FIDO2-hitelesítés támogatása a Microsoft Entra-azonosítóval
A Microsoft Entra ID lehetővé teszi a jelszó nélküli hitelesítéshez használt kulcsokat. Ez a cikk azt ismerteti, hogy mely natív alkalmazások, webböngészők és operációs rendszerek támogatják a jelszó nélküli hitelesítést a Microsoft Entra ID azonosítójú kulcsok használatával.
Jegyzet
A Microsoft Entra ID jelenleg a FIDO2 biztonsági kulcsokon és a Microsoft Authenticatorban tárolt eszközhöz kötött hozzáférési kulcsokat támogatja. A Microsoft elkötelezett az ügyfelek és a felhasználók hozzáférési kulcsokkal való védelme mellett. A munkahelyi fiókok szinkronizált és eszközhöz kötött hozzáférési kulcsait is befektetjük.
Natív alkalmazástámogatás
Az alábbi szakaszok a Microsoft és a külső alkalmazások támogatását ismertetik. A külső identitásszolgáltatóval (IDP) történő passkey (FIDO2) hitelesítés jelenleg nem támogatott a hitelesítési közvetítőt használó külső alkalmazásokban, illetve a MacOS, iOS vagy Android rendszerű Microsoft-alkalmazásokban.
Natív alkalmazástámogatás a hitelesítési közvetítővel (előzetes verzió)
A Microsoft-alkalmazások natív támogatást nyújtanak a FIDO2-hitelesítéshez előzetes verzióban minden olyan felhasználó számára, akinek telepítve van egy hitelesítési közvetítő az operációs rendszeréhez. A FIDO2 hitelesítés előzetes verzióban is támogatott a hitelesítési közvetítőt használó külső alkalmazások esetében.
Az alábbi táblázatok felsorolják, hogy mely hitelesítési közvetítők támogatottak a különböző operációs rendszerekhez.
Operációs rendszer | Hitelesítési közvetítő | Támogatja a FIDO2-t |
---|---|---|
Ios | Microsoft Authenticator | ✅ |
macOS | Microsoft Intune Céges portál 1 | ✅ |
Android2 | Hitelesítő vagy Céges portál | ❌ |
1MacOS rendszeren a Microsoft Enterprise Egyszeri bejelentkezés (SSO) beépülő modul szükséges a Céges portál hitelesítési közvetítőként való engedélyezéséhez. A macOS rendszerű eszközöknek meg kell felelniük az SSO beépülő modul követelményeinek, beleértve a mobileszköz-kezelésbe való regisztrációt is. A FIDO2-hitelesítéshez győződjön meg arról, hogy a natív alkalmazások legújabb verzióját futtatja.
2Az Androidon elérhető FIDO2 natív alkalmazástámogatása fejlesztés alatt áll.
Ha a felhasználó telepített egy hitelesítési közvetítőt, akkor dönthet úgy, hogy biztonsági kulccsal jelentkezik be, amikor egy alkalmazáshoz, például az Outlookhoz fér hozzá. A rendszer átirányítja őket a FIDO2-vel való bejelentkezéshez, és a sikeres hitelesítés után visszakerülnek az Outlookba bejelentkezett felhasználóként.
Microsoft-alkalmazástámogatás hitelesítésszervező nélkül (előzetes verzió)
Az alábbi táblázat a hitelesítési közvetítő nélküli hozzáférési kulcs (FIDO2) Microsoft-alkalmazástámogatását sorolja fel.
Alkalmazás | macOS | Ios | Android |
---|---|---|---|
Távoli asztal | ✅ | ✅ | ❌ |
Windows-alkalmazás | ✅ | ✅ | ❌ |
Külső alkalmazástámogatás hitelesítésszervező nélkül
Ha a felhasználó még nem telepített hitelesítési közvetítőt, akkor is bejelentkezhet jelszóval, amikor hozzáfér az MSAL-kompatibilis alkalmazásokhoz. Az MSAL-kompatibilis alkalmazásokra vonatkozó követelményekkel kapcsolatos további információkért lásd: Jelszó nélküli hitelesítés támogatása FIDO2-kulcsokkal a fejlesztés alatt lévő alkalmazásokban.
Webböngésző támogatása
Ez a táblázat a Microsoft Entra ID és a Microsoft-fiókok FIDO2 használatával történő hitelesítésének böngészőtámogatását mutatja be. A felhasználók Microsoft-fiókokat hoznak létre olyan szolgáltatásokhoz, mint az Xbox, a Skype vagy a Outlook.com.
