Ativar chaves de acesso (FIDO2) para a sua organização

Artigo
04/12/2024

Para empresas que usam senhas atualmente, as chaves de acesso (FIDO2) fornecem uma maneira perfeita para os trabalhadores se autenticarem sem inserir um nome de usuário ou senha. As chaves de acesso proporcionam maior produtividade para os trabalhadores e têm melhor segurança.

Este artigo lista os requisitos e as etapas para habilitar as chaves de acesso em sua organização. Depois de concluir estas etapas, os usuários em sua organização podem se registrar e entrar em suas contas do Microsoft Entra usando uma chave de acesso armazenada em uma chave de segurança FIDO2 ou no Microsoft Authenticator.

Para obter mais informações sobre como habilitar chaves de acesso no Microsoft Authenticator, consulte Como habilitar chaves de acesso no Microsoft Authenticator.

Para obter mais informações sobre a autenticação por chave de acesso, consulte Suporte para autenticação FIDO2 com ID do Microsoft Entra.

Nota

O Microsoft Entra ID atualmente oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está empenhada em proteger clientes e utilizadores com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas ao dispositivo para contas de trabalho.

Requisitos

Microsoft Entra autenticação multifator (MFA).
Chaves de segurança FIDO2 compatíveis ou Microsoft Authenticator.
Dispositivos que suportam autenticação por chave de acesso (FIDO2). Para dispositivos Windows que aderiram ao Microsoft Entra ID, a melhor experiência é no Windows 10 versão 1903 ou superior. Os dispositivos associados a híbridos devem executar o Windows 10 versão 2004 ou superior.

As chaves de acesso são suportadas nos principais cenários no Windows, macOS, Android e iOS. Para obter mais informações sobre cenários suportados, consulte Suporte para autenticação FIDO2 no Microsoft Entra ID.

Ativar método de autenticação por chave de acesso

Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Métodos>de autenticação de proteção>Política de método de autenticação.
Na chave de segurança FIDO2 do método, selecione Todos os usuários ou Adicionar grupos para selecionar grupos específicos. Apenas grupos de segurança são suportados.
Salve a configuração.

Nota

Se vir um erro quando tentar guardar, a causa poderá dever-se ao número de utilizadores ou grupos que estão a ser adicionados. Como solução alternativa, substitua os usuários e grupos que você está tentando adicionar por um único grupo, na mesma operação, e clique em Salvar novamente.

Configurações opcionais da chave de acesso

Existem algumas definições opcionais no separador Configurar para ajudar a gerir a forma como as chaves de acesso podem ser utilizadas para iniciar sessão.

Screenshot das opções de chave de segurança FIDO2.

Permitir configuração de autosserviço deve permanecer definido como Sim. Se definido como não, os usuários não poderão registrar uma chave de acesso por meio de MySecurityInfo, mesmo se habilitados pela política de Métodos de Autenticação.
Impor atestado deve ser definido como Sim se sua organização quiser ter certeza de que um modelo de chave de segurança FIDO2 ou provedor de chave de acesso é genuíno e vem do fornecedor legítimo.
- Para chaves de segurança FIDO2, exigimos que os metadados da chave de segurança sejam publicados e verificados com o Serviço de Metadados da FIDO Alliance e também passamos no outro conjunto de testes de validação da Microsoft. Para obter mais informações, consulte O que é uma chave de segurança compatível com a Microsoft?.
- Para chaves de acesso no Microsoft Authenticator, atualmente não oferecemos suporte a atestado.
Aviso

A aplicação do atestado rege se uma chave de acesso é permitida apenas durante o registo. Os usuários que puderem registrar uma chave de acesso sem atestado não serão bloqueados durante o login se Impor atestado estiver definido como Sim posteriormente.

Política de restrição de chave

Impor restrições de chave deve ser definido como Sim somente se sua organização quiser permitir ou não apenas determinados modelos de chave de segurança ou provedores de chave de acesso, que são identificados pelo GUID de Atestado de Autenticador (AAGUID). Você pode trabalhar com seu fornecedor de chave de segurança para determinar o AAGUID da chave de acesso. Se a chave de acesso já estiver registrada, você pode encontrar o AAGUID visualizando os detalhes do método de autenticação da chave de acesso para o usuário.
Quando Impor restrições de chave estiver definido como Sim, você poderá selecionar Microsoft Authenticator (visualização) se a caixa de seleção for exibida no centro de administração. Isso preencherá automaticamente os AAGUIDs do aplicativo Authenticator para você na lista de restrição de chave.

