro de chave de segurança não funciona nesses navegadores macOS porque eles não solicitam a configuração de biometria ou PIN.
- Confira Entrar quando mais de três chaves de acesso estiverem registradas para Safari no macOS.
ChromeOS
- As chaves de segurança NFC e BLE não têm suporte no ChromeOS pelo Google.
- Não há suporte para registro de chave de segurança no navegador ChromeOS ou Chrome.
Linux
- Não há suporte para entrada com chave de acesso no Microsoft Authenticator no Firefox no Linux.
iOS
- A entrada com chave de acesso requer o iOS 14.3 ou posterior, pois a ID do Microsoft Entra requer a verificação do usuário para autenticação multifator.
- Não há suporte para chaves de segurança BLE no iOS da Apple.
- O novo registro de chave de segurança não funciona em navegadores iOS porque eles não solicitam a configuração de biometria ou PIN.
- Confira Entrar quando mais de três chaves de acesso estiverem registradas.
Android
- O login com chave de acesso requer o Google Play Services 21 ou posterior porque o Microsoft Entra ID requer a verificação do usuário para autenticação multifator.
- Não há suporte para chaves de segurança BLE no Android pelo Google.
- O registro de chave de segurança com a ID do Microsoft Entra ainda não tem suporte no Android.
- Não há suporte para entrada com chave de acesso no Firefox no Android.
Suporte a aplicativos nativos
As seções a seguir abrangem o suporte à autenticação FIDO2 (chave de passagem) na Microsoft e aplicativos de terceiros com a ID do Microsoft Entra.
Observação
A autenticação com chave de acesso com um IDP (Provedor de Identidade) de terceiros não tem suporte em aplicativos de terceiros usando o agente de autenticação ou aplicativos da Microsoft no macOS, iOS ou Android no momento.
Suporte a aplicativos nativos com o agente de autenticação
Os aplicativos da Microsoft fornecem suporte nativo para autenticação por chave de acesso para todos os usuários que têm um gerenciador de autenticação instalado no sistema operacional deles. A autenticação por chave de acesso também tem suporte de aplicativos de terceiros usando o agente de autenticação.
Se um usuário instalou um agente de autenticação, ele pode optar por entrar com uma chave de acesso quando acessar um aplicativo como o Outlook. Eles são redirecionados para entrar com chave de acesso e redirecionados de volta para o Outlook como um usuário conectado após a autenticação bem-sucedida.
As tabelas a seguir listam quais agentes de autenticação são aceitos para diferentes sistemas operacionais.
| SO | Agente de autenticação |
|---|---|
| iOS | Microsoft Authenticator |
| macOS | Portal da Empresa do Microsoft Intune |
| Android | Autenticador, Portal da Empresa ou Link para o aplicativo do Windows |
iOS
- Entrar com chave de acesso em aplicativos nativos sem o plug-in de SSO (logon único) do Microsoft Enterprise requer o iOS 16.0 ou posterior.
- A entrada com chave de acesso em aplicativos nativos com o plug-in do SSO requer o iOS 17.1 ou posterior.
macOS
- No macOS, o plug-in do logon único (SSO) do Microsoft Enterprise é necessário para habilitar o Portal da Empresa como um agente de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos de plug-in de SSO, incluindo o registro no gerenciamento de dispositivo móvel.
- Login com chave de acesso em aplicativos nativos com o plug-in do SSO requer o macOS 14.0 ou posterior.
Android
- A entrada com a chave de segurança FIDO2 para aplicativos nativos requer o Android 13 ou posterior.
- A entrada com chave de acesso no Microsoft Authenticator para aplicativos nativos requer o Android 14 ou posterior.
Suporte a aplicativos da Microsoft sem agente de autenticação
A tabela a seguir lista o suporte de aplicativo da Microsoft para chave de acesso (FIDO2) sem um agente de autenticação.
| Aplicativo | macOS | iOS | Android |
|---|---|---|---|
| Área de Trabalho Remota | ✅ | ✅ | ❌ |
| Aplicativo do Windows | ✅ | ✅ | ❌ |
Suporte a aplicativos de terceiros sem agente de autenticação
Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de acesso quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, confira Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.
Problemas conhecidos
Entrar quando mais de três chaves de acesso forem registradas
Se você registrou mais de três chaves de acesso, pode ser que entrar com uma chave de acesso não funcione no iOS ou no Safari no macOS. Se você tiver mais de três chaves de acesso, como uma solução alternativa, clique em Opções de entrada e entre sem inserir um nome de usuário.