Operációs rendszer | Króm | Perem | Firefox | Szafari |
---|---|---|---|---|
Windows | ✅ | ✅ | ✅ | N/A |
macOS | ✅ | ✅ | ✅ | ✅ |
ChromeOS | ✅ | N/A | N/A | N/A |
Linux | ✅ | ❌ | ❌ | N/A |
Ios | ✅ | ✅ | ✅ | ✅ |
Android | ✅ | ✅1 | ❌ | N/A |
1Az androidos Edge-ben az azonos eszközök regisztrációjának támogatása hamarosan megérkezik.
Webböngésző-támogatás minden platformhoz
Az alábbi táblázatok azt mutatják be, hogy mely átvitelek támogatottak az egyes platformokon. A támogatott eszköztípusok közé tartozik az USB, a közelmezős kommunikáció (NFC) és a bluetooth alacsony energia (BLE).
Windows
Böngésző | USB | NFC | BLE |
---|---|---|---|
Perem | ✅ | ✅ | ✅ |
Króm | ✅ | ✅ | ✅ |
Firefox | ✅ | ✅ | ✅ |
A böngésző minimális verziója
A windowsos böngésző minimális verziókövetelményei a következők.
Böngésző | Minimális verzió |
---|---|
Króm | 76 |
Perem | Windows 10 19031-es verzió |
Firefox | 66 |
1Az új Chromium-alapú Microsoft Edge minden verziója támogatja a FIDO2-t. A Microsoft Edge örökölt verziójának támogatása 1903-ban lett hozzáadva.
macOS
Böngésző | USB | NFC1 | BLE1 |
---|---|---|---|
Perem | ✅ | N/A | N/A |
Króm | ✅ | N/A | N/A |
Firefox2 | ✅ | N/A | N/A |
Safari2,3 | ✅ | N/A | N/A |
Az Apple nem támogatja az 1NFC- és BLE-biztonsági kulcsot macOS rendszeren.
2Az új biztonsági kulcs regisztrációja nem működik ezeken a macOS-böngészőkben, mert nem kérik a biometrikus adatok vagy PIN-kódok beállítását.
3Lásd a bejelentkezést, ha háromnál több kulcs van regisztrálva.
ChromeOS
Böngésző1 | USB | NFC | BLE |
---|---|---|---|
Króm | ✅ | ❌ | ❌ |
1A biztonsági kulcs regisztrációja nem támogatott a ChromeOS-ban vagy a Chrome böngészőben.
Linux
Böngésző | USB | NFC | BLE |
---|---|---|---|
Perem | ❌ | ❌ | ❌ |
Króm | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
Ios
Böngésző1,3 | Villám | NFC | BLE2 |
---|---|---|---|
Perem | ✅ | ✅ | N/A |
Króm | ✅ | ✅ | N/A |
Firefox | ✅ | ✅ | N/A |
Szafari | ✅ | ✅ | N/A |
1Az új biztonsági kulcs regisztrációja nem működik az iOS-böngészőkben, mert nem kérik a biometrikus adatok vagy PIN-kódok beállítását.
Az Apple nem támogatja a 2BLE biztonsági kulcsot iOS rendszeren.
3Lásd a bejelentkezést, ha háromnál több kulcs van regisztrálva.
Android
Böngésző1 | USB | NFC | BLE2 |
---|---|---|---|
Perem | ✅ | ❌ | ❌ |
Króm | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
1A Microsoft Entra-azonosítóval való biztonsági kulcsregisztráció androidos rendszeren még nem támogatott.
A Google nem támogatja a 2BLE biztonsági kulcsot Android rendszeren.
Ismert problémák
Jelentkezzen be, ha háromnál több hozzáférési kulcs van regisztrálva
Ha háromnál több hozzáférési kulcsot regisztrált, előfordulhat, hogy nem működik a jelszóval való bejelentkezés. Ha háromnál több jelszóval rendelkezik, kerülő megoldásként kattintson a Bejelentkezési beállítások lehetőségre , és jelentkezzen be felhasználónév megadása nélkül.
PowerShell-támogatás
A Microsoft Graph PowerShell támogatja a FIDO2-t. Egyes PowerShell-modulok, amelyek az Internet Explorert használják edge helyett, nem képesek FIDO2-hitelesítést végezni. Például a SharePoint Online-hoz vagy a Teamshez készült PowerShell-modulok, illetve a rendszergazdai hitelesítő adatokat igénylő PowerShell-szkriptek nem kérik a FIDO2-t.
Áthidaló megoldásként a legtöbb szállító a FIDO2 biztonsági kulcsokra helyezhet tanúsítványokat. A tanúsítványalapú hitelesítés (CBA) minden böngészőben működik. Ha engedélyezheti a CBA-t ezekhez a rendszergazdai fiókokhoz, a FIDO2 helyett a CBA-t is megkövetelheti köztesen.
Következő lépések
Jelszó nélküli biztonsági kulcs bejelentkezésének engedélyezése