Matriz de autenticação de chave de acesso (FIDO2) com Entra ID da Microsoft
O Microsoft Entra ID permite que chaves de acesso (FIDO2) sejam usadas para autenticação sem senha multifator. Este artigo aborda quais aplicativos nativos, navegadores da Web e sistemas operacionais oferecem suporte ao logon usando chave de acesso com ID do Microsoft Entra.
Para habilitar as chaves de segurança FIDO2 para desbloquear um dispositivo Windows, consulte Habilitar o login da chave de segurança FIDO2 em dispositivos Windows 10 e 11 com o Microsoft Entra ID.
Nota
O Microsoft Entra ID atualmente oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está empenhada em proteger clientes e utilizadores com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas ao dispositivo para contas de trabalho.
Visão geral
| SO | Chrome | Edge | Firefox | Safari | Aplicativos nativos |
|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/A | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ 1 |
| SO ChromeOS | ✅ | N/A | N/A | N/A | N/A |
| Linux | ✅ | ✅ | ✅ | N/A | ❌ |
| iOS | ✅ | ✅ | ✅ | ✅ | ✅ 1 |
| Android | ✅ | ✅ | ❌ | N/A | ✅ 1 |
1Requer que um agente de autenticação seja instalado no dispositivo do usuário. Alguns aplicativos da Microsoft oferecem suporte à autenticação por chave de acesso sem um agente de autenticação. Para obter mais informações, consulte suporte para aplicações nativas.
Considerações para cada plataforma
Windows
- A melhor experiência de entrada com chave de acesso está no Windows 11 versão 22H2 ou posterior.
- O início de sessão com chave de segurança requer um dos seguintes itens:
- Windows 10 versão 1903 ou posterior
- Microsoft Edge baseado em Chromium
- Chrome 76 ou posterior
- Firefox 66 ou posterior
-
do Microsoft Graph PowerShell oferece suporte a chave de acesso (FIDO2). Alguns módulos do PowerShell que usam o Internet Explorer em vez do Edge não são capazes de executar a autenticação FIDO2. Por exemplo, os módulos do PowerShell para SharePoint Online ou Teams, ou quaisquer scripts do PowerShell que exijam credenciais de administrador, não solicitam FIDO2.
- Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A autenticação baseada em certificado (CBA) funciona em todos os navegadores. Se você puder habilitar o CBA para essas contas de administrador, poderá exigir o CBA em vez de FIDO2 nesse ínterim.
macOS
- O início de sessão com chave de acesso requer o macOS Catalina 11.1 ou posterior com o Safari 14 ou posterior porque o Microsoft Entra ID requer verificação do utilizador para autenticação multifator.
- As chaves de segurança NFC (near-field communication) e Bluetooth Low Energy (BLE) não são suportadas no macOS pela Apple.
- O novo registro de chave de segurança não funciona nesses navegadores macOS porque eles não solicitam a configuração de biometria ou PIN.
- Consulte Iniciar sessão quando mais de três chaves de acesso estiverem registadas para o Safari no macOS.
SO ChromeOS
- As chaves de segurança NFC e BLE não são suportadas no ChromeOS pela Google.
- O registo da chave de segurança não é suportado no ChromeOS ou no navegador Chrome.
Linux
- O início de sessão com chave de acesso no Microsoft Authenticator não é suportado no Firefox no Linux.
iOS
- O início de sessão com chave de acesso requer o iOS 14.3 ou posterior porque o Microsoft Entra ID requer a verificação do utilizador para autenticação multifator.
- As chaves de segurança BLE não são suportadas no iOS pela Apple.
- O novo registro de chave de segurança não funciona em navegadores iOS porque eles não solicitam a configuração de biometria ou PIN.
- Consulte Iniciar sessão quando mais de três chaves de acesso estiverem registadas.
Android
- O login com chave de acesso requer o Google Play Services 21 ou posterior porque o Microsoft Entra ID requer verificação do usuário para autenticação multifator.
- As chaves de segurança BLE não são suportadas no Android pela Google.
- O registo da chave de segurança com o Microsoft Entra ID ainda não é suportado no Android.
- O login com chave de acesso não é compatível com o Firefox no Android.
Suporte a aplicativos nativos
As seções a seguir abrangem o suporte para autenticação por chave de acesso (FIDO2) em aplicativos da Microsoft e de terceiros com o Microsoft Entra ID.
Nota
No momento, a autenticação por chave de acesso com um Provedor de Identidade (IDP) de terceiros não é suportada em aplicativos de terceiros que usam o agente de autenticação ou em aplicativos da Microsoft no macOS, iOS ou Android.
Suporte nativo a aplicativos com agente de autenticação
Os aplicativos da Microsoft fornecem suporte nativo para autenticação de chave de acesso para todos os usuários que têm um agente de autenticação instalado para seu sistema operacional. A autenticação por chave de acesso também é suportada para aplicativos de terceiros que usam o agente de autenticação.
Se um usuário instalou um agente de autenticação, ele pode optar por entrar com uma chave de acesso quando acessar um aplicativo como o Outlook. Eles são redirecionados para entrar com chave de acesso e redirecionados de volta para o Outlook como um usuário conectado após a autenticação bem-sucedida.
As tabelas a seguir listam quais agentes de autenticação são suportados para diferentes sistemas operacionais.
| SO | Agente de autenticação |
|---|---|
| iOS | Microsoft Authenticator |
| macOS | Portal da Empresa do Microsoft Intune |
| Android | Autenticador, Portal da Empresa ou Link para o aplicativo do Windows |
iOS
- Inicie sessão com chave de acesso em aplicações nativas sem plug-in Microsoft Enterprise Single Sign On (SSO) requer o iOS 16.0 ou posterior.
- O início de sessão com chave de acesso em aplicações nativas com o plug-in SSO requer o iOS 17.1 ou posterior.
macOS
- No macOS, o do plug-in Microsoft Enterprise Single Sign On (SSO) é necessário para habilitar o Portal da Empresa como um agente de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos do plug-in SSO, incluindo o registro no gerenciamento de dispositivos móveis.
- O início de sessão com chave de acesso em aplicações nativas com o plug-in SSO requer o macOS 14.0 ou posterior.
Android
- O início de sessão com a chave de segurança FIDO2 para aplicações nativas requer o Android 13 ou posterior.
- O início de sessão com chave de acesso no Microsoft Authenticator para aplicações nativas requer o Android 14 ou posterior.
Suporte a aplicativos da Microsoft sem agente de autenticação
A tabela a seguir lista o suporte a aplicativos Microsoft para chave de acesso (FIDO2) sem um agente de autenticação.
| Aplicação | macOS | iOS | Android |
|---|---|---|---|
| Ambiente de Trabalho Remoto | ✅ | ✅ | ❌ |
| Aplicativo do Windows | ✅ | ✅ | ❌ |
Suporte a aplicativos de terceiros sem agente de autenticação
Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de acesso quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, consulte Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.
Problemas conhecidos
Inicie sessão quando estiverem registadas mais de três chaves de acesso
Se registou mais de três chaves de acesso, iniciar sessão com uma chave de acesso poderá não funcionar no iOS ou no Safari no macOS. Se tiver mais de três chaves de acesso, como solução alternativa, clique em Opções de início de sessão e inicie sessão sem introduzir um nome de utilizador.
Próximos passos
Ativar o início de sessão com chave de segurança sem palavra-passe