Ověřovací matice FIDO2 pomocí Microsoft Entra ID

Tento článek obsahuje komplexní přehled podpory ověřování pomocí klíče (FIDO2) v Microsoft Entra ID. Popisuje kompatibilitu webových prohlížečů, nativních aplikací a operačních systémů a umožňuje vícefaktorové ověřování bez hesla. Najdete zde také důležité informace specifické pro platformu, známé problémy a pokyny pro podporu aplikací a zprostředkovatelů identity třetích stran. Tyto informace použijte k zajištění bezproblémové integrace a optimálního uživatelského prostředí s přístupovými klíči ve vašem prostředí.

Další informace o tom, jak se přihlásit pomocí klíčů zabezpečení FIDO2 na zařízení s Windows, najdete v tématu Povolení přihlášení klíče zabezpečení FIDO2 k zařízením s Windows 10 a 11 pomocí Microsoft Entra ID.

Poznámka:

Id Microsoft Entra v současné době podporuje pouze klíče vázané na zařízení uložené na klíčích zabezpečení FIDO2 nebo v aplikaci Microsoft Authenticator. Společnost Microsoft se zavazuje zabezpečit zákazníky a uživatele pomocí klíčů a plánuje podporovat synchronizované klíče pro ID Microsoft Entra.

Webové prohlížeče

Následující část popisuje podporu ověřování pomocí klíče (FIDO2) ve webových prohlížečích s ID Microsoft Entra.

Operační systém	Chrom	Edge	Firefox	Safari
Windows	✅	✅	✅	Není k dispozici
macOS	✅	✅	✅	✅
ChromeOS	✅	Není k dispozici	Není k dispozici	Není k dispozici
Operační systém Linux	✅	✅	✅	Není k dispozici
Ios	✅	✅	✅	✅
Android	✅	✅	❌	Není k dispozici

Důležité informace pro každou platformu

Windows

• Přihlášení pomocí klíče zabezpečení vyžaduje jednu z následujících položek:
  • Windows 10 verze 1903 nebo novější
  • Microsoft Edge založený na chromiu
  • Chrome 76 nebo novější
  • Firefox 66 nebo novější

macOS

• Přihlášení pomocí hesla vyžaduje macOS Catalina 11.1 nebo novější pomocí Safari 14 nebo novější, protože Microsoft Entra ID vyžaduje ověření uživatele pro vícefaktorové ověřování.
• Na macOS Apple nepodporuje bezpečnostní klíče pro bezkontaktní komunikaci (NFC) a Bluetooth Low Energy (BLE).
• Registrace nového bezpečnostního klíče nefunguje v těchto prohlížečích s macOS, protože se nezobrazí výzva k nastavení biometrických údajů nebo PIN kódu.

ChromeOS

• Google nepodporuje bezpečnostní klíče NFC a BLE v ChromeOS.
• Registrace klíče zabezpečení není v prohlížeči ChromeOS ani Chrome podporovaná.

Operační systém Linux

• Přihlášení pomocí hesla v Aplikaci Microsoft Authenticator není ve Firefoxu v Linuxu podporované.

iOS

• Přihlášení pomocí hesla vyžaduje iOS 14.3 nebo novější, protože Id Microsoft Entra vyžaduje ověření uživatele pro vícefaktorové ověřování.
• Apple nepodporuje klíče zabezpečení BLE v iOSu.
• Apple nepodporuje NFC s certifikovanými bezpečnostními klíči FIPS 140-3 na iOS.
• Registrace nového bezpečnostního klíče nefunguje v prohlížečích s iOSem, protože se nezobrazují výzva k nastavení biometrických údajů nebo PIN kódu.

Android

• Přihlášení pomocí klíče vyžaduje služby Google Play Services 21 nebo novější, protože ID Microsoft Entra vyžaduje ověření uživatele pro vícefaktorové ověřování.
• Bezpečnostní klíče BLE a NFC nejsou na Androidu podporovány společností Google.
• Přihlášení pomocí hesla není ve Firefoxu na Androidu podporované.

nativní aplikace

V dalších částech najdete informace o podpoře ověřování pomocí klíče (FIDO2) v ID Microsoft Entra pro:

• Podpora aplikací Microsoftu s využitím zprostředkovatele ověřování
• Podpora aplikací Microsoftu bez zprostředkovatele ověřování
• Podpora aplikací třetích stran bez zprostředkovatele ověřování
• Podpora zprostředkovatele identity třetí strany (IdP)

Podpora aplikací Microsoftu s využitím zprostředkovatele ověřování

Aplikace Microsoftu poskytují nativní podporu ověřování pomocí klíče pro všechny uživatele, kteří mají pro svůj operační systém nainstalovaný zprostředkovatel ověřování. Ověřování pomocí klíče je také podporováno pro aplikace třetích stran pomocí zprostředkovatele ověřování.

Pokud uživatel nainstaloval zprostředkovatele ověřování, může se při přístupu k aplikaci, jako je Outlook, přihlásit pomocí klíče. Přesměrují se na přihlášení pomocí klíče a po úspěšném ověření se přesměrují zpět do Outlooku jako přihlášený uživatel.

Následující tabulky uvádí, které zprostředkovatelé ověřování jsou podporovány pro různé operační systémy.

Operační systém	Zprostředkovatel ověřování
Ios	Microsoft Authenticator
macOS	Portál společnosti Microsoft Intune
Android	Aplikace Authenticator, Portál společnosti nebo aplikace Link to Windows.

Podpora aplikací Microsoftu bez zprostředkovatele ověřování

Následující tabulka uvádí podporu aplikací Microsoftu pro klíč (FIDO2) bez zprostředkovatele ověřování. Aktualizujte své aplikace na nejnovější verzi, abyste zajistili, že budou fungovat s přístupovými klíči.

aplikace	macOS	iOS	Android
Vzdálená plocha	✅	✅	✅
Aplikace pro Windows	✅	✅	✅
Microsoft 365 Copilot (Office)	Není k dispozici	✅	❌
Slovo	✅	✅	❌
PowerPoint	✅	✅	❌
Vynikat	✅	✅	❌
OneNote	✅	✅	❌
Cyklus	Není k dispozici	✅	❌
OneDrive	✅	✅	❌
Vyhlídka	✅	✅	❌
Týmy	✅	✅	❌
Edge	✅	✅	❌

Podpora aplikací třetích stran bez zprostředkovatele ověřování

Pokud uživatel ještě musí nainstalovat zprostředkovatele ověřování, může se při přístupu k aplikacím s podporou MSAL přihlásit pomocí klíče. Další informace o požadavcích pro aplikace s podporou MSAL najdete v tématu Podpora ověřování bez hesla pomocí klíčů FIDO2 v aplikacích, které vyvíjíte.

Podpora IdP třetích stran

Poznámka:

Autentizace pomocí přístupového klíče s externím poskytovatelem identity není v současné době podporována ve třetích stran aplikacích používajících zprostředkovatele ověřování ani v aplikacích Microsoftu na platformách Android, iOS nebo macOS.

Id Microsoft Entra nepodporuje ověřování přístupového klíče pomocí zprostředkovatele identity od třetí strany v iOS/macOS. Jako alternativní řešení můžou poskytovatelé identity třetích stran implementovat vlastní rozšíření jednotného přihlašování (SSO) na zařízeních s iOSem nebo macOS, pokud je spravuje správa mobilních zařízení (MDM).

Rozšiřitelná architektura jednotného přihlašování společnosti Apple na zařízeních spravovaných pomocí MDM umožňuje poskytovatelům identit zachytit síťové požadavky směrované na jejich adresy URL. Když rozšíření jednotného přihlašování zprostředkovatele identity zachytí síťový požadavek, může implementovat vlastní ověřovací handshake. To jim umožňuje používat systémový prohlížeč nebo nativní rozhraní Apple API pro ověřování pomocí klíče bez nutnosti změn v aplikacích Microsoftu.

Další informace najdete v následující dokumentaci společnosti Apple:

• Rozšiřitelný profil správy zařízení ExtensibleSingleSignOn
• Kolekce rozhraní API jednotného přihlašování organizace

Důležité informace pro každou platformu

Windows

• Přihlášení pomocí klíče zabezpečení FIDO2 k nativním aplikacím vyžaduje Windows 10 verze 1903 nebo novější.
• Přihlášení pomocí hesla v Microsoft Authenticatoru k nativním aplikacím vyžaduje Windows 11 verze 22H2 nebo novější.
• Microsoft Graph PowerShell podporuje bezklíčový přístup (FIDO2). Některé moduly PowerShellu, které místo Edge používají Internet Explorer, nemůžou provádět ověřování FIDO2. Například moduly PowerShellu pro SharePoint Online nebo Teams, nebo jakékoli skripty PowerShellu, které vyžadují přihlašovací údaje správce, nevyžadují výzvu pro FIDO2.
  • Jako alternativní řešení může většina dodavatelů umístit certifikáty na klíče zabezpečení FIDO2. Ověřování na základě certifikátů (CBA) funguje ve všech prohlížečích. Pokud pro tyto účty správců můžete povolit CBA, můžete v přechodném období vyžadovat CBA místo FIDO2.

iOS

• Přihlášení pomocí hesla v nativních aplikacích bez modulu plug-in Jednotného přihlašování (SSO) Microsoft Enterprise vyžaduje iOS 16.0 nebo novější.
• Přihlášení pomocí hesla v nativních aplikacích pomocí modulu plug-in SSO vyžaduje iOS 17.1 nebo novější.

macOS

• Na macOS je zásuvný modul Microsoft Enterprise Single Sign On (SSO) vyžadován k povolení Portálu společnosti jako zprostředkovatele ověřování. Zařízení s macOS musí splňovat požadavky plug-inu jednotného přihlašování, včetně zápisu ve správě mobilních zařízení.
• Přihlášení pomocí hesla v nativních aplikacích pomocí modulu plug-in SSO vyžaduje macOS 14.0 nebo novější.

Android

• Přihlášení pomocí klíče zabezpečení FIDO2 k nativním aplikacím vyžaduje Android 13 nebo novější.
• Přihlášení pomocí hesla v Microsoft Authenticatoru k nativním aplikacím vyžaduje Android 14 nebo novější.
• Přihlášení pomocí klíčů zabezpečení FIDO2 vyrobených společností Yubico, s povoleným YubiOTP, nemusí na zařízeních Samsung Galaxy fungovat. Jako alternativní řešení můžou uživatelé Zakázat YubiOTP a pokusit se znovu přihlásit. Další informace najdete v tématu Problémy s FIDO na zařízeních Samsung.

Další kroky

Povolení přihlašování pomocí bezpečnostního klíče bez hesla