Diagrama de la autenticación de aplicaciones con Microsoft Entra ID.
Microsoft Entra ID permite usar claves de acceso para la autenticación sin contraseña. En este artículo se tratan las aplicaciones nativas, los exploradores web y los sistemas operativos que admiten la autenticación sin contraseña mediante claves de acceso con Microsoft Entra ID.
Nota:
Microsoft Entra ID admite actualmente claves de paso enlazadas al dispositivo almacenadas en claves de seguridad FIDO2 y en Microsoft Authenticator. Microsoft se compromete a proteger a los clientes y usuarios con claves de paso. Estamos invirtiendo en claves de acceso sincronizadas y enlazadas a dispositivos para cuentas profesionales.
Soporte técnico de aplicaciones de Microsoft (versión preliminar)
Las aplicaciones de Microsoft proporcionan compatibilidad nativa con la autenticación FIDO2 en versión preliminar para todos los usuarios que tienen instalado un agente de autenticación para su sistema operativo. En las tablas siguientes se enumeran los agentes de autenticación que se admiten para diferentes sistemas operativos.
| Sistema operativo | Agente de autenticación | Admite FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Portal de empresa de Microsoft Intune 1 | ✅ |
| Android2 | Autenticador o Portal de empresa | ❌ |
1En macOS, se requiere el complemento Inicio de sesión único (SSO) de Microsoft Enterprise para habilitar el Portal de empresa como agente de autenticación. Los dispositivos que ejecutan macOS deben cumplir los requisitos del complemento SSO, incluida la inscripción en la administración de dispositivos móviles. Para la autenticación FIDO2, asegúrese de ejecutar la versión más reciente de las aplicaciones nativas.
2La compatibilidad de aplicaciones nativas con FIDO2 en Android está en desarrollo.
Si un usuario instaló un agente de autenticación, puede optar por iniciar sesión con una clave de seguridad cuando acceda a una aplicación como Outlook. Se les redirige para iniciar sesión con FIDO2 y se redirigen de nuevo a Outlook como un usuario que ha iniciado sesión después de la autenticación correcta.
Si el usuario no ha instalado todavía un agente de autenticación, puede iniciar sesión con una clave de seguridad cuando acceda a las aplicaciones habilitadas para MSAL que cumplan los requisitos enumerados en Compatibilidad con la autenticación FIDO2.
Compatibilidad con exploradores web
Esta tabla muestra la compatibilidad de los navegadores con la autenticación de cuentas Microsoft Entra ID y Microsoft mediante FIDO2. Los consumidores crean cuentas de Microsoft para servicios como Xbox, Skype o Outlook.com.
| SO | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/D |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/D | N/D | N/D |
| Linux | ✅ | ❌ | ❌ | N/D |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N/D |
Nota:
En dispositivos Android, no se pueden crear ni autenticar claves de paso desde navegadores, como Google Chrome o Microsoft Edge. La compatibilidad con la creación y autenticación de claves de paso de navegadores depende de las actualizaciones de la API que la plataforma ponga a disposición.
Compatibilidad con exploradores web para cada plataforma
En las tablas siguientes se muestran los transportes que se admiten en cada plataforma. Entre los tipos de dispositivos admitidos se incluyen USB, transmisión de datos en proximidad (NFC) y Bluetooth de bajo consumo (BLE).
Windows
| Browser | USB | NFC | BLE |
|---|---|---|---|
| perimetral | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Versión mínima del explorador
Estos son los requisitos mínimos de la versión del explorador de Windows.
| Browser | Versión mínima |
|---|---|
| Chrome | 76 |
| Edge | Windows 10, versión 19031 |
| Firefox | 66 |
1Todas las versiones del nuevo Microsoft Edge basado en Chromium son compatibles con FIDO2. La compatibilidad con versiones anteriores de Microsoft Edge se agregó en la 1903.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/D | N/D |
| Chrome | ✅ | N/D | N/D |
| Firefox2 | ✅ | N/D | N/D |
| Safari2 | ✅ | N/D | N/D |
1Apple no admite las claves de seguridad NFC y BLE en macOS.
2El nuevo registro de clave de seguridad no funciona en estos exploradores macOS porque no se le pide que configure los datos biométricos ni el PIN.
ChromeOS
| Explorador 1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1El registro de claves de seguridad no se admite en ChromeOS ni en el explorador Chrome.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| perimetral | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Explorador 1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/D |
| Chrome | ✅ | ✅ | N/D |
| Firefox | ✅ | ✅ | N/D |
| Safari | ✅ | ✅ | N/D |
1El nuevo registro de clave de seguridad no funciona en los exploradores iOS porque no se le pide que configure los datos biométricos ni el PIN.
2Apple no admite las claves de seguridad BLE en iOS.
Android
| Explorador 1 | USB | NFC | BLE2 |
|---|---|---|---|
| perimetral | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1 El registro de claves de seguridad con Microsoft Entra ID aún no se admite en Android.
2Google no admite claves de seguridad BLE en Android.
Problemas conocidos
Se debe dar prioridad al dispositivo móvil sobre la clave de seguridad
Si usa Chrome o Edge, el explorador puede priorizar el uso de una clave de acceso almacenada en un dispositivo móvil a través de una clave de acceso almacenada en una clave de seguridad.
A partir de la versión 23H2 de Windows 11, el sistema operativo muestra el siguiente mensaje durante el inicio de sesión. Bajo Más opciones, elija Clave de seguridad y seleccione Siguiente.
En versiones anteriores de Windows, el explorador puede mostrar la pantalla de emparejamiento QR para continuar usando una clave de acceso almacenada en un dispositivo móvil. Para usar una clave de acceso almacenada en una clave de seguridad, inserte la clave de seguridad y tóquela para continuar.
Compatibilidad con PowerShell
Microsoft Graph PowerShell admite FIDO2. Algunos módulos de PowerShell que usan Internet Explorer en lugar de Edge no son capaces de realizar la autenticación de FIDO2. Por ejemplo, los módulos de PowerShell para SharePoint Online o Teams, o cualquier script de PowerShell que requiera credenciales de administrador, no solicitan FIDO2.
Como solución alternativa, la mayoría de los proveedores pueden colocar certificados en las claves de seguridad FIDO2. La autenticación basada en certificados (CBA) funciona en todos los exploradores. Si puede habilitar CBA para las cuentas de administrador, puede exigir CBA, en lugar de FIDO2, entretanto.
Pasos siguientes
Habilitación del inicio de sesión con clave de seguridad sin contraseña