Аттестация идентификатора Microsoft Entra для поставщиков ключей безопасности FIDO2
Ключи безопасности FIDO2 обеспечивают фишинговую проверку подлинности. Они могут заменить слабые учетные данные строгими учетными данными с открытым или закрытым ключом, которые нельзя использовать повторно, воспроизводить или совместно использовать между службами. Ключи безопасности поддерживают сценарии общего устройства, что позволяет вам безопасно проходить проверку подлинности на любом поддерживаемом устройстве.
В политике методов проверки подлинности идентификатора Microsoft Entra администраторы могут применять аттестацию для ключей безопасности FIDO2. Если для принудительной аттестации задано значение "Да", корпорация Майкрософт требует дополнительных метаданных из ключей безопасности FIDO2, зарегистрированных в клиенте. В качестве поставщика ключ безопасности FIDO2 можно использовать при применении аттестации, если выполнены следующие требования.
Примечание.
Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.
Требования к аттестации
Корпорация Майкрософт использует службу метаданных альянса FIDO (MDS) для определения совместимости ключей безопасности с Windows, браузером Microsoft Edge и учетными записями Майкрософт в Сети. Поставщики сообщают данные в MDS FIDO.
Во время регистрации FIDO2 идентификатор Microsoft Entra ID требует ключей безопасности для предоставления инструкции аттестации. Для поставщиков формат ожидаемой аттестации упакован, как определено стандартом FIDO.
Конкретные требования зависят от того, как администратор настраивает политику методов проверки подлинности FIDO2.
| Принудительное применение аттестации в качестве значения "Да" | Принудительное применение аттестации с значением No |
|---|---|
| Он должен предоставить допустимую упакованную инструкцию аттестации и полный сертификат, который цепочки обратно к корням аттестации, извлеченным из MDS альянса FIDO, чтобы корпорация Майкрософт удостоверяла метаданные ключа. | Он должен предоставить допустимую инструкцию аттестации (но корпорация Майкрософт будет игнорировать результаты проверки аттестации) и полный сертификат (который не должен быть связан с определенной цепочкой сертификатов). |
Примечание.
Поставщики несут ответственность за публикацию всех корневых сертификатов аттестации в MDS альянса FIDO; В противном случае проверка аттестации может завершиться ошибкой.
Кроме того, если применяется аттестация, применяются следующие требования:
- Ваш средство проверки подлинности должно иметь сертификацию FIDO2. Это может быть на любом уровне. Дополнительные сведения о сертификации см. на веб-сайте центра сертификации FIDO Alliance.
- Метаданные продукта должны быть отправлены в MDS альянса FIDO, и необходимо проверить наличие метаданных в MDS. Метаданные должны указывать на то, что средство проверки подлинности поддерживает следующее:
- FIDO 2.0 или более поздней версии.
- Для проверки подлинности пользователей или ПИН-кода клиента — идентификатор Microsoft Entra требует проверки подлинности с помощью биометрических данных или ПИН-кода для всех попыток проверки подлинности FIDO2.
- Ключи резидента (или доступные для обнаружения учетные данные) — для использования ключа безопасности для входа в идентификатор Microsoft Entra id без ввода имени пользователя.
- Расширение секрета кодов проверки подлинности сообщений на основе хэша (HMAC) или расширение псевдоизбыточной функции (PRF) — расширение секрета HMAC или расширение PRF требуется для использования ключа безопасности для разблокировки Windows в автономных сценариях.
Временная шкала
Корпорация Майкрософт каждый месяц выполняет прием последней версии MDS альянса FIDO. Может быть не более четырехнедельной задержки с момента появления ключа безопасности FIDO2 в MDS альянса FIDO до того момента, когда корпорация Майкрософт распознает ключевую модель. Если ключ соответствует требованиям аттестации Майкрософт, он автоматически отображается на странице партнера Microsoft FIDO2.
