Dela via

Microsoft Entra ID-attestering för FIDO2-säkerhetsnyckelleverantörer

  • Artikel

FIDO2-säkerhetsnycklar möjliggör nätfiskeresistent autentisering. De kan ersätta svaga autentiseringsuppgifter med starka maskinvarubaserade offentliga/privata nyckelautentiseringsuppgifter som inte kan återanvändas, spelas upp eller delas mellan tjänster. Säkerhetsnycklar stöder scenarier med delade enheter, så att du kan bära med dig dina autentiseringsuppgifter och autentisera på alla enheter som stöds på ett säkert sätt.

I principen för Microsoft Entra-ID-autentiseringsmetoder kan administratörer framtvinga attestering för FIDO2-säkerhetsnycklar. När Framtvinga attestering är inställt på Ja kräver Microsoft extra metadata från FIDO2-säkerhetsnycklar som är registrerade hos klientorganisationen. Som leverantör kan din FIDO2-säkerhetsnyckel användas när attesteringen tillämpas, om följande krav uppfylls.

Kommentar

Microsoft Entra-ID stöder för närvarande enhetsbundna nycklar som lagras på FIDO2-säkerhetsnycklar och i Microsoft Authenticator. Microsoft har åtagit sig att skydda kunder och användare med nyckelnycklar. Vi investerar i både synkroniserade och enhetsbundna nyckelnycklar för arbetskonton.

Attesteringskrav

Microsoft förlitar sig på FIDO Alliance Metadata Service (MDS) för att fastställa säkerhetsnyckelns kompatibilitet med Windows, Microsoft Edge-webbläsare och Microsoft-onlinekonton. Leverantörer rapporterar data till FIDO MDS.

Under FIDO2-registreringen kräver Microsoft Entra-ID säkerhetsnycklar för att tillhandahålla en attesteringsinstrukitet. För leverantörer är det förväntade attesteringsformatet packat enligt FIDO-standarden.

De specifika kraven varierar beroende på hur en administratör konfigurerar PRINCIPEN FIDO2-autentiseringsmetoder.

Framtvinga attestering inställd på Ja Framtvinga attestering inställd på Nej
Den måste tillhandahålla en giltig paketerad attesteringsinstruktor och ett fullständigt certifikat som kedjar tillbaka till attesteringsrötterna som extraherats från FIDO Alliance MDS, så att Microsoft kan verifiera nyckelns metadata. Den måste tillhandahålla en giltig paketerad attesteringsinstrukelse (men Microsoft ignorerar attesteringsverifieringsresultat) och ett fullständigt certifikat (som inte behöver associeras med en viss certifikatkedja).

Kommentar

Leverantörerna ansvarar för att publicera alla rotattesteringscertifikat till FIDO Alliance MDS. annars kan verifieringen av attesteringen misslyckas.

Om attestering tillämpas gäller dessutom följande krav:

  • Din autentisering måste ha en FIDO2-certifiering. Detta kan vara på vilken nivå som helst . Mer information om certifieringen finns på webbplatsen för FIDO Alliance Certification Overview.
  • Dina produktmetadata måste laddas upp till FIDO Alliance MDS och du måste kontrollera att dina metadata finns i MDS. Metadata måste ange att din autentisering stöder:
    • FIDO 2.0 eller senare.
    • Användarverifiering eller klient-PIN - Microsoft Entra-ID kräver användarverifiering med biometri eller PIN-kod för alla FIDO2-autentiseringsförsök.
    • Resident-nycklar (eller identifieringsbara autentiseringsuppgifter) – Resident-nycklar krävs för att använda en säkerhetsnyckel för att logga in på Microsoft Entra-ID utan att ange ett användarnamn.
    • Hemligt tillägg för Hash-baserad meddelandeautentiseringskoder (HMAC) eller PRF-tillägg (Pseudo-Random Function) – Ett HMAC-hemligt tillägg eller PRF-tillägg krävs för att använda en säkerhetsnyckel för att låsa upp Windows i offlinescenarier.

Tidslinjer

Microsoft matar in den senaste versionen av FIDO Alliance MDS varje månad. Det kan finnas en maximal fördröjning på fyra veckor från det att din FIDO2-säkerhetsnyckel visas i FIDO Alliance MDS till när Microsoft känner igen nyckelmodellen. Om din nyckel uppfyller Microsofts attesteringskrav visas den automatiskt på Microsoft FIDO2-partnersidan.

FIDO2-säkerhetsnycklar som är berättigade till attestering med Microsoft Entra-ID

Följande tabell innehåller varje FIDO2-säkerhetsnyckelmodell som anges i MDS version 93 och som är berättigad till attestering med Microsoft Entra-ID. För varje modell visar tabellen AAGUID (Authenticator Attestation Globally Unique Identifier) och funktionsfunktioner.

beskrivning AAGUID Biografi USB NFC BLE
ACS FIDO-autentisering 50a45b0c-80e7-f944-bf29-f552bfa2e048 n y n n
ACS FIDO-autentiseringskort 973446ca-e21c-9a9b-99f5-9b985a67af0f n n y n
Allthenticator App: roaming BLE FIDO2 Allthenticator för Windows-, Mac-, Linux- och Allthenticate-dörrläsare 5ca1ab1e-1337-fa57-f1d0-a117e71ca702 y y n n
Arculus FIDO 2.1 Nyckelkort [P71] 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 n y n n
Arculus FIDO2/U2F-nyckelkort 9d3df6ba-282f-11ed-a261-0242ac120002 n y n n
ATKey.Card CTAP2.0 d41f5a69-b817-4144-a13c-9ebd6d9254d6 y n n n
ATKey.Card NFC da1fa263-8b25-42b6-a820-c0036f21ba7f y y y n
ATKey.Pro CTAP2.0 e1a96183-5016-4f24-b55b-e3ae23614cc6 y n n n
ATKey.Pro CTAP2.1 e416201b-afeb-41ca-a03d-2281c28322aa y y n n
ATKey.ProS ba76a271-6eb6-4171-874d-b6428dbe3437 y y n n
Atos CardOS FIDO2 1c086528-58d5-f211-823c-356786e36140 n y y n
authenton1 – CTAP2.1 b267239b-954f-4041-a01b-ee4f33c145b6 n y y n
Chunghwa Telecom FIDO2 Smart Card Authenticator 175cd298-83d2-4a26-b637-313c07a6434e n n y n
Crayonic KeyVault K1 (USB-NFC-BLE FIDO2 Authenticator) be727034-574a-f799-5c76-0929e0430973 y y y y
Cryptnox FIDO2 9c835346-796b-4c27-8898-d6032f515cc5 n n y n
Egomet FIDO2 Authenticator för Android 1105e4ed-af1d-02ff-ffff-ffffffffffffff y n n n
Ensurity ThinC 454e5346-4944-4ffd-6c93-8e9267193e9a y y n n
eWBM eFA310 FIDO2 Authenticator 95442b2e-f15e-4def-b270-efb106facb4e y n n n
eWBM eFA320 FIDO2 Authenticator 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c y n n n
eWBM eFPA FIDO2 Authenticator 61250591-b2bc-4456-b719-0b17be90bb30 y n n n
Excelsecu eSecu FIDO2 Fingeravtrycksnyckel 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 y y n n
Säkerhetsnyckel för Fingeravtryck i Excelsecu eSecu FIDO2 20f0be98-9af9-986a-4b42-8eca4acb28e4 y y n n
Säkerhetsnyckel för Fingeravtryck i Excelsecu eSecu FIDO2 d384db22-4d50-ebde-2eac-5765cf1e2a44 y y n n
Säkerhetsnyckel för Excelsecu eSecu FIDO2 NFC a3975549-b191-fd67-b8fb-017e2917fdb3 n y y n
Säkerhetsnyckel för Excelsecu eSecu FIDO2 NFC fbefdf68-fe86-0106-213e-4d5fa24cbe2e n y y n
Säkerhetsnyckel för Excelsecu eSecu FIDO2 Pro 0d9b2e56-566b-c393-2940-f821b7f15d6d n y y y
Säkerhetsnyckel för Excelsecu eSecu FIDO2 PRO bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a n y y y
Säkerhetsnyckel för Excelsecu eSecu FIDO2 cdbdaea2-c415-5073-50f7-c04e968640b6 n y n n
Feitian AllinOne FIDO2 Authenticator 12ded745-4bed-47d4-abaa-e713f51d6393 y y y y
Feitian BioPass FIDO2 Authenticator 77010bd7-212a-4fc9-b236-d2ca5e9d4084 y y n n
Feitian BioPass FIDO2 Plus Authenticator b6ede29c-3772-412c-8a78-539c1f4c62d2 y y n n
Feitian ePass FIDO2 Authenticator 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 n y n n
Feitian ePass FIDO2-NFC Authenticator ee041bce-25e5-4cdb-8f86-897fd6418464 n y y n
Feitian ePass FIDO2-NFC-serien (CTAP2.1, CTAP2.0, U2F) 234cd403-35a2-4cc2-8015-77ea280c77f5 n y y n
Feitian iePass FIDO Authenticator 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d n y n n
FIDO KeyPass S3 f4c63eff-d26c-4248-801c-3736c7eaa93a n y n n
