Unterstützung der FIDO2-Authentifizierung mit Microsoft Entra ID
Microsoft Entra ID ermöglicht die Verwendung von Passkeys für die kennwortlose Authentifizierung. In diesem Artikel wird erläutert, welche nativen Anwendungen, Webbrowser und Betriebssysteme die kennwortlose Authentifizierung mithilfe von Passkeys bei Microsoft Entra ID unterstützen.
Hinweis
Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.
Native Anwendungsunterstützung
Native Anwendungsunterstützung mit Authentifizierungsbroker (Vorschau)
Microsoft-Anwendungen bieten native Unterstützung für die FIDO2-Authentifizierung in der Vorschau für alle Benutzer, die einen Authentifizierungsbroker für ihr Betriebssystem installiert haben. FIDO2-Authentifizierung wird auch in der Vorschau für Anwendungen von Drittanbietern mit dem Authentifizierungsbroker unterstützt.
In den folgenden Tabellen ist aufgeführt, welche Authentifizierungsbroker für verschiedene Betriebssysteme unterstützt werden.
| OS | Authentifizierungsbroker | Unterstützt FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune-Unternehmensportal 1 | ✅ |
| Android2 | Authentifikator oder Unternehmensportal | ❌ |
1 Unter macOS ist das Microsoft Enterprise Single Sign On (SSO)-Plug-In erforderlich, um das Unternehmensportal als Authentifizierungsbroker zu aktivieren. Geräte, auf denen macOS ausgeführt wird, müssen die SSO-Plug-In-Anforderungen erfüllen, einschließlich der MDM-Registrierung. Stellen Sie für die FIDO2-Authentifizierung sicher, dass Sie die neueste Version nativer Anwendungen ausführen.
2Native Anwendungsunterstützung für FIDO2 unter Android befindet sich in der Entwicklung.
Wenn Benutzer*innen einen Authentifizierungsbroker installiert haben, können sie sich mit einem Sicherheitsschlüssel anmelden, wenn sie auf eine Anwendung wie Outlook zugreifen. Sie werden zur Anmeldung mit FIDO2 umgeleitet und nach erfolgreicher Authentifizierung als angemeldeter Benutzer zurück zu Outlook geleitet.
Microsoft-Anwendungsunterstützung ohne Authentifizierungsbroker
Wenn der Benutzer keinen Authentifizierungsbroker besitzt, wird die Anmeldung bei nativen Microsoft-Anwendungen mit FIDO2-Authentifizierung unter iOS, macOS und Android derzeit nicht unterstützt.
Unterstützung von Drittanbieteranwendungen ohne Authentifizierungsbroker
Wenn Benutzer noch keinen Authentifizierungsbroker installiert haben, können sie sich weiterhin mit einem Sicherheitscode anmelden, wenn sie auf MSAL-fähige Anwendungen zugreifen. Weitere Informationen zu den Anforderungen für MSAL-fähige Anwendungen finden Sie unter Unterstützen der kennwortlosen Authentifizierung mit FIDO2-Schlüsseln in von Ihnen entwickelten Apps.
Webbrowserunterstützung
In dieser Tabelle wird der Browser-Support für die Authentifizierung mit Microsoft Entra ID und Microsoft-Konten mit FIDO2 veranschaulicht. Consumer erstellen Microsoft-Konten für Dienste wie Xbox, Skype oder Outlook.com.
| OS | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | – |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | – | – | – |
| Linux | ✅ | ❌ | ❌ | – |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | – |
Hinweis
Passkeys in Authenticator funktionieren auf Android-Geräten nicht mit Browsern wie Google Chrome oder Microsoft Edge. Die Unterstützung zum Erstellen und Anmelden mithilfe von Authenticator-Passkeys aus Browsern hängt von API-Updates ab, die von der Android-Plattform zur Verfügung gestellt werden.
Webbrowserunterstützung für jede Plattform
Aus den folgenden Tabellen geht hervor, welcher Datentransport für die einzelnen Plattformen unterstützt wird. Zu den unterstützten Gerätetypen gehören USB, Near-Field Communication (NFC) und Bluetooth Low Energy (BLE).
Windows
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Microsoft Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Mindestversion des Browsers
Nachfolgend sind die Mindestanforderungen für die Browserversion unter Windows aufgeführt.
| Browser | Mindestversion |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 Version 19031 |
| Firefox | 66 |
1Alle Versionen des neuen Chromium-basierten Microsoft Edge unterstützen FIDO2. Unterstützung für Microsoft Edge-Legacy wurde in 1903 hinzugefügt.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | – | – |
| Chrome | ✅ | – | – |
| Firefox2 | ✅ | – | – |
| Safari2 | ✅ | – | – |
1NFC- und BLE-Sicherheitsschlüssel werden unter macOS von Apple nicht unterstützt.
2Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in diesen macOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
ChromeOS
| Browser1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Die Registrierung von Sicherheitsschlüsseln wird unter ChromeOS oder in Chrome-Browsern nicht unterstützt.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Microsoft Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Browser1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | – |
| Chrome | ✅ | ✅ | – |
| Firefox | ✅ | ✅ | – |
| Safari | ✅ | ✅ | – |
1Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in iOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
2BLE-Sicherheitsschlüssel werden unter iOS von Apple nicht unterstützt.
Android
| Browser1 | USB | NFC | BLE2 |
|---|---|---|---|
| Microsoft Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1 Die Sicherheitsschlüsselregistrierung bei Microsoft Entra D wird unter Android noch nicht unterstützt.
2 BLE-Sicherheitsschlüssel werden von Google unter Android nicht unterstützt.
Bekannte Probleme
PowerShell-Unterstützung
Microsoft Graph PowerShell unterstützt FIDO2. Einige PowerShell-Module, die Internet Explorer statt Edge verwenden, können keine FIDO2-Authentifizierung ausführen. Zum Beispiel zeigen PowerShell-Module für SharePoint Online oder Teams oder jegliche PowerShell-Skripte, die Administratoranmeldeinformationen erfordern, keine Eingabeaufforderung für FIDO2 an.
Als Workaround können die meisten Anbieter Zertifikate zu den FIDO2-Sicherheitsschlüsseln hinzufügen. Die zertifikatsbasierte Authentifizierung (CBA) funktioniert bei allen Browsern. Wenn Sie CBA für diese Administratorkonten aktivieren können, können Sie in der Zwischenzeit CBA anstelle von FIDO2 vorgeben.
Nächste Schritte
Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln