Este artigo fornece uma visão geral abrangente do suporte à autenticação FIDO2 (passkey) na ID do Microsoft Entra. Ele descreve a compatibilidade entre navegadores da Web, aplicativos nativos e sistemas operacionais, habilitando a autenticação multifator sem senha. Você também encontrará considerações específicas da plataforma, problemas conhecidos e diretrizes para suporte a aplicativos de terceiros e provedores de identidade (IdP). Use essas informações para garantir a integração perfeita e as experiências ideais do usuário com chaves de acesso em seu ambiente.
Para obter mais informações sobre como entrar com chaves de segurança FIDO2 em um dispositivo Windows, consulte Habilitar a entrada da chave de segurança FIDO2 em dispositivos Windows 10 e 11 com o Microsoft Entra ID.
Observação
Atualmente, a ID do Microsoft Entra dá suporte apenas a chaves de passagem associadas ao dispositivo armazenadas em chaves de segurança FIDO2 ou no Microsoft Authenticator. A Microsoft está comprometida em proteger clientes e usuários com chaves de acesso e planeja dar suporte a chaves de passagem sincronizadas para a ID do Microsoft Entra.
A seção a seguir aborda o suporte à autenticação FIDO2 (chave de passagem) em navegadores da Web com a ID do Microsoft Entra.
| SO |
Cromar |
Edge |
Firefox |
Safari |
|
Windows |
✅ |
✅ |
✅ |
N/D |
|
macOS |
✅ |
✅ |
✅ |
✅ |
|
ChromeOS |
✅ |
N/D |
N/D |
N/D |
|
Linux |
✅ |
✅ |
✅ |
N/D |
|
Ios |
✅ |
✅ |
✅ |
✅ |
|
Andróide |
✅ |
✅ |
❌ |
N/D |
Windows
- O login com chave de segurança requer um dos seguintes itens:
- Windows 10 versão 1903 ou posterior
- Microsoft Edge baseado em Chromium
- Chrome 76 ou posterior
- Firefox 66 ou posterior
macOS
- O login com senha requer o macOS Catalina 11.1 ou posterior com Safari 14 ou posterior porque o Microsoft Entra ID exige verificação do usuário para autenticação multifator.
- As chaves de segurança de comunicação de campo próximo (NFC) e Bluetooth de Baixa Energia (BLE) não são suportadas no macOS pela Apple.
- O novo registro de chave de segurança não funciona nesses navegadores macOS porque eles não solicitam a configuração de biometria ou PIN.
ChromeOS
- As chaves de segurança NFC e BLE não são suportadas pelo Google no ChromeOS.
- O registro da chave de segurança não é compatível com o ChromeOS ou o navegador Chrome.
Linux
- O login com senha no Microsoft Authenticator não é suportado no Firefox no Linux.
iOS
- O login com senha requer o iOS 14.3 ou posterior porque o Microsoft Entra ID exige verificação do usuário para autenticação multifator.
- As chaves de segurança BLE não são suportadas no iOS pela Apple.
- NFC com chaves de segurança certificadas FIPS 140-3 não é suportada no iOS pela Apple.
- O novo registro de chave de segurança não funciona em navegadores iOS porque eles não solicitam a configuração de biometria ou PIN.
Android
- O login com chave de acesso requer o Google Play Services 21 ou posterior porque o Microsoft Entra ID requer a verificação do usuário para autenticação multifator.
- As chaves de segurança BLE e NFC não têm suporte no Android pelo Google.
- O login com senha não é suportado no Firefox para Android.
As próximas seções abrangem o suporte à autenticação FIDO2 (chave de passagem) na ID do Microsoft Entra para:
Suporte a aplicativos da Microsoft com agente de autenticação
Os aplicativos da Microsoft oferecem suporte nativo para autenticação por chave de acesso para todos os usuários que têm um broker de autenticação instalado no sistema operacional deles. A autenticação com chave de acesso também é compatível para aplicativos de terceiros usando o gerenciador de autenticação.
Se um usuário instalou um agente de autenticação, ele pode optar por entrar com uma chave de acesso quando acessar um aplicativo como o Outlook. Eles são redirecionados para entrar com senha e redirecionados de volta ao Outlook como um usuário conectado após a autenticação bem-sucedida.
