Поделиться через


Аттестация идентификатора Microsoft Entra для поставщиков ключей безопасности FIDO2

Ключи безопасности FIDO2 обеспечивают фишинговую проверку подлинности. Они могут заменить слабые учетные данные строгими учетными данными с открытым или закрытым ключом, которые нельзя использовать повторно, воспроизводить или совместно использовать между службами. Ключи безопасности поддерживают сценарии общего устройства, что позволяет вам безопасно проходить проверку подлинности на любом поддерживаемом устройстве.

В политике методов проверки подлинности идентификатора Microsoft Entra администраторы могут применять аттестацию для ключей безопасности FIDO2. Если для принудительной аттестации задано значение "Да", корпорация Майкрософт требует дополнительных метаданных из ключей безопасности FIDO2, зарегистрированных в клиенте. В качестве поставщика ключ безопасности FIDO2 можно использовать при применении аттестации, если выполнены следующие требования.

Примечание.

Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.

Требования к аттестации

Корпорация Майкрософт использует службу метаданных альянса FIDO (MDS) для определения совместимости ключей безопасности с Windows, браузером Microsoft Edge и учетными записями Майкрософт в Сети. Поставщики сообщают данные в MDS FIDO.

Во время регистрации FIDO2 идентификатор Microsoft Entra ID требует ключей безопасности для предоставления инструкции аттестации. Для поставщиков формат ожидаемой аттестации упакован, как определено стандартом FIDO.

Конкретные требования зависят от того, как администратор настраивает политику методов проверки подлинности FIDO2.

Принудительное применение аттестации в качестве значения "Да" Принудительное применение аттестации с значением No
Он должен предоставить допустимую упакованную инструкцию аттестации и полный сертификат, который цепочки обратно к корням аттестации, извлеченным из MDS альянса FIDO, чтобы корпорация Майкрософт удостоверяла метаданные ключа. Он должен предоставить допустимую инструкцию аттестации (но корпорация Майкрософт будет игнорировать результаты проверки аттестации) и полный сертификат (который не должен быть связан с определенной цепочкой сертификатов).

Примечание.

Поставщики несут ответственность за публикацию всех корневых сертификатов аттестации в MDS альянса FIDO; В противном случае проверка аттестации может завершиться ошибкой.

Кроме того, если применяется аттестация, применяются следующие требования:

  • Ваш средство проверки подлинности должно иметь сертификацию FIDO2. Это может быть на любом уровне. Дополнительные сведения о сертификации см. на веб-сайте центра сертификации FIDO Alliance.
  • Метаданные продукта должны быть отправлены в MDS альянса FIDO, и необходимо проверить наличие метаданных в MDS. Метаданные должны указывать на то, что средство проверки подлинности поддерживает следующее:
    • FIDO 2.0 или более поздней версии.
    • Для проверки подлинности пользователей или ПИН-кода клиента — идентификатор Microsoft Entra требует проверки подлинности с помощью биометрических данных или ПИН-кода для всех попыток проверки подлинности FIDO2.
    • Ключи резидента (или доступные для обнаружения учетные данные) — для использования ключа безопасности для входа в идентификатор Microsoft Entra id без ввода имени пользователя.
    • Расширение секрета кодов проверки подлинности сообщений на основе хэша (HMAC) или расширение псевдоизбыточной функции (PRF) — расширение секрета HMAC или расширение PRF требуется для использования ключа безопасности для разблокировки Windows в автономных сценариях.

Временная шкала

Корпорация Майкрософт каждый месяц выполняет прием последней версии MDS альянса FIDO. Может быть не более четырехнедельной задержки с момента появления ключа безопасности FIDO2 в MDS альянса FIDO до того момента, когда корпорация Майкрософт распознает ключевую модель. Если ключ соответствует требованиям аттестации Майкрософт, он автоматически отображается на странице партнера Microsoft FIDO2.

