Hozzáférési kulcs (FIDO2) hitelesítési mátrix a Microsoft Entra-azonosítóval

Ez a cikk átfogó áttekintést nyújt a Jelszókulcs (FIDO2) hitelesítés támogatásáról a Microsoft Entra ID-ben. Ismerteti a webböngészők, natív alkalmazások és operációs rendszerek kompatibilitását, lehetővé téve a jelszó nélküli többtényezős hitelesítést. Emellett platformspecifikus szempontokat, ismert problémákat és útmutatást is találhat a külső alkalmazás- és identitásszolgáltató (IdP) támogatásához. Az alábbi információk felhasználásával biztosíthatja a problémamentes integrációt és az optimális felhasználói élményt az Ön környezetében a jelszavakkal.

További információ a FIDO2 biztonsági kulcsokkal való bejelentkezésről Windows-eszközön: A FIDO2 biztonsági kulcsok bejelentkezésének engedélyezése Windows 10 és 11 rendszerű eszközökre Microsoft Entra-azonosítóval.

Feljegyzés

A Microsoft Entra ID jelenleg csak a FIDO2 biztonsági kulcsokon vagy a Microsoft Authenticatorban tárolt eszközhöz kötött hozzáférési kulcsokat támogatja. A Microsoft elkötelezett az ügyfelek és a felhasználók hozzáférési kulcsokkal való védelme mellett, és azt tervezi, hogy támogatja a Szinkronizált hozzáférési kulcsokat a Microsoft Entra-azonosítóhoz.

webböngészők

Az alábbi szakasz a Microsoft Entra-azonosítóval rendelkező webböngészőkben a jelszókulcsos (FIDO2) hitelesítés támogatását ismerteti.

operációs rendszer	Króm	Szél	Firefox	Szafari
Windows	✅	✅	✅	n/a
macOS	✅	✅	✅	✅
ChromeOS	✅	n/a	n/a	n/a
Linux	✅	✅	✅	n/a
Ios	✅	✅	✅	✅
Android	✅	✅	❌	n/a

Szempontok az egyes platformokhoz

Windows

• A biztonsági kulccsal való bejelentkezéshez az alábbi elemek egyikére van szükség:
  • Windows 10 1903-es vagy újabb verzió
  • Chromium-alapú Microsoft Edge
  • Chrome 76 vagy újabb
  • Firefox 66 vagy újabb

macOS

• A jelszóval való bejelentkezéshez macOS Catalina 11.1 vagy újabb verzióra van szükség a Safari 14 vagy újabb verziójával, mert a Microsoft Entra-azonosító felhasználói ellenőrzést igényel a többtényezős hitelesítéshez.
• Az Apple nem támogatja a közelmezős kommunikációt (NFC) és a Bluetooth Low Energy (BLE) biztonsági kulcsokat macOS rendszeren.
• Az új biztonsági kulcs regisztrációja nem működik ezeken a macOS-böngészőkben, mert nem kérik a biometrikus adatok vagy PIN-kódok beállítását.
• Lásd Bejelentkezés, ha több mint három belépési kulcs van regisztrálva a macOS-en futó Safari esetében.

ChromeOS

• A Google nem támogatja az NFC és a BLE biztonsági kulcsokat a ChromeOS-ban.
• A biztonsági kulcs regisztrációja nem támogatott a ChromeOS-ban vagy a Chrome böngészőben.

Linux

• A Jelszóval való bejelentkezés a Microsoft Authenticatorban linuxos Firefoxban nem támogatott.

Ios

• A pin-kóddal való bejelentkezéshez iOS 14.3 vagy újabb verzió szükséges, mert a Microsoft Entra-azonosító többtényezős hitelesítéshez felhasználói ellenőrzést igényel.
• Az Apple nem támogatja a BLE biztonsági kulcsokat iOS rendszeren.
• Az Apple nem támogatja az iOS-en a FIPS 140-3 tanúsítvánnyal rendelkező NFC-t.
• Az új biztonsági kulcs regisztrációja nem működik az iOS-böngészőkben, mert nem kérik a biometrikus adatok vagy PIN-kódok beállítását.
• Lásd: Jelentkezz be, ha több mint három hozzáférési kulcs van regisztrálva.