Ключи безопасности FIDO2, подходящие для аттестации с идентификатором Microsoft Entra
В следующей таблице перечислены ключевые модели безопасности FIDO2, перечисленные в MDS версии 77. Эти модели имеют право на аттестацию с идентификатором Microsoft Entra.
| Модель | AAGUID |
|---|---|
| Средство проверки подлинности ACS FIDO |
50a45b0c-80e7-f944-bf29-f552bfa2e048 |
| Карточка проверки подлинности ACS FIDO |
973446ca-e21c-9a9b-99f5-9b985a67af0f |
| Приложение Allthenticator App Roaming BLE FIDO2 Allthenticator для Windows, Mac, Linux и средства чтения двери Allthenticate |
5ca1ab1e-1337-fa57-f1d0-a17e7e71ca702 |
| Карта ключей Arculus FIDO 2.1 [P71] |
3f59672f-20aa-4afe-b6f4-7e5e916b6d98 |
| Карта ключей Arculus FIDO2/U2F |
9d3df6ba-282f-11ed-a261-0242ac120002 |
| ATKey.Card CTAP2.0 |
d41f5a69-b817-4144-a13c-9ebd6d9254d6 |
| ATKey.Card NFC |
da1fa263-8b25-42b6-a820-c0036f21ba7f |
ATKey.Pro CTAP2.0 |
e1a96183-5016-4f24-b55b-e3ae23614cc6 |
ATKey.Pro CTAP2.1 |
e416201b-afeb-41ca-a03d-2281c2832aa |
| ATKey.ProS | ba76a271-6eb6-4171-874d-b6428dbe3437 |
| Atos CardOS FIDO2 | 1c086528-58d5-f211-823c-356786e36140 |
| authenton1 CTAP2.1 |
b267239b-954f-4041-a01b-ee4f33c145b6 |
| Crayonic KeyVault K1 (USB-NFC-BLE FIDO2 Authenticator) |
be727034-574a-f799-5c76-0929e0430973 |
| Cryptnox FIDO2 | 9c835346-796b-4c27-8898-d6032f515cc5 |
| Egomet FIDO2 Authenticator для Android |
1105e4ed-af1d-02ff-ffff-ffffffff |
| Обеспечение тонкости | 454e5346-4944-4ffd-6c93-8e9267193e9a |
| EWBM eFPA FIDO2 Authenticator |
61250591-b2bc-4456-b719-0b17be90bb30 |
| Ключ безопасности отпечатков пальцев Excelsecu eSecu FIDO2 |
d384db22-4d50-ebde-2eac-5765cf1e2a44 |
| Ключ безопасности отпечатков пальцев Excelsecu eSecu FIDO2 |
20f0be98-9af9-986a-4b42-8eca4acb28e4 |
| Excelsecu eSecu FIDO2 NFC Security Key |
fbefdf68-fe86-0106-213e-4d5fa24cbe2e |
| Excelsecu eSecu FIDO2 NFC Security Key |
a3975549-b191-fd67-b8fb-017e2917fdb3 |
| Ключ безопасности Excelsecu eSecu FIDO2 Pro |
0d9b2e56-566b-c393-2940-f821b7f15d6d |
| Ключ безопасности Excelsecu eSecu FIDO2 PRO |
bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a |
| Ключ безопасности Excelsecu eSecu FIDO2 |
cdbdaea2-c415-5073-50f7-c04e968640b6 |
| Feitian AllinOne FIDO2 Authenticator |
12ded745-4bed-47d4-abaa-e713f51d6393 |
| Feitian BioPass FIDO2 Authenticator |
77010bd7-212a-4fc9-b236-d2ca5e9d4084 |
| Feitian ePass FIDO2-NFC Authenticator |
ee041bce-25e5-4cdb-8f86-897fd6418464 |
| Google Titan Security Key версии 2 |
42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 |
| GoTrust Idem Card FIDO2 Authenticator |
9f0d8150-baa5-4c00-9299-ad62c8bb4e87 |
| GoTrust Idem Key FIDO2 Authenticator |
3b1adb99-0dfe-46fd-90b8-7f7614a4de2a |
| HID Crescendo C2300 |
aeb6569c-f8fb-4950-ac60-24ca2bbe2e52e52 |
| HID Crescendo C3000 |
c80dbd9a-533f-4a17-b941-1a2f1c7cedff |
| Включено HID Crescendo |
54d9fee8-e621-4291-8b18-7157b99c5bec |
| HID Crescendo Key |
692db549-7ae5-44d5-a1e5-dd20a493b723 |
| HID Crescendo Key V2 |
2d3bec26-15ee-4f5d-88b2-53622490270b |
| Пакет SDK для Hideez Key 4 FIDO2 |
4e768f2c-5fab-48b3-b300-220eb487752b |
| Ключ безопасности Hyper FIDO Bio Security |