FT-JCOS FIDO Fingeravtryckskort 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 n n y n
Google Titan Säkerhetsnyckel v2 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 n y y n
GoTrust Idem Card FIDO2 Authenticator 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 n n n n
GoTrust Idem Key FIDO2 Authenticator 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a n n n n
HID Crescendo C2300 aeb6569c-f8fb-4950-ac60-24ca2bbe2e52 n n y n
HID Crescendo C3000 c80dbd9a-533f-4a17-b941-1a2f1c7cedff n n y n
HID Crescendo aktiverat 54d9fee8-e621-4291-8b18-7157b99c5bec n n y n
HID Crescendo-nyckel 692db549-7ae5-44d5-a1e5-dd20a493b723 n y y n
HID Crescendo Key V2 2d3bec26-15ee-4f5d-88b2-53622490270b n y y n
Hideez Key 4 FIDO2 SDK 4e768f2c-5fab-48b3-b300-220eb487752b n y y y
Hyper FIDO Bio Security Key d821a7d4-e97c-4cb6-bd82-4237731fd4be y n n n
Hyper FIDO Pro 9f77e279-a6e2-4d58-b700-31e5943c6a98 n n n n
HYPR FIDO2-autentisering 0076631b-d4a0-427f-5773-0ec71c9e0279 y n n n
IDCore 3121 Fido e86addcd-7711-47e5-b42a-c18257b0bf61 n n y n
IDEMIA ID-ONE-kort 8d1b1fcb-3c76-49a9-9129-5515b346aa02 n y y n
IDmelon Android Authenticator 39a5647e-1853-446c-a1f6-a79bae9f5bc7 y n n n
IDmelon iOS-autentisering 820d89ed-d65a-409e-85cb-f73f0578f82a y n n n
IDPrime 3930 FIDO ca4cff1b-5a81-4404-8194-59aabcf1660b n n y n
IDPrime 3940 FIDO b50d5e0a-7f81-4959-9b12-f45407407503 n n y n
IDPrime 931 Fido 2194b428-9397-4046-8f39-007a1605a482 n n y n
IDPrime 941 Fido 2ffd6452-01da-471f-821b-ea4bf6c8676a n n y n
ImproveID Authenticator 4c50ff10-1057-4fc6-b8ed-43a529530c3c n y y n
NYCKEL-ID FIDO2-autentisering d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 n y n n
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator 4b3f8944-d4f2-4d21-bb19-764a986ec160 y y n n
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 y y n n
KONAI Secp256R1 FIDO2 Conformance Testing CTAP2 Authenticator f7c558a0-f465-11e8-b568-0800200c9a66 y y y n
KX701 SmartToken FIDO fec067a1-f1d0-4c5e-b4c0-cc3237475461 n y y n
NEOWAVE Badgeo FIDO2 c5703116-972b-4851-a3e7-ae1259843399 n y y n
NEOWAVE Winkeo FIDO2 3789da91-f943-46bc-95c3-50ea2012f03a n y n n
NXP Semiconductros FIDO2 Conformance Testing CTAP2 Authenticator 07a9f89c-6407-4594-9d56-621d5f1e358b n n n n
Nymi FIDO2-autentisering 0acf3011-bc60-f375-fb53-6f05f43154e0 y n y n
OCTATCO EzFinger2 FIDO2 AUTHENTICATOR a1f52be5-dfab-4364-b51c-2bd496b14a56 y n n n
OneSpan DIGIPASS FX1 BIO 30b5035e-d297-4ff1-b00b-addc96ba6a98 y y y y
OneSpan DIGIPASS FX1a 30b5035e-d297-4ff1-010b-addc96ba6a98 y y n n
OneSpan DIGIPASS FX7 30b5035e-d297-4ff7-b00b-addc96ba6a98 n y n y
OneSpan FIDO Touch 30b5035e-d297-4fc1-b00b-addc96ba6a97 n y n y
OnlyKey Secp256R1 FIDO2 CTAP2 Authenticator 998f358b-2dd2-4cbe-a43a-e8107438dfb3 n n n n
OpenSK-autentisering 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 n y n n
Pone Biometrics OFFPAD Authenticator 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 y n n y
Precision InnaIT Key FIDO 2 Level 2 certifierad 88bbd2f0-342a-42e7-9729-dd158be5407a y y n n
RSA DS100 7e3f3d30-3557-4442-bdae-139312178b39 n y n n
Safenet eToken FIDO efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 n y n n
SafeNet eToken Fusion 74820b05-a6c9-40f9-8fb0-9f86aca93998 n y n n
SafeNet eToken Fusion CC 23786452-f02d-4344-87ed-aaf703726881 n y n n
Säkerhetsnyckel av Yubico b92c3f9a-c014-4056-887f-140a2501163b n y n n
Säkerhetsnyckel av Yubico f8a011f3-8c0a-4d15-8006-17111f9edc7d n y n n
