Passkey-Authentifizierungsmatrix (FIDO2) mit Microsoft Entra ID

Dieser Artikel enthält eine umfassende Übersicht über die FIDO2-Authentifizierungsunterstützung (Passkey) in Microsoft Entra ID. Es beschreibt die Kompatibilität zwischen Webbrowsern, nativen Apps und Betriebssystemen, wodurch die kennwortlose mehrstufige Authentifizierung ermöglicht wird. Außerdem finden Sie plattformspezifische Überlegungen, bekannte Probleme und Anleitungen für die Unterstützung von Apps und Identitätsanbietern von Drittanbietern. Verwenden Sie diese Informationen, um eine nahtlose Integration und optimale Benutzererfahrung mit Passkeys in Ihrer Umgebung sicherzustellen.

Weitere Informationen zum Anmelden mit FIDO2-Sicherheitsschlüsseln auf einem Windows-Gerät finden Sie unter Aktivieren der FIDO2-Sicherheitsschlüsselanmeldung bei Windows 10- und 11-Geräten mit Microsoft Entra ID.

Hinweis

Microsoft Entra-ID unterstützt derzeit nur gerätegebundene Passkeys, die auf FIDO2-Sicherheitsschlüsseln oder in Microsoft Authenticator gespeichert sind. Microsoft verpflichtet sich, Kunden und Benutzer mit Passkeys zu schützen, und plant, synchronisierte Passkeys für Microsoft Entra ID zu unterstützen.

Webbrowser

Im folgenden Abschnitt wird die Unterstützung für die FIDO2-Authentifizierung in Webbrowsern mit Microsoft Entra ID behandelt.

Betriebssystem	Chrom	Rand	Firefox	Safari
Fenster	✅	✅	✅	–
macOS	✅	✅	✅	✅
ChromeOS	✅	–	–	–
Linux	✅	✅	✅	–
Ios	✅	✅	✅	✅
Android	✅	✅	❌	–

Überlegungen für jede Plattform

Fenster

• Für die Anmeldung mit Sicherheitsschlüsseln ist eines der folgenden Elemente erforderlich:
  • Windows 10, Version 1903 oder höher
  • Chromium-basierter Microsoft Edge-Browser
  • Chrome 76 oder höher
  • Firefox 66 oder höher

macOS

• Für die Anmeldung mit Passkey ist macOS Catalina 11.1 oder höher mit Safari 14 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
• Near Field Communication- (NFC) und Bluetooth Low Energy-Sicherheitsschlüssel (BLE) werden von Apple auf macOS nicht unterstützt.
• Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in diesen macOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
• Weitere Informationen zu Safari unter macOS finden Sie unter Anmelden, wenn mehr als drei Passkeys registriert sind.

ChromeOS

• NFC- und BLE-Sicherheitsschlüssel werden von Google auf ChromeOS nicht unterstützt.
• Die Registrierung von Sicherheitsschlüsseln wird unter ChromeOS oder in Chrome-Browsern nicht unterstützt.

Linux (Englisch)

• Die Anmeldung mit einem Passkey in Microsoft Authenticator wird in Firefox unter Linux nicht unterstützt.

Ios

• Für die Anmeldung mit Passkey ist iOS 14.3 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
• BLE-Sicherheitsschlüssel werden unter iOS von Apple nicht unterstützt.
• NFC mit FIPS 140-3 zertifizierten Sicherheitsschlüsseln wird von Apple unter iOS nicht unterstützt.
• Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in iOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
• Weitere Informationen finden Sie unter Anmelden, wenn mehr als drei Passkeys registriert sind.

Android

• Für die Anmeldung mit Passkey ist Google Play Services 21 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
• BLE-Sicherheitsschlüssel werden von Google unter Android nicht unterstützt.
• Die Sicherheitsschlüsselregistrierung bei Microsoft Entra  D wird unter Android noch nicht unterstützt.
• Die Anmeldung mit Passkey wird in Firefox unter Android nicht unterstützt.