d821a7d4-e97c-4cb6-bd82-4237731fd4be |
| Hyper FIDO Pro |
9f77e279-a6e2-4d58-b700-31e5943c6a98 |
| HyPR FIDO2 Authenticator |
0076631b-d4a0-427f-5773-0ec71c9e0279 |
| IDmelon Android Authenticator |
39a5647e-1853-446c-a1f6-a79bae9f5bc7 |
| IDmelon iOS Authenticator |
820d89ed-d65a-409e-85cb-f73f0578f82a |
| IDPrime 3940 FIDO |
b50d5e0a-7f81-4959-9b12-f45407407503 |
| KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator |
4b3f8944-d4f2-4d21-bb19-764a986ec160 |
| KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator |
ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 |
| KonAI Secp256R1 FIDO2 Для проверки соответствия CTAP2 Authenticator |
f7c558a0-f465-11e8-b568-0800200c9a66 |
| KX701 SmartToken FIDO |
fec067a1-f1d0-4c5e-b4c0-cc3237475461 |
| NEOWAVE Badgeo FIDO2 |
c5703116-972b-4851-a3e7-ae1259843399 |
| NEOWAVE Winkeo FIDO2 |
3789da91-f943-46bc-95c3-50ea2012f03a |
| Nymi FIDO2 Authenticator |
0acf3011-bc60-f375-fb53-6f05f43154e0 |
| OCTATCO EzFinger2 FIDO2 AUTHENTICATOR |
a1f52be5-dfab-4364-b51c-2bd496b14a56 |
| ONESpan DIGIPASS FX1 BIO |
30b5035e-d297-4ff1-b00b-addc96ba6a98 |
| OneSpan FIDO Touch |
30b5035e-d297-4fc1-b00b-addc96ba6a97 |
| OnlyKey Secp256R1 FIDO2 CTAP2 Authenticator |
998f358b-2dd2-4cbe-a43a-e8107438dfb3 |
| Pone Биометрические данные OFFPAD Authenticator |
69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 |
| Сертифицирована точность ключа InnaIT Key FIDO 2 уровня 2 |
88bbd2f0-342a-42e7-9729-dd158be5407a |
| RSA DS100 | 7e3f3d30-3557-4442-bdae-139312178b39 |
| Safenet eToken FIDO | efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 |
| Ключ безопасности от Yubico | b92c3f9a-c014-4056-887f-140a2501163b |
| Ключ безопасности от Yubico | f8a011f3-8c0a-4d15-8006-1711f9edc7d |
| Ключ безопасности yubico с NFC |
6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 |
| Ключ безопасности yubico с NFC |
149a2021-8ef6-4133-96b8-81f8d5b7f1f5 |
| Ключ безопасности NFC от Yubico |
a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa |
| Ключ безопасности NFC от Yubico выпуск Enterprise |
0bb43545-fd2c-4185-87d-feb0b2916ace |
| Средство проверки подлинности Sentry Enterprises CTAP2 |
89b19028-256b-4025-8872-255358d950e4 |
| SmartDisplayer BobeePass FIDO2 Authenticator |
516d3969-5a57-5651-5958-4e7a49434167 |
| Swissbit iShield Key FIDO2 | 931327ddd-c89b-406c-a81e-ed7058ef36c6 |
| Проверка подлинности кольцевого кольца FIDO2 | 91ad6b93-264b-4987-8737-3a690cad6917 |
| Ключ безопасности TOKEN2 FIDO2 |
ab32f0c6-2239-afbb-c470-d2ef4e254db7 |
| Серия ключей безопасности TOKEN2 PIN Плюс |
eabb46cc-e241-80bf-ae9e-96fa6d2975cf |
| Ключ безопасности uTrust FIDO2 |
73402251-f2a8-4f03-873e-3cb6db604b03 |
| VALMIDO PRO FIDO |
5626bed4-e756-430b-a7ff-ca78c8b12738 |
| Ключ отпечатка veriMark Guard |
d94a29d9-52dd-4247-9c2d-8b818b610389 |
| VinCSS FIDO2 Authenticator |
5fdb81b8-53f0-4967-a881-f5ec26fe4d18 |
| WiSECURE AuthTron USB FIDO2 Authenticator |
504d7149-4e4c-3841-4555-5545a677357 |
| Серия YubiKey 5 FIPS |
73bb0cd4-e502-49b8-9c6f-b59445bf720b |
| Серия YubiKey 5 FIPS с молнией |
85203421-48f9-4355-9bc8-8a53846e5083 |
| Серия YubiKey 5 FIPS с NFC |
c1f9a0bc-1dd2-404a-b27f-8e29047a43fd |