Säkerhetsnyckel från Yubico med NFC 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 n y y n
Säkerhetsnyckel från Yubico med NFC 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 n y y n
Security Key NFC av Yubico a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa n y y n
Security Key NFC av Yubico e77e3c64-05e3-428b-8824-0cbeb04b829d n y n n
Security Key NFC från Yubico – Enterprise Edition 0bb43545-fd2c-4185-87dd-feb0b2916ace n y y n
Security Key NFC från Yubico – Enterprise Edition 47ab2fb4-66ac-4184-9ae1-86be814012d5 n y n n
Sentry Enterprises CTAP2 Authenticator 89b19028-256b-4025-8872-255358d950e4 y y n y
SmartDisplayer BobeePass FIDO2 Authenticator 516d3969-5a57-5651-5958-4e7a49434167 n y y y
Solo Secp256R1 FIDO2 CTAP2 Authenticator 8876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Separat tryck på Secp256R1 FIDO2 CTAP2 Authenticator 8976631b-d4a0-427f-5773-0ec71c9e0279 n n y n
Somu Secp256R1 FIDO2 CTAP2 Authenticator 9876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Swissbit iShield Key FIDO2 931327dd-c89b-406c-a81e-ed7058ef36c6 n y n n
Swissbit iShield Key Pro 5d629218-d3a5-11ed-afa1-0242ac120002 n y y n
Taglio CTAP2.1 CS 092277e5-8437-46b5-b911-ea64b294acb7 n n y n
Taglio CTAP2.1 EP 7d2afadd-bf6b-44a2-a66b-e831fceb8eff n n y n
Thales IDPrime FIDO Bio 4d41190c-7beb-4a84-8018-adf265a6352d y n y n
FIDO2-autentisering med tokenring 91ad6b93-264b-4987-8737-3a690cad6917 y n y n
TOKEN2 FIDO2-säkerhetsnyckel ab32f0c6-2239-afbb-c470-d2ef4e254db7 n n n n
TOKEN2 PIN plus säkerhetsnyckelserie eabb46cc-e241-80bf-ae9e-96fa6d2975cf n y y n
uTrust FIDO2 Säkerhetsnyckel 73402251-f2a8-4f03-873e-3cb6db604b03 n y y n
VALMIDO PRO FIDO 5626bed4-e756-430b-a7ff-ca78c8b12738 y n n y
VeriMark Guard Fingeravtrycksnyckel d94a29d9-52dd-4247-9c2d-8b818b610389 y n n n
VinCSS FIDO2-autentisering 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 n n n n
WiSECURE AuthTron USB FIDO2 Authenticator 504d7149-4e4c-3841-4555-55445a677357 y y n n
YubiKey 5 FIPS-serien 73bb0cd4-e502-49b8-9c6f-b59445bf720b n y n n
YubiKey 5 FIPS-serien med Blixten 85203421-48f9-4355-9bc8-8a53846e5083 n y n n
YubiKey 5 FIPS-serien med NFC c1f9a0bc-1dd2-404a-b27f-8e29047a43fd n y y n
YubiKey 5-serien 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b n y n n
YubiKey 5-serien cb69481e-8ff7-4039-93ec-0a2729a154a8 n y n n
YubiKey 5-serien ee882879-721c-4913-9775-3dfcce97072a n y n n
YubiKey 5-serien med Blixten a02167b9-ae71-4ac7-9a07-06432ebb6f1c n y n n
YubiKey 5-serien med Blixten c5ef55ff-ad9a-4b9f-b580-adebafe026d0 n y n n
YubiKey 5-serien med NFC 2fc0579f-8113-47ea-b116-bb5a8db9202a n y y n
YubiKey 5-serien med NFC a25342c0-3cdc-4414-8e46-f4807fca511c n y y n
YubiKey 5-serien med NFC fa2b99dc-9e39-4257-8f92-4a30d23c4118 n y y n
YubiKey Bio FIDO Edition dd86a2da-86a0-4cbe-b462-4bd31f57bc6f y y n n
YubiKey Bio Series d8522d9f-575b-4866-88a9-ba99fa02f35b y y n n
YubiKey Bio Series – Multi-protocol Edition 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 y y n n
YubiKey Bio Series – Multi-protocol Edition 90636e1f-ef82-43bf-bdcf-5255f139d12f y y n n
YubiKey Bio Series – Multi-protocol Edition 1VDJSN 58276709-bb4b-4bb3-baf1-60eea99282a7 y y n n
YubiKey Bio Series (företagsprofil) 83c47309-aabb-4108-8470-8be838b573cb y y n n

Nästa steg

Mer information om Microsoft Entra ID-stöd för nätfiskeresistent autentisering med FIDO2-säkerhetsnycklar i webbläsare och interna appar finns i FIDO2-kompatibilitet.