Ключи безопасности FIDO2, подходящие для аттестации с идентификатором Microsoft Entra

В следующей таблице приведена каждая модель ключа безопасности FIDO2, указанная в MDS версии 93, которая имеет право на аттестацию с идентификатором Microsoft Entra. Для каждой модели в таблице показаны возможности аттестации Authenticator Globally Unique Identifier (AAGUID).

Description AAGUID Биография USB NFC BLE
Средство проверки подлинности ACS FIDO 50a45b0c-80e7-f944-bf29-f552bfa2e048 n г n n
Карточка проверки подлинности ACS FIDO 973446ca-e21c-9a9b-99f5-9b985a67af0f n n г n
Приложение Allthenticator: перемещаемый BLE FIDO2 Allthenticator для Windows, Mac, Linux и средства чтения для дверей Allthenticate 5ca1ab1e-1337-fa57-f1d0-a17e7e71ca702 г г n n
Карта ключей Arculus FIDO 2.1 [P71] 3f59672f-20aa-4afe-b6f4-7e5e916b6d98 n г n n
Карта ключей Arculus FIDO2/U2F 9d3df6ba-282f-11ed-a261-0242ac120002 n г n n
ATKey.Card CTAP2.0 d41f5a69-b817-4144-a13c-9ebd6d9254d6 г n n n
ATKey.Card NFC da1fa263-8b25-42b6-a820-c0036f21ba7f г г г n
ATKey.Pro CTAP2.0 e1a96183-5016-4f24-b55b-e3ae23614cc6 г n n n
ATKey.Pro CTAP2.1 e416201b-afeb-41ca-a03d-2281c2832aa г г n n
ATKey.ProS ba76a271-6eb6-4171-874d-b6428dbe3437 г г n n
Atos CardOS FIDO2 1c086528-58d5-f211-823c-356786e36140 n г г n
authenton1 - CTAP2.1 b267239b-954f-4041-a01b-ee4f33c145b6 n г г n
Chunghwa Telecom FIDO2 Smart Card Authenticator 175cd298-83d2-4a26-b637-313c07a6434e n n г n
Crayonic KeyVault K1 (USB-NFC-BLE FIDO2 Authenticator) be727034-574a-f799-5c76-0929e0430973 г г г г
Cryptnox FIDO2 9c835346-796b-4c27-8898-d6032f515cc5 n n г n
Egomet FIDO2 Authenticator для Android 1105e4ed-af1d-02ff-ffff-ffffffff г n n n
Обеспечение тонкости 454e5346-4944-4ffd-6c93-8e9267193e9a г г n n
EWBM eFA310 FIDO2 Authenticator 95442b2e-f15e-4def-b270-efb106facb4e г n n n
eWBM eFA320 FIDO2 Authenticator 87dbc5a1-4c94-4dc8-8a47-97d800fd1f3c г n n n
EWBM eFPA FIDO2 Authenticator 61250591-b2bc-4456-b719-0b17be90bb30 г n n n
Ключ отпечатка пальцев Excelsecu eSecu FIDO2 6002f033-3c07-ce3e-d0f7-0ffe5ed42543 г г n n
Ключ безопасности отпечатков пальцев Excelsecu eSecu FIDO2 20f0be98-9af9-986a-4b42-8eca4acb28e4 г г n n
Ключ безопасности отпечатков пальцев Excelsecu eSecu FIDO2 d384db22-4d50-ebde-2eac-5765cf1e2a44 г г n n
Excelsecu eSecu FIDO2 NFC Security Key a3975549-b191-fd67-b8fb-017e2917fdb3 n г г n
Excelsecu eSecu FIDO2 NFC Security Key fbefdf68-fe86-0106-213e-4d5fa24cbe2e n г г n
Ключ безопасности Excelsecu eSecu FIDO2 Pro 0d9b2e56-566b-c393-2940-f821b7f15d6d n г г г
Ключ безопасности Excelsecu eSecu FIDO2 PRO bbf4b6a7-679d-f6fc-c4f2-8ac0ddf9015a n г г г
Ключ безопасности Excelsecu eSecu FIDO2 cdbdaea2-c415-5073-50f7-c04e968640b6 n г n n
Feitian AllinOne FIDO2 Authenticator 12ded745-4bed-47d4-abaa-e713f51d6393 г г г г
Feitian BioPass FIDO2 Authenticator 77010bd7-212a-4fc9-b236-d2ca5e9d4084 г г n n
Feitian BioPass FIDO2 Plus Authenticator b6ede29c-3772-412c-8a78-539c1f4c62d2 г г n n
Feitian ePass FIDO2 Authenticator 833b721a-ff5f-4d00-bb2e-bdda3ec01e29 n г n n
Feitian ePass FIDO2-NFC Authenticator ee041bce-25e5-4cdb-8f86-897fd6418464 n г г n
Feitian ePass FIDO2-NFC Series (CTAP2.1, CTAP2.0, U2F) 234cd403-35a2-4cc2-8015-77ea280c77f5 n г г n
Feitian iePass FIDO Authenticator 3e22415d-7fdf-4ea4-8a0c-dd60c4249b9d n г n n
FIDO KeyPass S3 f4c63eff-d26c-4248-801c-3736c7eaa93a n г n n
Карточка отпечатков пальцев FT-JCOS FIDO 8c97a730-3f7b-41a6-87d6-1e9b62bda6f0 n n г n
Google Titan Security Key версии 2 42b4fb4a-2866-43b2-9bf7-6c6669c2e5d3 n г г n
GoTrust Idem Card FIDO2 Authenticator 9f0d8150-baa5-4c00-9299-ad62c8bb4e87 n n n n
GoTrust Idem Key FIDO2 Authenticator 3b1adb99-0dfe-46fd-90b8-7f7614a4de2a n n n n
HID Crescendo C2300 aeb6569c-f8fb-4950-ac60-24ca2bbe2e52e52 n n г n
HID Crescendo C3000 c80dbd9a-533f-4a17-b941-1a2f1c7cedff n n г n
Включено HID Crescendo 54d9fee8-e621-4291-8b18-7157b99c5bec n n г n
HID Crescendo Key 692db549-7ae5-44d5-a1e5-dd20a493b723 n г г n
HID Crescendo Key V2 2d3bec26-15ee-4f5d-88b2-53622490270b n г г n
Hideez Key 4 FIDO2 SDK 4e768f2c-5fab-48b3-b300-220eb487752b n г г г
Ключ безопасности Hyper FIDO Bio Security d821a7d4-e97c-4cb6-bd82-4237731fd4be г n n n
Hyper FIDO Pro 9f77e279-a6e2-4d58-b700-31e5943c6a98 n n n n
HYPR FIDO2 Authenticator 0076631b-d4a0-427f-5773-0ec71c9e0279 г n n n
IDCore 3121 Fido e86addcd-7711-47e5-b42a-c18257b0bf61 n n г n
Карточка IDEMIA ID-ONE 8d1b1fcb-3c76-49a9-9129-5515b346aa02 n г г n
IDmelon Android Authenticator 39a5647e-1853-446c-a1f6-a79bae9f5bc7 г n n n
IDmelon iOS Authenticator 820d89ed-d65a-409e-85cb-f73f0578f82a г n n n
IDPrime 3930 FIDO ca4cff1b-5a81-4404-8194-59aabcf1660b n n г n
IDPrime 3940 FIDO b50d5e0a-7f81-4959-9b12-f45407407503 n n г n
IDPrime 931 Fido 2194b428-9397-4046-8f39-007a1605a482 n n г n
IDPrime 941 Fido 2ffd6452-01da-471f-821b-ea4bf6c8676a n n г n
Улучшенная проверка подлинностиID 4c50ff10-1057-4fc6-b8ed-43a529530c3c n г г n
Проверка подлинности KEY-ID FIDO2 d91c5288-0ef0-49b7-b8ae-21ca0aa6b3f3 n г n n
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator 4b3f8944-d4f2-4d21-bb19-764a986ec160 г г n n
KeyXentic FIDO2 Secp256R1 FIDO2 CTAP2 Authenticator ec31b4cc-2acc-4b8e-9c01-bade00ccbe26 г г n n
KonAI Secp256R1 FIDO2 Для проверки соответствия CTAP2 Authenticator f7c558a0-f465-11e8-b568-0800200c9a66 г г г n
KX701 SmartToken FIDO fec067a1-f1d0-4c5e-b4c0-cc3237475461 n г г n
NEOWAVE Badgeo FIDO2 c5703116-972b-4851-a3e7-ae1259843399 n г г n
NEOWAVE Winkeo FIDO2 3789da91-f943-46bc-95c3-50ea2012f03a n г n n
Проверка соответствия CTAP2 на NXP Semiconductros FIDO2 07a9f89c-6407-4594-9d56-621d5f1e358b n n n n
Nymi FIDO2 Authenticator 0acf3011-bc60-f375-fb53-6f05f43154e0 г n г n
OCTATCO EzFinger2 FIDO2 AUTHENTICATOR a1f52be5-dfab-4364-b51c-2bd496b14a56 г n n n
OneSpan DIGIPASS FX1 BIO 30b5035e-d297-4ff1-b00b-addc96ba6a98 г г г г
OneSpan DIGIPASS FX1a 30b5035e-d297-4ff1-010b-addc96ba6a98 г г n n
OneSpan DIGIPASS FX7 30b5035e-d297-4ff7-b00b-addc96ba6a98 n г n г
OneSpan FIDO Touch 30b5035e-d297-4fc1-b00b-addc96ba6a97 n г n г
OnlyKey Secp256R1 FIDO2 CTAP2 Authenticator 998f358b-2dd2-4cbe-a43a-e8107438dfb3 n n n n
Средство проверки подлинности OpenSK 664d9f67-84a2-412a-9ff7-b4f7d8ee6d05 n г n n
Pone Биометрические данные OFFPAD Authenticator 69700f79-d1fb-472e-bd9b-a3a3b9a9eda0 г n n г
Сертифицирована точность ключа InnaIT Key FIDO 2 уровня 2 88bbd2f0-342a-42e7-9729-dd158be5407a г г n n
RSA DS100 7e3f3d30-3557-4442-bdae-139312178b39 n г n n
Safenet eToken FIDO efb96b10-a9ee-4b6c-a4a9-d32125ccd4a4 n г n n
SafeNet eToken Fusion 74820b05-a6c9-40f9-8fb0-9f86aca93998 n г n n
SafeNet eToken Fusion CC 23786452-f02d-4344-87ed-aaf703726881 n г n n
Ключ безопасности от Yubico b92c3f9a-c014-4056-887f-140a2501163b n г n n
Ключ безопасности от Yubico f8a011f3-8c0a-4d15-8006-1711f9edc7d n г n n
Ключ безопасности yubico с NFC 149a2021-8ef6-4133-96b8-81f8d5b7f1f5 n г г n
Ключ безопасности yubico с NFC 6d44ba9b-f6ec-2e49-b930-0c8fe920cb73 n г г n
Ключ безопасности NFC от Yubico a4e9fc6d-4cbe-4758-b8ba-37598bb5bbaa n г г n
Ключ безопасности NFC от Yubico e77e3c64-05e3-428b-8824-0cbeb04b829d n г n n
Key Key NFC by Yubico — выпуск Enterprise 0bb43545-fd2c-4185-87d-feb0b2916ace n г г n
Key Key NFC by Yubico — выпуск Enterprise 47ab2fb4-66ac-4184-9ae1-86be814012d5 n г n n
Средство проверки подлинности Sentry Enterprises CTAP2 89b19028-256b-4025-8872-255358d950e4 г г n г
SmartDisplayer BobeePass FIDO2 Authenticator 516d3969-5a57-5651-5958-4e7a49434167 n г г г
Solo Secp256R1 FIDO2 CTAP2 Authenticator 8876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Solo Tap Secp256R1 FIDO2 CTAP2 Authenticator 8976631b-d4a0-427f-5773-0ec71c9e0279 n n г n
Somu Secp256R1 FIDO2 CTAP2 Authenticator 9876631b-d4a0-427f-5773-0ec71c9e0279 n n n n
Swissbit iShield Key FIDO2 931327ddd-c89b-406c-a81e-ed7058ef36c6 n г n n
Swissbit iShield Key Pro 5d629218-d3a5-11ed-afa1-0242ac12ac120002 n г г n
Taglio CTAP2.1 CS 092277e5-8437-46b5-b911-ea64b294acb7 n n г n
Taglio CTAP2.1 EP 7d2afadd-bf6b-44a2-a66b-e831fceb8eff n n г n
Thales IDPrime FIDO Bio 4d41190c-7beb-4a84-8018-adf265a6352d г n г n
Проверка подлинности кольцевого кольца FIDO2 91ad6b93-264b-4987-8737-3a690cad6917 г n г n
Ключ безопасности TOKEN2 FIDO2 ab32f0c6-2239-afbb-c470-d2ef4e254db7 n n n n
Серия ключей безопасности TOKEN2 PIN Плюс eabb46cc-e241-80bf-ae9e-96fa6d2975cf n г г n
Ключ безопасности uTrust FIDO2 73402251-f2a8-4f03-873e-3cb6db604b03 n г г n
VALMIDO PRO FIDO 5626bed4-e756-430b-a7ff-ca78c8b12738 г n n г
Ключ отпечатка veriMark Guard d94a29d9-52dd-4247-9c2d-8b818b610389 г n n n
VinCSS FIDO2 Authenticator 5fdb81b8-53f0-4967-a881-f5ec26fe4d18 n n n n
WiSECURE AuthTron USB FIDO2 Authenticator 504d7149-4e4c-3841-4555-5545a677357 г г n n
Серия YubiKey 5 FIPS 73bb0cd4-e502-49b8-9c6f-b59445bf720b n г n n
Серия YubiKey 5 FIPS с молнией 85203421-48f9-4355-9bc8-8a53846e5083 n г n n
Серия YubiKey 5 FIPS с NFC c1f9a0bc-1dd2-404a-b27f-8e29047a43fd n г г n
Серия YubiKey 5 19083c3d-8383-4b18-bc03-8f1c9ab2fd1b n г n n
Серия YubiKey 5 cb69481e-8ff7-4039-93ec-0a2729a154a8 n г n n
Серия YubiKey 5 ee882879-721c-4913-9775-3dfcce97072a n г n n
Серия YubiKey 5 с молнией a02167b9-ae71-4ac7-9a07-06432ebb6f1c n г n n
Серия YubiKey 5 с молнией c5ef55ff-ad9a-4b9f-b580-adebafe026d0 n г n n
Серия YubiKey 5 с NFC 2fc0579f-8113-47ea-b116-bb5a8db9202a n г г n
Серия YubiKey 5 с NFC a25342c0-3cdc-4414-8e46-f4807fca51c n г n n
Серия YubiKey 5 с NFC fa2b99dc-9e39-4257-8f92-4a30d23c4118 n г г n
YubiKey Bio FIDO Edition dd86a2da-86a0-4cbe-b462-4bd31f57bc6f г г n n
Серия YubiKey Bio d852d9f-575b-4866-88a9-ba99fa02f35b г г n n
Серия Bio YubiKey — выпуск с несколькими протоколами 7d1351a6-e097-4852-b8bf-c9ac5c9ce4a3 г г n n
Серия Bio YubiKey — выпуск с несколькими протоколами 90636e1f-ef82-43bf-bdcf-5255f139d12f г г n n
Серия YubiKey Bio — мульти-протокол edition 1VDJSN 58276709-bb4b-4bb3-baf1-60eea99282a7 г г n n
Серия Bio YubiKey (корпоративный профиль) 83c47309-aabb-4108-8470-8be838b573cb г г n n

Следующие шаги

Дополнительные сведения о поддержке проверки подлинности с устойчивостью к фишингу с помощью ключей безопасности FIDO2 в браузерах и собственных приложениях см. в статье о совместимости FIDO2.