Unterstützung der FIDO2-Authentifizierung mit Microsoft Entra ID
Microsoft Entra ID ermöglicht die Verwendung von Passkeys für die kennwortlose Authentifizierung. In diesem Artikel wird erläutert, welche nativen Apps, Webbrowser und Betriebssysteme die kennwortlose Authentifizierung mithilfe von Passkeys bei Microsoft Entra ID unterstützen.
Hinweis
Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.
Microsoft-App-Unterstützung (Vorschau)
Microsoft-Anwendungen bieten native Unterstützung für die FIDO2-Authentifizierung in der Vorschau für alle Benutzer, die einen Authentifizierungsbroker für ihr Betriebssystem installiert haben. In den folgenden Tabellen ist aufgeführt, welche Authentifizierungsbroker für verschiedene Betriebssysteme unterstützt werden.
| Betriebssystem | Authentifizierungsbroker | Unterstützt FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune-Unternehmensportal 1 | ✅ |
| Android2 | Authentifikator oder Unternehmensportal | ❌ |
1 Unter macOS ist das Microsoft Enterprise Single Sign On (SSO)-Plug-In erforderlich, um das Unternehmensportal als Authentifizierungsbroker zu aktivieren. Geräte, auf denen macOS ausgeführt wird, müssen die SSO-Plug-In-Anforderungen erfüllen, einschließlich der MDM-Registrierung. Stellen Sie für die FIDO2-Authentifizierung sicher, dass Sie die neueste Version nativer Anwendungen ausführen.
2Native App-Unterstützung für FIDO2 unter Android befindet sich in der Entwicklung.
Wenn Benutzer*innen einen Authentifizierungsbroker installiert haben, können sie sich mit einem Sicherheitsschlüssel anmelden, wenn sie auf eine Anwendung wie Outlook zugreifen. Sie werden zur Anmeldung mit FIDO2 umgeleitet und nach erfolgreicher Authentifizierung als angemeldeter Benutzer zurück zu Outlook geleitet.
Wenn Benutzer und Benutzerinnen keinen Authentifizierungsbroker installiert haben, können sie sich weiterhin mit einem Sicherheitsschlüssel anmelden, wenn sie auf MSAL-fähige Anwendungen zugreifen, welche die Anforderungen erfüllen, die unter Unterstützung der FIDO2-Authentifizierung aufgeführt sind.
Webbrowserunterstützung
In dieser Tabelle wird der Browser-Support für die Authentifizierung mit Microsoft Entra ID und Microsoft-Konten mit FIDO2 veranschaulicht. Consumer erstellen Microsoft-Konten für Dienste wie Xbox, Skype oder Outlook.com.
| OS | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | – |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | – | – | – |
| Linux | ✅ | ❌ | ❌ | – |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | – |
Hinweis
Sie können keine Passkeys über Browser auf Android-Geräten erstellen und authentifizieren, einschließlich Google Chrome und Microsoft Edge. Microsoft arbeitet an der Unterstützung dieser Browserszenarien, sobald die Plattform die APIs aktualisiert und verfügbar macht.
Webbrowserunterstützung für jede Plattform
Aus den folgenden Tabellen geht hervor, welcher Datentransport für die einzelnen Plattformen unterstützt wird. Zu den unterstützten Gerätetypen gehören USB, Near-Field Communication (NFC) und Bluetooth Low Energy (BLE).
Windows
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Microsoft Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Mindestversion des Browsers
Nachfolgend sind die Mindestanforderungen für die Browserversion unter Windows aufgeführt.
| Browser | Mindestversion |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 Version 19031 |
| Firefox | 66 |
1Alle Versionen des neuen Chromium-basierten Microsoft Edge unterstützen FIDO2. Unterstützung für Microsoft Edge-Legacy wurde in 1903 hinzugefügt.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | – | – |
| Chrome | ✅ | – | – |
| Firefox2 | ✅ | – | – |
| Safari2 | ✅ | – | – |
1NFC- und BLE-Sicherheitsschlüssel werden unter macOS von Apple nicht unterstützt.
2Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in diesen macOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
ChromeOS
| Browser1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Die Registrierung von Sicherheitsschlüsseln wird unter ChromeOS oder in Chrome-Browsern nicht unterstützt.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Microsoft Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Browser1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | – |
| Chrome | ✅ | ✅ | – |
| Firefox | ✅ | ✅ | – |
| Safari | ✅ | ✅ | – |
1Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in iOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
2BLE-Sicherheitsschlüssel werden unter iOS von Apple nicht unterstützt.
Android
| Browser1 | USB | NFC | BLE2 |
|---|---|---|---|
| Microsoft Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1 Die Sicherheitsschlüsselregistrierung bei Microsoft Entra D wird unter Android noch nicht unterstützt.
2 BLE-Sicherheitsschlüssel werden von Google unter Android nicht unterstützt.
Bekannte Probleme
Mobiles Gerät kann Vorrang vor Sicherheitsschlüssel haben
Wenn Sie Chrome oder Edge verwenden, kann es sein, dass der Browser die Verwendung eines auf dem mobilen Gerät gespeicherten Passkey gegenüber einem auf einem Sicherheitsschlüssel gespeicherten Passkey bevorzugt.
Ab Windows 11 Version 23H2 zeigt das Betriebssystem bei der Anmeldung die folgende Eingabeaufforderung an. Wählen Sie unter Weitere Optionen die Option Sicherheitsschlüssel und dann Weiter aus.
In früheren Versionen von Windows zeigt der Browser möglicherweise den QR-Kopplungsbildschirm an, um mit der Verwendung eines auf einem mobilen Gerät gespeicherten Passkeys fortzufahren. Wenn Sie stattdessen einen Passkey verwenden möchten, der auf einem Sicherheitsschlüssel gespeichert ist, legen Sie Ihren Sicherheitsschlüssel ein, und berühren Sie ihn, um den Vorgang fortzusetzen.
PowerShell-Unterstützung
Microsoft Graph PowerShell unterstützt FIDO2. Einige PowerShell-Module, die Internet Explorer statt Edge verwenden, können keine FIDO2-Authentifizierung ausführen. Zum Beispiel zeigen PowerShell-Module für SharePoint Online oder Teams oder jegliche PowerShell-Skripte, die Administratoranmeldeinformationen erfordern, keine Eingabeaufforderung für FIDO2 an.
Als Workaround können die meisten Anbieter Zertifikate zu den FIDO2-Sicherheitsschlüsseln hinzufügen. Die zertifikatsbasierte Authentifizierung (CBA) funktioniert bei allen Browsern. Wenn Sie CBA für diese Administratorkonten aktivieren können, können Sie in der Zwischenzeit CBA anstelle von FIDO2 vorgeben.
Nächste Schritte
Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln