Suporte para autenticação FIDO2 com Microsoft Entra ID
O Microsoft Entra ID permite que chaves de acesso sejam usadas para autenticação sem senha. Este artigo aborda quais aplicativos nativos, navegadores da Web e sistemas operacionais oferecem suporte à autenticação sem senha usando chaves de acesso com ID do Microsoft Entra.
Nota
O Microsoft Entra ID atualmente oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está empenhada em proteger clientes e utilizadores com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas ao dispositivo para contas de trabalho.
Suporte a aplicativos nativos
As seções a seguir abrangem o suporte para aplicativos da Microsoft e de terceiros. No momento, a autenticação FIDO2 com um Provedor de Identidade (IDP) de terceiros não é suportada em aplicativos de terceiros que usam o agente de autenticação ou aplicativos da Microsoft no macOS, iOS ou Android.
Suporte nativo a aplicativos com agente de autenticação
Os aplicativos da Microsoft fornecem suporte nativo para autenticação FIDO2 para todos os usuários que têm um agente de autenticação instalado para seu sistema operacional. A autenticação FIDO2 também é suportada para aplicativos de terceiros que usam o agente de autenticação.
As tabelas a seguir listam quais agentes de autenticação são suportados para diferentes sistemas operacionais.
SO | Agente de autenticação | Suporta FIDO2 |
---|---|---|
iOS | Microsoft Authenticator | ✅ |
macOS | Portalda Empresa do Microsoft Intune 1 | ✅ |
Androide2 | Autenticador, Portal da Empresa ou Link para o aplicativo do Windows | ✅ |
1 No macOS, o plug-in Microsoft Enterprise Single Sign On (SSO) é necessário para habilitar o Portal da Empresa como um agente de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos do plug-in SSO, incluindo o registro no gerenciamento de dispositivos móveis. Para autenticação FIDO2, certifique-se de executar a versão mais recente de aplicativos nativos.
2 Suporte de aplicativo nativo para chaves de segurança FIDO2 no Android versão 13 e inferior está em desenvolvimento.
Se um usuário instalou um agente de autenticação, ele pode optar por entrar com uma chave de segurança quando acessar um aplicativo como o Outlook. Eles são redirecionados para entrar com FIDO2 e redirecionados de volta para o Outlook como um usuário conectado após a autenticação bem-sucedida.
Suporte a aplicativos da Microsoft sem agente de autenticação
A tabela a seguir lista o suporte a aplicativos Microsoft para chave de acesso (FIDO2) sem um agente de autenticação.
Aplicação | macOS | iOS | Android |
---|---|---|---|
Ambiente de Trabalho Remoto | ✅ | ✅ | ❌ |
Aplicativo do Windows | ✅ | ✅ | ❌ |
Suporte a aplicativos de terceiros sem agente de autenticação
Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de acesso quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, consulte Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.
Suporte a navegadores da Web
Esta tabela mostra o suporte do navegador para autenticar o Microsoft Entra ID e contas da Microsoft usando FIDO2. Os consumidores criam contas Microsoft para serviços como Xbox, Skype ou Outlook.com.
SO | Chrome | Edge | Firefox | Safari |
---|---|---|---|---|
Windows | ✅ | ✅ | ✅ | N/A |
macOS | ✅ | ✅ | ✅ | ✅ |
SO ChromeOS | ✅ | N/A | N/D | N/A |
Linux | ✅ | ❌ | ❌ | N/A |
iOS | ✅ | ✅ | ✅ | ✅ |
Android | ✅ | ✅1 | ❌ | N/A |
1 O suporte para chaves de acesso no Authenticator usando o Edge em dispositivos Android será disponibilizado em breve.
Suporte a navegadores da Web para cada plataforma
As tabelas a seguir mostram quais transportes são suportados para cada plataforma. Os tipos de dispositivos suportados incluem USB, comunicação de campo próximo (NFC) e bluetooth de baixa energia (BLE).
Windows
Browser | USB | NFC | BLE |
---|---|---|---|
Edge | ✅ | ✅ | ✅ |
Chrome | ✅ | ✅ | ✅ |
Firefox | ✅ | ✅ | ✅ |
Versão mínima do navegador
A seguir estão os requisitos mínimos de versão do navegador no Windows.
Browser | Versão Mínima |
---|---|
Chrome | 76 |
Edge | Windows 10 versão 19031 |
Firefox | 66 |
1 Todas as versões do novo Microsoft Edge baseado em Chromium suportam FIDO2. O suporte ao legado do Microsoft Edge foi adicionado em 1903.
macOS
Browser | USB | NFC 1 | BLE1 |
---|---|---|---|
Edge | ✅ | N/A | N/A |
Chrome | ✅ | N/A | N/A |
Firefox2 | ✅ | N/A | N/A |
Safári2,3 | ✅ | N/A | N/A |
1 As chaves de segurança NFC e BLE não são suportadas no macOS pela Apple.
2 O novo registo de chave de segurança não funciona nestes navegadores macOS porque não solicitam a configuração de biometria ou PIN.
3 Consulte Entrar quando mais de três chaves de acesso estiverem registradas.
SO ChromeOS
Navegador1 | USB | NFC | BLE |
---|---|---|---|
Chrome | ✅ | ❌ | ❌ |
1 O registo da chave de segurança não é suportado no ChromeOS ou no navegador Chrome.
Linux
Browser | USB | NFC | BLE |
---|---|---|---|
Edge | ❌ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
iOS
Navegador1,3 | Lightning | NFC | BLE2 |
---|---|---|---|
Edge | ✅ | ✅ | N/A |
Chrome | ✅ | ✅ | N/A |
Firefox | ✅ | ✅ | N/A |
Safari | ✅ | ✅ | N/A |
1 O novo registro de chave de segurança não funciona em navegadores iOS porque eles não solicitam a configuração de biometria ou PIN.
2 As chaves de segurança BLE não são suportadas no iOS pela Apple.
3 Consulte Entrar quando mais de três chaves de acesso estiverem registradas.
Android
Navegador1 | USB | NFC | BLE2 |
---|---|---|---|
Edge | ✅ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
1 O registo da chave de segurança com o Microsoft Entra ID ainda não é suportado no Android.
2 As chaves de segurança BLE não são suportadas no Android pela Google.
Problemas conhecidos
Inicie sessão quando estiverem registadas mais de três chaves de acesso
Se registou mais do que três chaves de acesso, iniciar sessão com uma chave de acesso poderá não funcionar. Se tiver mais de três chaves de acesso, como solução alternativa, clique em Opções de início de sessão e inicie sessão sem introduzir um nome de utilizador.
Suporte do PowerShell
O Microsoft Graph PowerShell suporta FIDO2. Alguns módulos do PowerShell que usam o Internet Explorer em vez do Edge não são capazes de executar a autenticação FIDO2. Por exemplo, os módulos do PowerShell para SharePoint Online ou Teams, ou quaisquer scripts do PowerShell que exijam credenciais de administrador, não solicitam FIDO2.
Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A autenticação baseada em certificado (CBA) funciona em todos os navegadores. Se você puder habilitar o CBA para essas contas de administrador, poderá exigir o CBA em vez de FIDO2 nesse ínterim.
Próximos passos
Ativar o início de sessão com chave de segurança sem palavra-passe