Passkey Profiles – O que é e por que utilizar
Introdução
Faaala pessoal, 100%?
Dando sequencia a assunto Passkey, hoje trago um pouco dos Perfils de Passkey, ou Passkey Profiles pra quem prefere os termos e ingles. Iniciamos essa conversa com o artigo Passkey (FIDO2) no Entra ID – O que é por que você deve utilizar. Caso não tenha lido, volte uma casa, leia o artigo pra ter as informações base e siga nesse artigo aqui.
No momento em que estou escrevendo esse artigo, esse recurso de Passkey Profiles, assim como o Passkey Sync, está em Preview e deve ser utilizado em ambiente bem controlado e como piloto. Algo me diz que logo menos teremos esses em GA.
O Conceito
Voltando lá ao nosso primeiro artigo, vemos que em Metodos de Autenticação, dentro do Entra ID, temos a opção de habilitar o uso de Passkey (FIDO2) a nível de usuário ou grupos, e uma vez habilitado teremos várias opções de controle, sendo uma delas a possibilidade de determinas qual Passkey/chave FIDO2 é permitida em seu ambiente. Através do AAGUID A ideia do Passkey Profiles é trazer flexiblidade quanto ao uso de chaves FIDO2 ou Passkey.
Hoje, sem o recurso em preview, uma vez que você libere um AAGUID, ele será válido ou poder ser utilizado por qualquer usuário (obviamente que tenha sido habilitado a utilizar o Passkey).
Flexibilidade – O divisor de aguas
O grande lance do Passkey Profiles é flexibilizar essa parte do: “Quem pode usar o que”. O recurso permite que você crie divisões dentro da configuração de Metodos de Autenticação e defina o que cada grupo/divisão poderá utilizar como chave de autenticação FIDO2/Passkey. Imagine o cenário em que você quer que o time de TI não utilze as Passkeys geradas via Microsoft Authenticator. Apenas chaves Yubikey 5 NFC são permitidas.
Sem o Passkey Profiles, essa restrição seria aplicada a TODOS os usuários do Tenant, não apenas a TI.
Antes de pularmos para um cenário de uso, pra tudo ficar mais claro, é preciso checar o que já tens em seu ambiente. Caso você ainda não tenha explorado essa opção, ao clicar em Passkey, adentro do menu Metodos de Autenticação no Entra ID, esse baner será exibido, informando que exist euma opção em Preview e você pode testar

Clicando em “Begin opting-in to public Preview” a tela será atualizada já trazendo as do Passkey Profile. Note que já é possível ver a opção de adicionar perfil, e que é preciso editar o Default Profile (Perfil Padrão) para definir o tipo de Passkey que será utilizado.

Clicando em Edit, expanda as opções de Target Types e selecoine Device-Bound. Veja que essa opção manteve as configurações anteriores, e que já temos os AAGUIDS do passkey para Android e iOS.

Feito isso, é possível voltar para a tela anterior, atualizar a pagina e a opção de Adicionar Perfis estará disponível na aba Configure.
Configurando
Agora basta aplicar a estratégia que preferir, definindo os usúarios ou grupos que receberam os perfis e quais configurações cada perfil terá. Vou usar como exemplo o seguinte caso de uso:
- Devido a regulações, o time de TI só pode utilizar Token físico Yubikey do modelo 5 NFC e com enforce attestation habilitado;
- Gestores dos times administrativos poderão utilizar Microsoft Passkey;
Para atender a esse caso de uso termos dois Passkey Profile, seguindo os requisitos de cada um deles. Vamos a mão na massa
Navegue novamente até Authentication Methods > Policies > Passkey(FIDO2). Na aba configure, clique em “Add Profile”. Iniciaremos pelo perfil da TI, onde é solicitado um modelo específico e com Enforce Attestation habilitado. A configuração ficará assim:

Note que temos apenas um AAGUID, que é o do token que foi mencionado como requisito, e o behavior (comportamento/ação) ficará como Allow, por que queremos permitir apenas esse AAGUID em específico. Você pode encontrar os AAGUID para Yubikey aqui: YubiKey hardware FIDO2 AAGUIDs
Já para o perfil de Gestores ADM, utilizaremos os AAGUIDs do Microsoft Authenticator. Veja como ficou a config:

Pronto! Requisitos atendidos. Agora é preciso linkar os perfis ao respectivo grupo de usários. Volte ao menu “Enable and Target” clique em “Add Target” e logo depois em “Select Targets”.
Selecione os grupos que receberão os perfis e logo depois, informe qual perfil se aplicará a cada um. No nosso exemplo, ficará assim:

Com essa configuração, os perfis serão aplicados a cada usuário que faça parte de algum dos grupos, seguindo o que foi pedido lá em cima nos requisitos que criamos.
Note que não temos nesse print o grupo Default Profile. Eu preferi deletar pra manter a visualização mais limpa, mas fica a seu criterio manter ou não.
Conclusão
Perfis configurados! Embora nem sempre simples, é possível ter um ambiente seguro e flexível. Agora, cada qual utilizará conforme o que pede sua política de segurança e compliance.
Espero que tenha te ajudado! Grande abraço \,,/
