evento
9/04, 15 - 10/04, 12
Codifique o futuro com IA e conecte-se com colegas e especialistas em Java no JDConf 2025.
Registar-se agoraAtivar chaves de acesso (FIDO2) para a sua organização
Para empresas que usam senhas atualmente, as chaves de acesso (FIDO2) fornecem uma maneira perfeita para os trabalhadores se autenticarem sem inserir um nome de usuário ou senha. As chaves de acesso (FIDO2) proporcionam maior produtividade para os trabalhadores e têm melhor segurança.
Este artigo lista os requisitos e as etapas para habilitar as chaves de acesso em sua organização. Depois de concluir estas etapas, os usuários em sua organização podem se registrar e entrar em suas contas do Microsoft Entra usando uma chave de acesso armazenada em uma chave de segurança FIDO2 ou no Microsoft Authenticator.
Para obter mais informações sobre como habilitar chaves de acesso no Microsoft Authenticator, consulte Como habilitar chaves de acesso no Microsoft Authenticator.
Para obter mais informações sobre a autenticação por chave de acesso, consulte Suporte para autenticação FIDO2 com ID do Microsoft Entra.
Nota
O Microsoft Entra ID atualmente oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está empenhada em proteger clientes e utilizadores com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas ao dispositivo para contas de trabalho.
- Os usuários devem concluir a autenticação multifator (MFA) nos últimos cinco minutos antes de poderem registrar uma chave de acesso (FIDO2).
- Os usuários precisam de uma chave de segurança FIDO2 qualificada para atestado com o Microsoft Entra ID ou Microsoft Authenticator.
- Os dispositivos devem suportar autenticação por chave de acesso (FIDO2). Para dispositivos Windows que aderiram ao Microsoft Entra ID, a melhor experiência é no Windows 10 versão 1903 ou superior. Os dispositivos com ligação híbrida devem executar o Windows 10, versão 2004 ou posterior.
As chaves de acesso (FIDO2) são suportadas nos principais cenários no Windows, macOS, Android e iOS. Para obter mais informações sobre cenários suportados, consulte Suporte para autenticação FIDO2 no Microsoft Entra ID.
Nota
O suporte para o registro do mesmo dispositivo no Edge no Android estará disponível em breve.
A especificação FIDO2 requer que cada fornecedor de chave de segurança forneça um GUID de Atestado de Autenticador (AAGUID) durante o registro. Um AAGUID é um identificador de 128 bits que indica o tipo de chave, como marca e modelo. Espera-se também que os fornecedores de chaves de acesso (FIDO2) em computadores e dispositivos móveis forneçam um AAGUID durante o registo.
Nota
O fornecedor deve garantir que o AAGUID seja idêntico em todos os provedores de chaves de segurança ou chaves de acesso (FIDO2) substancialmente idênticos feitos por esse fornecedor e diferentes (com alta probabilidade) dos AAGUIDs de todos os outros tipos de chaves de segurança ou provedores de chaves de acesso (FIDO2). Para garantir isso, o AAGUID para um determinado modelo de chave de segurança ou provedor de chave de acesso (FIDO2) deve ser gerado aleatoriamente. Para obter mais informações, consulte Autenticação da Web: uma API para acessar credenciais de chave pública - Nível 2 (w3.org).
Você pode trabalhar com seu fornecedor de chave de segurança para determinar o AAGUID da chave de acesso (FIDO2) ou consulte Chaves de segurança FIDO2 qualificadas para atestado com o Microsoft Entra ID. Se a chave de acesso (FIDO2) já estiver registrada, você pode encontrar o AAGUID visualizando os detalhes do método de autenticação da chave de acesso (FIDO2) para o usuário.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Proteção>Métodos de Autenticação>Políticas.
No método Passkey (FIDO2), defina a alternância como Enable. Selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Apenas grupos de segurança são suportados.
Na guia Configurar:
Defina Permitir configuração de autoatendimento comoSim. Se definido como Não, os usuários não poderão registrar uma chave de acesso usando Informações de segurança, mesmo que as chaves de acesso (FIDO2) estejam habilitadas pela política de métodos de autenticação.
Defina Impor atestado como Sim se sua organização quiser ter certeza de que um modelo de chave de segurança FIDO2 ou provedor de chave de acesso é genuíno e vem do fornecedor legítimo.
- Para chaves de segurança FIDO2, exigimos que os metadados da chave de segurança sejam publicados e verificados com o Serviço de Metadados da FIDO Alliance e também passamos no outro conjunto de testes de validação da Microsoft. Para obter mais informações, consulte Tornar-se um fornecedor de chave de segurança FIDO2 compatível com a Microsoft.
- As chaves de acesso no Microsoft Authenticator também suportam atestado. Para obter mais informações, consulte Como funciona o atestado de chave de acesso com o Authenticator.
Aviso
A imposição do atestado determina se uma chave de acesso (FIDO2) é permitida apenas durante o registo. Os utilizadores que registam uma chave de acesso (FIDO2) sem atestado não serão impedidos de entrar se Impor atestado estiver definido como Sim mais tarde.
Política de restrição de chave
- Aplicar restrições de chave deve ser definido como Sim somente se a sua organização quiser permitir ou proibir determinados modelos de chave de segurança ou provedores de passkey, que são identificados pelo seu AAGUID. Você pode trabalhar com seu fornecedor de chave de segurança para determinar o AAGUID da chave de acesso. Se a chave de acesso já estiver registrada, você pode encontrar o AAGUID visualizando os detalhes do método de autenticação da chave de acesso para o usuário.
Aviso
As principais restrições definem a usabilidade de modelos ou provedores específicos para registro e autenticação. Se você alterar as restrições de chave e remover um AAGUID permitido anteriormente, os usuários que registraram anteriormente um método permitido não poderão mais usá-lo para entrar.
Depois de concluir a configuração, selecione Salvar.
Nota
Se vir um erro quando tentar guardar, substitua vários grupos por um único grupo numa operação e, em seguida, clique novamente em Guardar .
Atualmente em visualização, os administradores podem usar o Microsoft Graph e clientes personalizados para provisionar chaves de segurança FIDO2 para os utilizadores. O provisionamento requer a função Administrador de Autenticação ou um aplicativo cliente com permissão de UserAuthenticationMethod.ReadWrite.All. As melhorias de provisionamento incluem:
- A capacidade de solicitar Opções de Criação de WebAuthn do Microsoft Entra ID
- A capacidade de registrar a chave de segurança provisionada diretamente com o Microsoft Entra ID
Com essas novas APIs, as organizações podem criar seus próprios clientes para provisionar credenciais de chave de acesso (FIDO2) em chaves de segurança em nome de um usuário. Para simplificar este processo, são necessárias três etapas principais.
- Pedido de opções de criação para um utilizador: o Microsoft Entra ID retorna os dados necessários para que o seu cliente provisione uma credencial de chave de acesso (FIDO2). Isso inclui informações como informações do usuário, ID da terceira parte confiável, requisitos de política de credenciais, algoritmos, desafio de registro e muito mais.
-
Provisione a credencial de chave de acesso (FIDO2) com as opções de criação: use o
creationOptionse um cliente que ofereça suporte ao protocolo CTAP (Client to Authenticator Protocol) para provisionar a credencial. Durante esta etapa, você precisa inserir a chave de segurança e definir um PIN. - Registrar a credencial provisionada com o Microsoft Entra ID: Use a saída formatada do processo de provisionamento para fornecer ao Microsoft Entra ID os dados necessários para registrar a credencial de chave de acesso (FIDO2) para o usuário de destino.
Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso (FIDO2) usando a API do Microsoft Graph. Para habilitar chaves de acesso (FIDO2), você precisa atualizar a política de métodos de autenticação como pelo menos um administrador de política de autenticação.
Para configurar a política usando o Graph Explorer:
Entre no Graph Explorer e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .
Recupere a política de métodos de autenticação:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2Para desativar a imposição de atestado e impor restrições de chave para permitir apenas o AAGUID para RSA DS100, por exemplo, execute uma operação PATCH usando o seguinte corpo de solicitação:
PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }Certifique-se de que a política de chave de acesso (FIDO2) está atualizada corretamente.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Para remover uma chave de acesso (FIDO2) associada a uma conta de usuário, exclua-a do método de autenticação do usuário.
- Entre no centro de administração do Microsoft Entra e procure o usuário cuja chave de acesso (FIDO2) precisa ser removida.
- Selecione Métodos de autenticação, clique com o botão direito do rato em > e selecione Eliminar.
Para fazer com que os usuários entrem com uma chave de acesso (FIDO2) quando acessarem um recurso confidencial, você pode:
Use uma força de autenticação resistente a phishing integrada
Ou
Crie uma força de autenticação personalizada
As etapas a seguir mostram como criar uma força de autenticação personalizada. É uma política de Acesso Condicional que permite iniciar sessão com uma chave de acesso (FIDO2) apenas para um modelo específico de chave de segurança ou fornecedor de passkey (FIDO2). Para obter uma lista de provedores FIDO2, consulte Chaves de segurança FIDO2 qualificadas para atestado com ID do Microsoft Entra.
- Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
- Navegue até Proteção>Métodos de autenticação>Níveis de autenticação.
- Selecione Nova força de autenticação.
- Forneça um Nome para sua nova força de autenticação.
- Opcionalmente, forneça uma Descrição.
- Selecione Chaves de acesso (FIDO2).
- Opcionalmente, se você quiser restringir um AAGUID específico, selecione Opções avançadas>Adicionar AAGUID. Digite o AAGUID e selecione Salvar.
- Escolha Avançar e revise a configuração da política.
A disponibilização de chaves de segurança pelo administrador está em fase de testes. Consulte Microsoft Graph e clientes personalizados para provisionar chaves de segurança FIDO2 em nome de utilizadores.
O registro de credenciais de chave de acesso (FIDO2) não é suportado para usuários de colaboração B2B no locatário de recurso.
Se o UPN de um usuário for alterado, você não poderá mais modificar as chaves de acesso (FIDO2) para contabilizar a alteração. Se o usuário tiver uma chave de acesso (FIDO2), ele precisará entrar nas informações de segurança, excluir a chave de acesso antiga (FIDO2) e adicionar uma nova.
Entrar no Windows 10 com chave de segurança FIDO2
Habilitar a autenticação FIDO2 para recursos locais
Registar chaves de segurança em nome dos utilizadores
Saiba mais sobre o registo de dispositivos
Saiba mais sobre a autenticação multifator do Microsoft Entra