As tabelas a seguir listam quais agentes de autenticação são aceitos para diferentes sistemas operacionais.
| SO |
Agente de autenticação |
|
Ios |
Microsoft Authenticator |
|
macOS |
Portal da Empresa Microsoft Intune |
|
Andróide |
Autenticador, Portal da Empresa ou Link para o aplicativo do Windows |
Suporte a aplicativos da Microsoft sem agente de autenticação
A tabela a seguir lista o suporte de aplicativo da Microsoft para FIDO2 (chave de acesso) sem um agente de autenticação. Atualize seus aplicativos para a versão mais recente para garantir que eles sejam compatíveis com chaves de acesso.
| aplic. |
macOS |
iOS |
Android |
|
Área de Trabalho Remota |
✅ |
✅ |
✅ |
|
Aplicativo do Windows |
✅ |
✅ |
✅ |
| Microsoft 365 Copilot (Office) |
N/D |
✅ |
❌ |
| Palavra |
✅ |
✅ |
❌ |
| PowerPoint |
✅ |
✅ |
❌ |
| Distinguir-se |
✅ |
✅ |
❌ |
| OneNote |
✅ |
✅ |
❌ |
| Laço |
N/D |
✅ |
❌ |
| OneDrive |
✅ |
✅ |
❌ |
| Perspectiva |
✅ |
✅ |
❌ |
| Equipes |
✅ |
✅ |
❌ |
| Edge |
✅ |
✅ |
❌ |
Suporte a aplicativos de terceiros sem agente de autenticação
Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de acesso quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, consulte Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.
Suporte a IdP de terceiros
Observação
Não há suporte para autenticação da chave de acesso com um IdP de terceiros em aplicativos de terceiros usando o agente de autenticação ou aplicativos da Microsoft no Android, iOS ou macOS no momento.
O ID do Microsoft Entra não dá suporte à autenticação com senha-chave com um IdP de terceiros no iOS/macOS.
Como alternativa, os IdPs de terceiros poderão implementar sua própria extensão de SSO (logon único) em dispositivos iOS/macOS se forem gerenciados pelo MDM (Gerenciamento de Dispositivo Móvel).
A estrutura de SSO extensível da Apple em dispositivos gerenciados por MDM permite que os provedores de identidade interceptem solicitações de rede direcionadas para suas URLs.
Quando a extensão SSO do provedor de identidade intercepta uma solicitação de rede, ela pode implementar um handshake de autenticação personalizado.
Isso permite que eles usem um navegador do sistema ou APIs nativas da Apple para autenticação de chave de acesso sem necessidade de alterações nos aplicativos da Microsoft.
Para obter mais informações, consulte a seguinte documentação da Apple:
Windows
- A entrada com a chave de segurança FIDO2 para aplicativos nativos requer o Windows 10 versão 1903 ou posterior.
- A entrada com chave de acesso no Microsoft Authenticator para aplicativos nativos requer o Windows 11 versão 22H2 ou posterior.
-
O Microsoft Graph PowerShell oferece suporte à chave de acesso (FIDO2). Alguns módulos do PowerShell que usam o Internet Explorer em vez do Edge não têm a capacidade de realizar a autenticação FIDO2. Por exemplo, os módulos do PowerShell para SharePoint Online ou Teams, ou quaisquer scripts do PowerShell que exijam credenciais de administrador, não solicitam o FIDO2.
- Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A CBA (autenticação baseada em certificado) funciona em todos os navegadores. Se você puder habilitar a CBA nessas contas de administrador, poderá exigir a CBA em vez do FIDO2 nesse ínterim.
iOS
- Para fazer login com senha em aplicativos nativos sem o plug-in Microsoft Enterprise Single Sign On (SSO), é necessário o iOS 16.0 ou posterior.
- Para fazer login com senha em aplicativos nativos com o plug-in SSO, é necessário o iOS 17.1 ou posterior.
macOS
- No macOS, o plug-in Microsoft Enterprise Single Sign On (SSO) é necessário para habilitar o Portal da Empresa como um agente de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos de plug-in de SSO, incluindo o registro no gerenciamento de dispositivo móvel.
- Login com chave de acesso em aplicativos nativos com o plug-in do SSO requer o macOS 14.0 ou posterior.
Android
- Para fazer login com a chave de segurança FIDO2 em aplicativos nativos, é necessário ter o Android 13 ou posterior.
- Para fazer login com senha no Microsoft Authenticator em aplicativos nativos, é necessário ter o Android 14 ou posterior.
- A entrada com chaves de segurança FIDO2 fabricadas pela Yubico com YubiOTP habilitada pode não funcionar em dispositivos Samsung Galaxy. Como solução alternativa, os usuários podem desabilitar o YubiOTP e tentar entrar novamente. Para obter mais informações, consulte questões FIDO em dispositivos Samsung.
Próximas etapas
Habilitar a entrada de chave de segurança sem senha