FIDO2-hitelesítés támogatása a Microsoft Entra-azonosítóval
A Microsoft Entra ID lehetővé teszi a jelszó nélküli hitelesítéshez használt kulcsokat. Ez a cikk azt ismerteti, hogy mely natív alkalmazások, webböngészők és operációs rendszerek támogatják a jelszó nélküli hitelesítést a Microsoft Entra ID azonosítójú kulcsok használatával.
Feljegyzés
A Microsoft Entra ID jelenleg a FIDO2 biztonsági kulcsokon és a Microsoft Authenticatorban tárolt eszközhöz kötött hozzáférési kulcsokat támogatja. A Microsoft elkötelezett az ügyfelek és a felhasználók hozzáférési kulcsokkal való védelme mellett. A munkahelyi fiókok szinkronizált és eszközhöz kötött hozzáférési kulcsait is befektetjük.
Natív alkalmazástámogatás
Natív alkalmazástámogatás a hitelesítési közvetítővel (előzetes verzió)
A Microsoft-alkalmazások natív támogatást nyújtanak a FIDO2-hitelesítéshez előzetes verzióban minden olyan felhasználó számára, akinek telepítve van egy hitelesítési közvetítő az operációs rendszeréhez. A FIDO2 hitelesítés előzetes verzióban is támogatott a hitelesítési közvetítőt használó külső alkalmazások esetében.
Az alábbi táblázatok felsorolják, hogy mely hitelesítési közvetítők támogatottak a különböző operációs rendszerekhez.
| OS | Hitelesítési közvetítő | Támogatja a FIDO2-t |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune Céges portál 1 | ✅ |
| Android2 | Hitelesítő vagy Céges portál | ❌ |
1MacOS rendszeren a Microsoft Enterprise Egyszeri bejelentkezés (SSO) beépülő modul szükséges a Céges portál hitelesítési közvetítőként való engedélyezéséhez. A macOS rendszerű eszközöknek meg kell felelniük az SSO beépülő modul követelményeinek, beleértve a mobileszköz-kezelésbe való regisztrációt is. A FIDO2-hitelesítéshez győződjön meg arról, hogy a natív alkalmazások legújabb verzióját futtatja.
2Az Androidon elérhető FIDO2 natív alkalmazástámogatása fejlesztés alatt áll.
Ha a felhasználó telepített egy hitelesítési közvetítőt, akkor dönthet úgy, hogy biztonsági kulccsal jelentkezik be, amikor egy alkalmazáshoz, például az Outlookhoz fér hozzá. A rendszer átirányítja őket a FIDO2-vel való bejelentkezéshez, és a sikeres hitelesítés után visszakerülnek az Outlookba bejelentkezett felhasználóként.
Microsoft-alkalmazástámogatás hitelesítésszervező nélkül
Ha a felhasználó nem rendelkezik hitelesítési közvetítővel iOS, macOS és Android rendszeren, akkor a FIDO2-hitelesítéssel rendelkező natív Microsoft-alkalmazásokba való bejelentkezés jelenleg nem támogatott.
Külső alkalmazástámogatás hitelesítésszervező nélkül
Ha a felhasználó még nem telepített hitelesítési közvetítőt, akkor is bejelentkezhet egy biztonsági kulccsal, amikor hozzáfér az MSAL-kompatibilis alkalmazásokhoz. Az MSAL-kompatibilis alkalmazásokra vonatkozó követelményekkel kapcsolatos további információkért lásd: Jelszó nélküli hitelesítés támogatása FIDO2-kulcsokkal a fejlesztés alatt lévő alkalmazásokban.
Webböngésző támogatása
Ez a táblázat a Microsoft Entra ID és a Microsoft-fiókok FIDO2 használatával történő hitelesítésének böngészőtámogatását mutatja be. A felhasználók Microsoft-fiókokat hoznak létre olyan szolgáltatásokhoz, mint az Xbox, a Skype vagy a Outlook.com.
| OS | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | n/a |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N.A. | N.A. | N.A. |
| Linux | ✅ | ❌ | ❌ | n/a |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | n/a |
Feljegyzés
Az Authenticator hozzáférési kulcsai nem működnek olyan böngészőkkel, mint a Google Chrome vagy a Microsoft Edge Android-eszközökön. Az Authenticator-hozzáférési kulcsok böngészőkből való létrehozásának és bejelentkezésének támogatása az Android platform által elérhetővé tett API-frissítésektől függ.
Webböngésző-támogatás minden platformhoz
Az alábbi táblázatok azt mutatják be, hogy mely átvitelek támogatottak az egyes platformokon. A támogatott eszköztípusok közé tartozik az USB, a közelmezős kommunikáció (NFC) és a bluetooth alacsony energia (BLE).
Windows
| Böngésző | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
A böngésző minimális verziója
A windowsos böngésző minimális verziókövetelményei a következők.
| Böngésző | Minimális verzió |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 19031-es verzió |
| Firefox | 66 |
1Az új Chromium-alapú Microsoft Edge minden verziója támogatja a FIDO2-t. A Microsoft Edge örökölt verziójának támogatása 1903-ban lett hozzáadva.
macOS
| Böngésző | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N.A. | N.A. |
| Chrome | ✅ | N.A. | N.A. |
| Firefox2 | ✅ | N.A. | N.A. |
| Safari2 | ✅ | N.A. | N.A. |
Az Apple nem támogatja az 1NFC- és BLE-biztonsági kulcsot macOS rendszeren.
2Az új biztonsági kulcs regisztrációja nem működik ezeken a macOS-böngészőkben, mert nem kérik a biometrikus adatok vagy PIN-kódok beállítását.
ChromeOS
| Böngésző1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1A biztonsági kulcs regisztrációja nem támogatott a ChromeOS-ban vagy a Chrome böngészőben.
Linux
| Böngésző | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Böngésző1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | n/a |
| Chrome | ✅ | ✅ | n/a |
| Firefox | ✅ | ✅ | n/a |
| Safari | ✅ | ✅ | n/a |
1Az új biztonsági kulcs regisztrációja nem működik az iOS-böngészőkben, mert nem kérik a biometrikus adatok vagy PIN-kódok beállítását.
Az Apple nem támogatja a 2BLE biztonsági kulcsot iOS rendszeren.
Android
| Böngésző1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1A Microsoft Entra-azonosítóval való biztonsági kulcsregisztráció androidos rendszeren még nem támogatott.
A Google nem támogatja a 2BLE biztonsági kulcsot Android rendszeren.
Ismert problémák
PowerShell-támogatás
A Microsoft Graph PowerShell támogatja a FIDO2-t. Egyes PowerShell-modulok, amelyek az Internet Explorert használják edge helyett, nem képesek FIDO2-hitelesítést végezni. Például a SharePoint Online-hoz vagy a Teamshez készült PowerShell-modulok, illetve a rendszergazdai hitelesítő adatokat igénylő PowerShell-szkriptek nem kérik a FIDO2-t.
Áthidaló megoldásként a legtöbb szállító a FIDO2 biztonsági kulcsokra helyezhet tanúsítványokat. A tanúsítványalapú hitelesítés (CBA) minden böngészőben működik. Ha engedélyezheti a CBA-t ezekhez a rendszergazdai fiókokhoz, a FIDO2 helyett a CBA-t is megkövetelheti köztesen.
Következő lépések
Jelszó nélküli biztonsági kulcs bejelentkezésének engedélyezése