Bekannte Probleme

Anmelden, wenn mehr als drei Passkeys registriert sind

Wenn Sie mehr als drei Passkeys registriert haben, funktioniert die Anmeldung mit einem Passkey für iOS oder Safari unter macOS möglicherweise nicht. Wenn Sie über mehr als drei Passkeys verfügen, klicken Sie als Problemumgehung auf Anmeldeoptionen, und melden Sie sich an, ohne einen Benutzernamen einzugeben.

Native Apps

In den folgenden Abschnitten wird die Unterstützung für die Passkey-Authentifizierung (FIDO2) in Microsoft Entra ID behandelt:

• Microsoft-App-Unterstützung mit Authentifizierungsbroker
• Microsoft-App-Unterstützung ohne Authentifizierungsbroker
• Unterstützung von Drittanbieter-Apps ohne Authentifizierungsbroker
• Unterstützung für Drittanbieter-Identitätsanbieter (IdP)

Microsoft-App-Unterstützung mit Authentifizierungsbroker

Microsoft-Apps bieten native Unterstützung für die Passkey-Authentifizierung für alle Benutzer, die einen Authentifizierungsbroker für ihr Betriebssystem installiert haben. Die Passkey-Authentifizierung wird auch für Apps von Drittanbietern mit dem Authentifizierungsbroker unterstützt.

Wenn ein Benutzer einen Authentifizierungsbroker installiert hat, kann er sich mit einem Passkey anmelden, wenn er auf eine App wie Outlook zugreift. Sie werden zur Anmeldung mit einem Passkey umgeleitet, und nach erfolgreicher Authentifizierung werden sie als angemeldete Benutzer*innen zurück zu Outlook geleitet.

In den folgenden Tabellen ist aufgeführt, welche Authentifizierungsbroker für verschiedene Betriebssysteme unterstützt werden.

Betriebssystem	Authentifizierungsbroker
Ios	Microsoft Authenticator
macOS	Microsoft Intune-Portal/Unternehmensportal
Android	Authentifikator, Unternehmensportal oder Link zu Windows-App

Microsoft-App-Unterstützung ohne Authentifizierungsbroker

In der folgenden Tabelle ist die Unterstützung von Microsoft-Apps für Passkey (FIDO2) ohne Authentifizierungsbroker aufgeführt. Aktualisieren Sie Ihre Apps auf die neueste Version, um sicherzustellen, dass sie mit Passkeys funktionieren.

App	macOS	Ios	Android
Remotedesktop	✅	✅	✅
Windows-App	✅	✅	✅
Microsoft 365 Copilot (Office)	–	✅	❌
Wort	✅	✅	❌
PowerPoint	✅	✅	❌
Ausstechen	✅	✅	❌
OneNote	✅	✅	❌
Schleife	–	✅	❌
OneDrive	✅	✅	❌
Aussicht	✅	✅	❌
Mannschaften	✅	✅	❌
Rand	✅	✅	❌

Unterstützung von Drittanbieter-Apps ohne Authentifizierungsbroker

Wenn der Benutzer noch keinen Authentifizierungsbroker installiert hat, kann er sich trotzdem mit einem Passkey einloggen, wenn er auf MSAL-fähige Apps zugreift. Weitere Informationen zu den Anforderungen für MSAL-fähige Apps finden Sie unter Unterstützen der kennwortlosen Authentifizierung mit FIDO2-Schlüsseln in Apps, die Sie entwickeln.

IdP-Unterstützung von Drittanbietern

Hinweis

Die Passkey-Authentifizierung mit einem Drittanbieter-IDP wird derzeit in Drittanbieter-Apps mit Authentifizierungsbroker oder Microsoft-Apps unter Android, iOS oder macOS nicht unterstützt.