Aviso

As principais restrições definem a usabilidade de modelos ou provedores específicos para registro e autenticação. Se você alterar as restrições de chave e remover um AAGUID permitido anteriormente, os usuários que registraram anteriormente um método permitido não poderão mais usá-lo para entrar.

GUID de Atestado do Autenticador de Chave de Acesso (AAGUID)

A especificação FIDO2 requer que cada fornecedor de chave de segurança forneça um GUID de Atestado de Autenticador (AAGUID) durante o registro. Um AAGUID é um identificador de 128 bits que indica o tipo de chave, como marca e modelo. Espera-se também que os fornecedores de chaves de acesso em computadores e dispositivos móveis forneçam um AAGUID durante o registo.

Nota

O fornecedor deve garantir que o AAGUID seja idêntico em todas as chaves de segurança substancialmente idênticas ou provedores de chaves de acesso feitos por esse fornecedor, e diferente (com alta probabilidade) dos AAGUIDs de todos os outros tipos de chaves de segurança ou provedores de chaves de acesso. Para garantir isso, o AAGUID para um determinado modelo de chave de segurança ou provedor de chave de acesso deve ser gerado aleatoriamente. Para obter mais informações, consulte Autenticação da Web: uma API para acessar credenciais de chave pública - Nível 2 (w3.org).

Existem duas maneiras de obter o seu AAGUID. Você pode perguntar ao fornecedor da chave de segurança ou do provedor de chaves de acesso ou exibir os detalhes do método de autenticação da chave por usuário.

Screenshot de Ver AAGUID para chave de acesso.

Habilitar chaves de acesso usando a API do Microsoft Graph

Além de usar o centro de administração do Microsoft Entra, você também pode habilitar chaves de acesso usando a API do Microsoft Graph. Para habilitar chaves de acesso, você precisa atualizar a política de métodos de autenticação como Administrador Global ou Administrador de Política de Autenticação.

Para configurar a política usando o Graph Explorer:

Entre no Graph Explorer e concorde com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .

Recupere a política de métodos de autenticação:

GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Para desativar a imposição de atestado e impor restrições de chave para permitir apenas o AAGUID para RSA DS100, por exemplo, execute uma operação PATCH usando o seguinte corpo de solicitação:

PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

Certifique-se de que a política de chave de acesso (FIDO2) está atualizada corretamente.

GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Eliminar uma chave de acesso

Para remover uma chave de acesso associada a uma conta de usuário, exclua a chave do método de autenticação do usuário.

Entre no centro de administração do Microsoft Entra e procure o usuário cuja chave de acesso precisa ser removida.
Selecione Métodos> de autenticação, clique com o botão direito do mouse em Chave de acesso (vinculado ao dispositivo) e selecione Excluir.

Para fazer com que os usuários entrem com uma chave de acesso quando acessarem um recurso confidencial, você pode:

Use uma força de autenticação resistente a phishing integrada

Ou
Crie uma força de autenticação personalizada

As etapas a seguir mostram como criar uma política de Acesso Condicional de força de autenticação personalizada que permite a entrada por chave de acesso apenas para um modelo de chave de segurança específico ou provedor de chave de acesso. Para obter uma lista de fornecedores FIDO2, consulte Parceiros atuais do fornecedor de hardware FIDO2.

Entre no centro de administração do Microsoft Entra como um Administrador de Acesso Condicional.
Navegue até Proteção>Métodos>de autenticação Pontos fortes da autenticação.
Selecione Nova força de autenticação.
Forneça um Nome para sua nova força de autenticação.
Opcionalmente, forneça uma Descrição.
Selecione Chaves de acesso (FIDO2).
Opcionalmente, se você quiser restringir por AAGUID (s) específico(s), selecione Opções avançadas e, em seguida , Adicionar AAGUID. Insira o(s) AAGUID(s) permitido(s). Selecione Guardar.
Escolha Avançar e revise a configuração da política.

Problemas conhecidos

Utilizadores de colaboração B2B

O registro de credenciais FIDO2 não é suportado para usuários de colaboração B2B no locatário do recurso.

Provisionamento de chaves de segurança

O provisionamento do administrador e o desprovisionamento de chaves de segurança não estão disponíveis.

Alterações de UPN

Se o UPN de um usuário for alterado, você não poderá mais modificar as chaves de acesso para contabilizar a alteração. Se o usuário tiver uma chave de acesso, ele precisará entrar em Minhas informações de segurança, excluir a chave de acesso antiga e adicionar uma nova.