| Серия YubiKey 5 | cb69481e-8ff7-4039-93ec-0a2729a154a8 |
| Серия YubiKey 5 | ee882879-721c-4913-9775-3dfcce97072a |
| Серия YubiKey 5 с молнией |
c5ef55ff-ad9a-4b9f-b580-adebafe026d0 |
| Серия YubiKey 5 с NFC |
2fc0579f-8113-47ea-b116-bb5a8db9202a |
| Серия YubiKey 5 с NFC |
fa2b99dc-9e39-4257-8f92-4a30d23c4118 |
| Серия YubiKey Bio | d852d9f-575b-4866-88a9-ba99fa02f35b |
| Chunghwa Telecom FIDO2 Smart Card Authenticator |
175cd298-83d2-4a26-b637-313c07a6434e |
| EWBM eFA310 FIDO2 Authenticator |
95442b2e-f15e-4def-b270-efb106facb4e |
| eWBM eFA320 FIDO2 Authenticator |
87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c |
| Ключ отпечатка пальцев Excelsecu eSecu FIDO2 |
6002f033-3c07-ce3e-d0f7-0ffe5ed42543 |
| Feitian BioPass FIDO2 Plus Authenticator |
b6ede29c-3772-412c-8a78-539c1f4c62d2 |
| Feitian ePass FIDO2 Authenticator |
833b721a-ff5f-4d00-bb2e-bdda3ec01e29 |
| Feitian ePass FIDO2-NFC Series (CTAP2.1, CTAP2.0, U2F) |
234cd403-35a2-4cc2-8015-77ea280c77f5 |
| Feitian iePass FIDO Authenticator |
3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d |
| FIDO KeyPass S3 | f4c63eff-d26c-4248-801c-3736c7eaa93a |
| Карточка отпечатков пальцев FT-JCOS FIDO |
8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 |
| IDCore 3121 Fido | e86addcd-7711-47e5-b42a-c18257b0bf61 |
| Карточка IDEMIA ID-ONE | 8d1b1fcb-3c76-49a9-9129-5515b346aa02 |
| IDPrime 3930 FIDO | ca4cff1b-5a81-4404-8194-59aabcf1660b |
| IDPrime 941 Fido | 2ffd6452-01da-471f-821b-ea4bf6c8676a |
| Улучшенная проверка подлинностиID | 4c50ff10-1057-4fc6-b8ed-43a529530c3c |
| Проверка подлинности KEY-ID FIDO2 |
d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 |
| Проверка соответствия CTAP2 на NXP Semiconductros FIDO2 |
07a9f89c-6407-4594-9d56-621d5f1e358b |
| Средство проверки подлинности OpenSK | 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 |
| SafeNet eToken Fusion | 74820b05-a6c9-40f9-8fb0-9f86aca93998 |
| SafeNet eToken Fusion CC | 23786452-f02d-4344-87ed-aaf703726881 |
| Ключ безопасности NFC от Yubico | e77e3c64-05e3-428b-8824-0cbeb04b829d |
| Ключ безопасности NFC от Yubico выпуск Enterprise |
47ab2fb4-66ac-4184-9ae1-86be814012d5 |
| Solo Secp256R1 FIDO2 CTAP2 Authenticator |
8876631b-d4a0-427f-5773-0ec71c9e0279 |
| Solo Tap Secp256R1 FIDO2 CTAP2 Authenticator |
8976631b-d4a0-427f-5773-0ec71c9e0279 |
| Somu Secp256R1 FIDO2 CTAP2 Authenticator |
9876631b-d4a0-427f-5773-0ec71c9e0279 |
| Swissbit iShield Key Pro | 5d629218-d3a5-11ed-afa1-0242ac12ac120002 |
| Thales IDPrime FIDO Bio | 4d41190c-7beb-4a84-8018-adf265a6352d |
| Серия YubiKey 5 | 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b |
| Серия YubiKey 5 с молнией |
a02167b9-ae71-4ac7-9a07-06432ebb6f1c |
| Серия YubiKey 5 с NFC |
a25342c0-3cdc-4414-8e46-f4807fca51c |
| YubiKey Bio Series Multi-protocol Edition |
7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 |
| Серия Bio YubiKey (корпоративный профиль) |
83c47309-aabb-4108-8470-8be838b573cb |
Следующие шаги
Дополнительные сведения о поддержке проверки подлинности с устойчивостью к фишингу с помощью ключей безопасности FIDO2 в браузерах и собственных приложениях см. в статье о совместимости FIDO2.