Android

• A jelszóval való bejelentkezéshez a Google Play Services 21-et vagy újabb verzióját kell használni, mert a Microsoft Entra ID többtényezős hitelesítéshez felhasználói ellenőrzést igényel.
• A Google nem támogatja a BLE biztonsági kulcsokat Androidon.
• A Microsoft Entra-azonosítóval való biztonsági kulcsregisztráció androidos rendszeren még nem támogatott.
• A jelszóval való bejelentkezés androidos Firefoxban nem támogatott.

Ismert problémák

Jelentkezzen be, ha háromnál több hozzáférési kulcs van regisztrálva

Ha háromnál több kulcskulcsot regisztrált, előfordulhat, hogy a jelszóval való bejelentkezés nem működik iOS vagy Safari rendszeren macOS rendszeren. Ha háromnál több jelszóval rendelkezik, kerülő megoldásként kattintson a Bejelentkezési beállítások lehetőségre , és jelentkezzen be felhasználónév megadása nélkül.

A következő szakaszok a Jelszókulcs (FIDO2) hitelesítés Microsoft Entra-azonosítóban való támogatását ismertetik a következőkhöz:

• Microsoft-alkalmazástámogatás hitelesítési közvetítővel
• Microsoft-alkalmazástámogatás hitelesítésszervező nélkül
• Külső alkalmazástámogatás hitelesítésszervező nélkül
• Külső identitásszolgáltató (IDP) támogatása

Microsoft-alkalmazástámogatás hitelesítési közvetítővel

A Microsoft-alkalmazások natív támogatást nyújtanak a jelszókulcs-hitelesítéshez minden olyan felhasználó számára, akinek telepítve van egy hitelesítési közvetítő az operációs rendszeréhez. A hitelesítési közvetítőt használó külső alkalmazások is támogatják a kulcsalapú hitelesítést.

Ha egy felhasználó telepített egy hitelesítési közvetítőt, akkor dönthet úgy, hogy egy jelszóval jelentkezik be, amikor hozzáfér egy alkalmazáshoz, például az Outlookhoz. A rendszer átirányítja őket, hogy jelszóval jelentkezzenek be, és a sikeres hitelesítés után visszakerülnek az Outlookba bejelentkezett felhasználóként.

Az alábbi táblázatok felsorolják, hogy mely hitelesítési közvetítők támogatottak a különböző operációs rendszerekhez.

operációs rendszer	Hitelesítési közvetítő
Ios	Microsoft Authenticator
macOS	Microsoft Intune Céges portál
Android	Authenticator, Céges portál vagy Link to Windows alkalmazás

Microsoft-alkalmazástámogatás hitelesítésszervező nélkül

Az alábbi táblázat a Microsoft-alkalmazások FIDO2-belépési kulcs támogatását sorolja fel hitelesítési közvetítő nélkül. Frissítse az alkalmazásokat a legújabb verzióra, hogy biztosan működjenek a hozzáférési kulcsokkal.

alkalmazás	macOS	Ios	Android
Távoli asztal	✅	✅	✅
Windows-alkalmazás	✅	✅	✅
Microsoft 365 Copilot (Office)	n/a	✅	❌
Szó	✅	✅	❌
PowerPoint	✅	✅	❌
Excel	✅	✅	❌
OneNote	✅	✅	❌
Ciklus	n/a	✅	❌
OneDrive	✅	✅	❌
Kilátás	✅	✅	❌
Csapatok	✅	✅	❌
Szél	✅	✅	❌

Külső alkalmazástámogatás hitelesítésszervező nélkül

Ha a felhasználó még nem telepített hitelesítési közvetítőt, akkor is bejelentkezhet jelszóval, amikor hozzáfér az MSAL-kompatibilis alkalmazásokhoz. Az MSAL-kompatibilis alkalmazásokra vonatkozó követelményekkel kapcsolatos további információkért lásd: Jelszó nélküli hitelesítés támogatása FIDO2-kulcsokkal a fejlesztés alatt lévő alkalmazásokban.

Harmadik fél által nyújtott identitásszolgáltató támogatása

Feljegyzés

A külső identitásszolgáltatóval való kulcsalapú hitelesítés jelenleg nem támogatott a hitelesítési közvetítőt használó külső alkalmazásokban, illetve az Android, iOS vagy macOS rendszerű Microsoft-alkalmazásokban.