Die Microsoft Entra-ID unterstützt keine Passkey-Authentifizierung mit einem IdP eines Drittanbieters unter iOS/macOS. Als Problemumgehung können IdPs von Drittanbietern ihre eigene SSO-Erweiterung (Single Sign-On) auf iOS/macOS-Geräten implementieren, wenn sie von der Verwaltung mobiler Geräte (Mobile Device Management, MDM) verwaltet werden.

Das erweiterbare SSO-Framework von Apple auf MDM-verwalteten Geräten ermöglicht es Identitätsanbietern, Netzwerkanforderungen abzufangen, die an ihre URLs gerichtet sind. Wenn die SSO-Erweiterung des Identitätsanbieters eine Netzwerkanforderung abfangen, können sie einen benutzerdefinierten Authentifizierungs-Handshake implementieren. Auf diese Weise können sie einen Systembrowser oder systemeigene Apple-APIs für die Passkey-Authentifizierung verwenden, ohne Dass Änderungen in Microsoft-Anwendungen erforderlich sind.

Weitere Informationen finden Sie in der folgenden Apple-Dokumentation:

• ExtensibleSingleSignOn Geräteverwaltungsprofil
• SSO-API-Sammlung (Single Sign-On, Einmaliges Anmelden für Unternehmen)

Überlegungen für jede Plattform

Fenster

• Für die Anmeldung mit DEM FIDO2-Sicherheitsschlüssel für systemeigene Apps ist Windows 10, Version 1903 oder höher, erforderlich.
• Für die Anmeldung mit Passkey in Microsoft Authenticator für systemeigene Apps ist Windows 11, Version 22H2 oder höher, erforderlich.
• Microsoft Graph PowerShell- unterstützt Passkeys (FIDO2). Einige PowerShell-Module, die Internet Explorer statt Edge verwenden, können keine FIDO2-Authentifizierung ausführen. Zum Beispiel zeigen PowerShell-Module für SharePoint Online oder Teams oder jegliche PowerShell-Skripte, die Administratoranmeldeinformationen erfordern, keine Eingabeaufforderung für FIDO2 an.
  • Als Workaround können die meisten Anbieter Zertifikate zu den FIDO2-Sicherheitsschlüsseln hinzufügen. Die zertifikatsbasierte Authentifizierung (CBA) funktioniert bei allen Browsern. Wenn Sie CBA für diese Administratorkonten aktivieren können, können Sie in der Zwischenzeit CBA anstelle von FIDO2 vorgeben.

Ios

• Für die Anmeldung mit Passkey in nativen Apps ohne Plug-In für Microsoft Enterprise Single Sign-On (SSO) ist iOS 16.0 oder höher erforderlich.
• Für die Anmeldung mit Passkey in nativen Apps mit dem SSO-Plug-In ist iOS 17.1 oder höher erforderlich.

macOS

• Unter macOS ist das Microsoft Enterprise Single Sign On-Plug-In (SSO) erforderlich, um das Unternehmensportal als Authentifizierungsbroker zu aktivieren. Geräte, auf denen macOS ausgeführt wird, müssen die SSO-Plug-In-Anforderungen erfüllen, einschließlich der MDM-Registrierung.
• Für die Anmeldung mit Passkey in nativen Apps mit dem SSO-Plug-In ist macOS 14.0 oder höher erforderlich.

Android

• Für die Anmeldung mit FIDO2-Sicherheitsschlüsseln für native Apps ist Android 13 oder höher erforderlich.
• Für die Anmeldung mit Passkey in Microsoft Authenticator in nativen Apps ist Android 14 oder höher erforderlich.
• Die Anmeldung mit von Yubico hergestellten FIDO2-Sicherheitsschlüsseln mit aktivierter YubiOTP-Funktion funktioniert möglicherweise nicht auf Samsung Galaxy-Geräten. Als Problemumgehung können Benutzer YubiOTP deaktivieren und erneut versuchen, sich anzumelden. Weitere Informationen finden Sie unter FIDO-Probleme auf Samsung-Geräten.

Nächste Schritte

Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln