Compartilhar via

Habilitar chaves de acesso no Authenticator

  • Artigo

Este artigo lista as etapas para habilitar e impor o uso de chaves de acesso no Authenticator para o Microsoft Entra ID. Primeiro, você atualiza a política de métodos de autenticação para permitir que os usuários se registrem e entrem com chaves de acesso no Authenticator. Em seguida, você pode usar políticas de pontos fortes de autenticação de acesso condicional para impor o login com chave de acesso quando os usuários acessarem um recurso confidencial.

Requisitos

  • MFA (autenticação multifator) do Microsoft Entra.

  • Android 14 e posterior ou iOS 17 e posterior.

  • Para registro e autenticação entre dispositivos:

    • Ambos os dispositivos devem ter o Bluetooth habilitado.
    • A conexão à Internet para esses dois endpoints deve ser autorizada em sua organização.
      • https://cable.ua5v.com
      • https://cable.auth.com

    Observação

    Os usuários não poderão usar o registro entre dispositivos se você habilitar a validação.

Para saber mais sobre o suporte a FIDO2, consulte Suporte para autenticação FIDO2 com o Microsoft Entra ID.

Habilitar chaves de acesso no Authenticator pelo centro de administração

  1. Inicie sessão no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

  2. Navegue até Proteção>Métodos de autenticação>Política de método de autenticação.

  3. No método Passkey (FIDO2), selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Somente grupos de segurança são suportados.

  4. Na guia Configurar, defina:

    • Defina Permitir configuração de autoatendimento como Sim. Se ele estiver definido como Sem, os usuários não poderão registrar uma chave de passagem usando informações de segurança, mesmo se as chaves de passagem (FIDO2) estiverem habilitadas pela política de métodos de Autenticação.

    • Defina Impor atestado como Sim ou Não.

      Quando o atestado está habilitado na política de chave de acesso (FIDO2), a ID do Microsoft Entra tenta verificar a legitimidade da chave de acesso que está sendo criada. Quando o usuário está registrando uma chave de passagem no Authenticator, o atestado verifica se o aplicativo Authenticator legítimo criou a chave de acesso usando os serviços da Apple e do Google. Veja mais detalhes:

      • iOS: o atestado do Authenticator usa o serviço App Attest do iOS para garantir a legitimidade do aplicativo Authenticator antes de registrar a chave de acesso.

      • Android:

        • Para atestado de integridade de reprodução, o atestado doo Authenticator usa a API de Integridade de Executar para garantir a legitimidade do aplicativo do Authenticator antes de registrar a chave de acesso.
        • Para atestado de chave, o atestado do Authenticator usa o atestado de chave pelo Android para verificar se a chave de acesso que está sendo registrada tem suporte de hardware.

      Observação

      Para iOS e Android, o atestado do Authenticator conta com os serviços da Apple e do Google para verificar a autenticidade do aplicativo do Authenticator. O uso intenso do serviço pode fazer com que o registro da chave de acesso falhe e os usuários talvez precisem tentar novamente. Se os serviços da Apple e do Google estiverem inativos, o atestado do Authenticator bloqueará o registro que requer atestado até que os serviços sejam restaurados. Para monitorar o status do serviço de Integridade do Google Play, consulte o Painel de status do Google Play. Para monitorar o status do serviço de Atestado de aplicativo iOS, consulte o Status do Sistema.

    Observação

    Os usuários só podem registrar chaves de passagem atestadas diretamente no aplicativo Authenticator. Os fluxos de registro entre dispositivos não dão suporte ao cadastro de chaves de acesso atestadas.

    • As restrições de chave definem a usabilidade de chaves de acesso específicas para registro e autenticação. Você pode definir Impor restrições de chave como Nenhum para permitir que os usuários registrem qualquer chave de acesso com suporte, incluindo o registro de chave secreta diretamente no aplicativo Authenticator.

      Você pode definir Impor restrições de chave como Sim, permitindo ou bloqueando apenas determinadas chaves de acesso, que são identificadas por seus AAGUIDs. Até meados de fevereiro, as Informações de segurança requerem que essa configuração seja definida como Sim para que os usuários possam escolher Chave de acesso no Authenticator e seguir um fluxo dedicado de registro de chave de acesso no Authenticator. Se você optar por Sem, os usuários que acessarem o SecurityInfo ainda poderão adicionar um passkey no Authenticator escolhendo a chave de segurança ou o método de passkey, dependendo do sistema operacional e do navegador. No entanto, não esperamos que muitos usuários descubram e usem esse método.

      Se você impor restrições de chave e já tiver uso ativo de chave de acesso, deverá coletar os AAGUIDs das chaves de acesso que estão sendo usadas hoje. Você pode usar um script do PowerShell para localizar AAGUIDs que são usados em seu locatário. Para obter mais informações, confira Localizar AAGUIDs.

      Se você definir Restringir chaves específicas como Permitir, selecione Microsoft Authenticator para adicionar automaticamente os AAGUIDs do aplicativo Authenticator à lista de restrições de chaves. Você também pode adicionar manualmente os AAGUIDs a seguir para permitir que os usuários registrem chaves de acesso no Authenticator entrando no aplicativo Authenticator ou passando por um fluxo guiado nas Informações de segurança:

      • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Se você alterar as restrições de chave e remover um AAGUID permitido antes, os usuários que anteriormente registraram um método permitido não poderão mais usá-lo para entrar.

      Observação

      Se você desativar as restrições de chave, desmarque a caixa de seleção Microsoft Authenticator para que os usuários não sejam solicitados a configurar uma chave de acesso nas Informações de segurança do aplicativo Authenticator.

    Captura de tela que mostra o Authenticator habilitado para chave de acesso.

  5. Depois de concluir a configuração, selecione Salvar.

    Se você vir um erro ao tentar salvar, substitua vários grupos por um único grupo em uma operação e selecione Salvar novamente.

Habilitar chaves de acesso no Authenticator usando o Explorador do Graph

Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso no Authenticator usando o Explorador do Graph. Se for atribuída a você pelo menos a função Administrador de Política de Autenticação, você poderá atualizar a política de métodos de autenticação para permitir os AAGUIDs para o Authenticator.

Para configurar a política usando o Explorador do Graph:

  1. Entre no Explorador do Graph e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

  2. Recupere a política de Métodos de autenticação:

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Para desativar a aplicação de atestado e restringir o uso da chave para permitir apenas AAGUIDs no Authenticator, execute uma operação PATCH usando o seguinte corpo da requisição:

    PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": true,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Verifique se a política de chave de acesso (FIDO2) está atualizada corretamente.

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Localizar AAGUIDs

Use o script GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 do Microsoft Graph PowerShell para enumerar os AAGUIDs de todas as chaves de acesso registradas no inquilino.

Salve o corpo desse script em um arquivo chamado GetRegisteredPasskeyAAGUIDsForAllUsers.ps1.

# Disconnect from Microsoft Graph
Disconnect-MgGraph

# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'

# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"

# Initialize the file with a header
Set-Content -Path $file -Value '---'

# Retrieve all users
$UserArray = Get-MgBetaUser -All

# Iterate through each user
foreach ($user in $UserArray) {
    # Retrieve Passkey authentication methods for the user
    $fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id

    if ($fidos -eq $null) {
        # Log and write to file if no Passkey methods are found
        Write-Host "User object ID $($user.Id) has no Passkey"
        Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
    } else {
        # Iterate through each Passkey method
        foreach ($fido in $fidos) {
            # Log and write to file the Passkey details
            Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
            Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
        }
    }

    # Log and write a separator to file
    Write-Host "==="
    Add-Content -Path $file -Value "==="
}

Restringir o uso de Bluetooth a chaves de acesso no Authenticator

Algumas organizações restringem o uso de Bluetooth, o que inclui o uso de chaves de acesso. Nesses casos, as organizações podem permitir chaves de acesso permitindo o emparelhamento do Bluetooth exclusivamente com autenticadores de FIDO2 habilitados para chave de acesso. Para obter mais informações sobre como configurar o uso do Bluetooth apenas para chaves de acesso, confira Chaves de Acesso em Ambientes com Restrição de Bluetooth.

Excluir uma chave de acesso

Se um usuário excluir uma chave de acesso no Authenticator, ela também será removida dos métodos de entrada do usuário. Um Administrador de Política de Autenticação também pode seguir estas etapas para excluir uma chave de passagem dos métodos de autenticação do usuário, mas não removerá a chave de acesso do Authenticator.

  1. Entre no centro de administração do Microsoft Entrae pesquise o usuário cuja chave de acesso deve ser removida.

  2. Selecione Métodos de autenticação, clique com o botão direito do mouse em Chave de segurança e selecione Excluir.

    A menos que o usuário iniciou a exclusão da chave de acesso no Authenticator, ele também precisará remover ela no Authenticator em seu dispositivo.

Impor o início de sessão com chaves de acesso no Authenticator

Para fazer com que os usuários entrem com uma chave de acesso quando acessarem um recurso confidencial, use a força de autenticação resistente a phishing interna ou crie uma força de autenticação personalizada seguindo estas etapas:

  1. Entre no centro de administração do Microsoft Entra como administrador de acesso condicional.

  2. Navegue até Proteção>Métodos de autenticação>Forças de autenticação.

  3. Selecione Nova força de autenticação.

  4. Forneça um nome descritivo para sua nova força de autenticação.

  5. Opcionalmente, forneça uma descrição.

  6. Selecione Chaves de Passe (FIDO2), e, em seguida, selecione Opções avançadas.

  7. Selecione a Força da MFA resistente a phishing ou adicione AAGUIDs para chaves de acesso no Authenticator:

    • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  8. Selecione Próximoe examine a configuração da política.

Conteúdo relacionado