A Microsoft Entra ID nem támogatja az iOS/macOS rendszerű külső identitásszolgáltatóval történő kulcsalapú hitelesítést. Áthidaló megoldásként a külső identitásszolgáltatók saját egyszeri bejelentkezési (SSO) bővítményt implementálhatnak iOS/macOS-eszközökön, ha azokat mobileszköz-kezelés (MDM) kezeli.

Az Apple bővíthető SSO-keretrendszere az MDM által felügyelt eszközökön lehetővé teszi az identitásszolgáltatók számára, hogy elfogják az URL-címükre irányuló hálózati kéréseket. Amikor az identitásszolgáltató SSO-bővítménye elfog egy hálózati kérést, egyéni hitelesítési kézfogást implementálhatnak. Ez lehetővé teszi számukra, hogy rendszerböngészőt vagy natív Apple API-kat használjanak a kulcsalapú hitelesítéshez anélkül, hogy módosításokat kellene végrehajtaniuk a Microsoft-alkalmazásokban.

További információkért tekintse meg az Apple alábbi dokumentációját:

• ExtensibleSingleSignOn eszközkezelési profil
• Vállalati egyszeri bejelentkezés (SSO) API-gyűjtemény

Szempontok az egyes platformokhoz

Windows

• A FIDO2 biztonsági kulccsal natív alkalmazásokba való bejelentkezéshez a Windows 10 1903-es vagy újabb verziója szükséges.
• A Microsoft Authenticatorban a natív alkalmazásokba való bejelentkezéshez a Windows 11 22H2-es vagy újabb verziója szükséges.
• Microsoft Graph PowerShell támogatja a jelszókulcsot (FIDO2). Egyes PowerShell-modulok, amelyek az Internet Explorert használják edge helyett, nem képesek FIDO2-hitelesítést végezni. Például a SharePoint Online-hoz vagy a Teamshez készült PowerShell-modulok, illetve a rendszergazdai hitelesítő adatokat igénylő PowerShell-szkriptek nem kérik a FIDO2-t.
  • Áthidaló megoldásként a legtöbb szállító a FIDO2 biztonsági kulcsokra helyezhet tanúsítványokat. A tanúsítványalapú hitelesítés (CBA) minden böngészőben működik. Ha engedélyezheti a CBA-t ezekhez a rendszergazdai fiókokhoz, a FIDO2 helyett a CBA-t is megkövetelheti köztesen.

Ios

• A jelszóval való bejelentkezés natív alkalmazásokban Microsoft Enterprise Egyszeri bejelentkezés (SSO) beépülő modul nélkül, iOS 16.0-s vagy újabb verzióra van szükség.
• A natív alkalmazásokba való bejelentkezés jelszóval az SSO beépülő modullal iOS 17.1 vagy újabb verziót igényel.

macOS

• A macOS rendszeren a Microsoft Enterprise Egyszeri bejelentkezés (SSO) beépülő modul szükséges a vállalati portál hitelesítési közvetítőként történő engedélyezéséhez. A macOS rendszerű eszközöknek meg kell felelniük az SSO beépülő modul követelményeinek, beleértve a mobileszköz-kezelésbe való regisztrációt is.
• A passkey és az SSO beépülő modul használatával történő bejelentkezés natív alkalmazásokban macOS 14.0-s vagy újabb verziót igényel.

Android

• A FIDO2 biztonsági kulccsal natív alkalmazásokba való bejelentkezéshez Android 13 vagy újabb verzió szükséges.
• A Microsoft Authenticatorban a natív alkalmazásokba való bejelentkezéshez Android 14 vagy újabb verzió szükséges.
• Előfordulhat, hogy a Yubico által gyártott FIDO2 biztonsági kulcsokkal való bejelentkezés a YubiOTP engedélyezésével nem működik Samsung Galaxy-eszközökön. Megkerülő megoldásként a felhasználók letilthatják a YubiOTP-t, és megpróbálhatnak újra bejelentkezni. További információ: FIDO-problémák Samsung-eszközökön.

Következő lépések

Jelszó nélküli biztonsági kulcs bejelentkezésének engedélyezése