Dukungan untuk autentikasi FIDO2 dengan ID Microsoft Entra
ID Microsoft Entra memungkinkan kode akses digunakan untuk autentikasi tanpa kata sandi. Artikel ini membahas aplikasi asli, browser web, dan sistem operasi mana yang mendukung autentikasi tanpa kata sandi menggunakan kode akses dengan ID Microsoft Entra.
Catatan
MICROSOFT Entra ID saat ini mendukung kode akses terikat perangkat yang disimpan pada kunci keamanan FIDO2 dan di Microsoft Authenticator. Microsoft berkomitmen untuk mengamankan pelanggan dan pengguna dengan kode akses. Kami berinvestasi dalam kode akses yang disinkronkan dan terikat perangkat untuk akun kerja.
Dukungan aplikasi asli
Bagian berikut mencakup dukungan untuk Microsoft dan aplikasi pihak ketiga. Autentikasi Passkey (FIDO2) dengan Penyedia Identitas (IDP) pihak ketiga tidak didukung dalam aplikasi pihak ketiga menggunakan broker autentikasi, atau aplikasi Microsoft di macOS, iOS, atau Android saat ini.
Dukungan aplikasi asli dengan broker autentikasi (pratinjau)
Aplikasi Microsoft menyediakan dukungan asli untuk autentikasi FIDO2 dalam pratinjau untuk semua pengguna yang memiliki broker autentikasi yang diinstal untuk sistem operasi mereka. Autentikasi FIDO2 juga didukung dalam pratinjau untuk aplikasi pihak ketiga menggunakan broker autentikasi.
Tabel berikut mencantumkan broker autentikasi mana yang didukung untuk sistem operasi yang berbeda.
OS | Broker autentikasi | Mendukung FIDO2 |
---|---|---|
iOS | Microsoft Authenticator | ✅ |
macOS | PortalPerusahaan Microsoft Intune 1 | ✅ |
Android2 | Aplikasi Authenticator, Company Portal, atau Koneksi ke Windows | ✅ |
1Di macOS, plug-in Microsoft Enterprise Akses Menyeluruh (SSO) diperlukan untuk mengaktifkan Portal Perusahaan sebagai broker autentikasi. Perangkat yang menjalankan macOS harus memenuhi persyaratan plug-in SSO, termasuk pendaftaran dalam manajemen perangkat seluler. Untuk autentikasi FIDO2, pastikan Anda menjalankan versi terbaru aplikasi asli.
2Dukungan aplikasi asli untuk kunci keamanan FIDO2 di Android versi 13 dan yang lebih rendah sedang dalam pengembangan.
Jika pengguna menginstal broker autentikasi, mereka dapat memilih untuk masuk dengan kunci keamanan saat mereka mengakses aplikasi seperti Outlook. Mereka dialihkan untuk masuk dengan FIDO2, dan dialihkan kembali ke Outlook sebagai pengguna yang masuk setelah autentikasi berhasil.
Dukungan aplikasi Microsoft tanpa broker autentikasi (pratinjau)
Tabel berikut mencantumkan dukungan aplikasi Microsoft untuk passkey (FIDO2) tanpa broker autentikasi.
Aplikasi | macOS | iOS | Android |
---|---|---|---|
Desktop Jauh | ✅ | ✅ | ❌ |
Aplikasi Windows | ✅ | ✅ | ❌ |
Dukungan aplikasi pihak ketiga tanpa broker autentikasi
Jika pengguna belum menginstal broker autentikasi, mereka masih dapat masuk dengan kode akses saat mereka mengakses aplikasi berkemampuan MSAL. Untuk informasi selengkapnya tentang persyaratan untuk aplikasi berkemampuan MSAL, lihat Mendukung autentikasi tanpa kata sandi dengan kunci FIDO2 di aplikasi yang Anda kembangkan.
Dukungan browser web
Tabel ini memperlihatkan dukungan browser untuk mengautentikasi ID Microsoft Entra dan akun Microsoft dengan menggunakan FIDO2. Konsumen membuat akun Microsoft untuk layanan seperti Xbox, Skype, atau Outlook.com.
OS | Chrome | Azure Stack Edge | Firefox | Safari |
---|---|---|---|---|
Windows | ✅ | ✅ | ✅ | T/A |
macOS | ✅ | ✅ | ✅ | ✅ |
ChromeOS | ✅ | T/A | T/A | T/A |
Linux | ✅ | ❌ | ❌ | T/A |
iOS | ✅ | ✅ | ✅ | ✅ |
Android | ✅ | ✅1 | ❌ | T/A |
1Dukungan untuk kode akses di Authenticator menggunakan Edge di perangkat Android akan segera hadir.
Dukungan browser web untuk setiap platform
Tabel berikut menunjukkan transportasi mana yang didukung untuk setiap platform. Jenis perangkat yang didukung meliputi USB, komunikasi jarak dekat (NFC), dan energi rendah bluetooth (BLE).
Windows
Browser | USB | NFC | BLE |
---|---|---|---|
Azure Stack Edge | ✅ | ✅ | ✅ |
Chrome | ✅ | ✅ | ✅ |
Firefox | ✅ | ✅ | ✅ |
Versi browser minimum
Berikut ini adalah persyaratan versi browser minimum di Windows.
Browser | Versi minimum |
---|---|
Chrome | 76 |
Azure Stack Edge | Windows 10 version 19031 |
Firefox | 66 |
1Semua versi Microsoft Edge baru berbasis Chromium mendukung FIDO2. Dukungan pada Microsoft Edge lama ditambahkan pada versi 1903.
macOS
Browser | USB | NFC1 | BLE1 |
---|---|---|---|
Azure Stack Edge | ✅ | T/A | T/A |
Chrome | ✅ | T/A | T/A |
Firefox2 | ✅ | T/A | T/A |
Safari2,3 | ✅ | T/A | T/A |
1Kunci keamanan NFC dan BLE tidak didukung di macOS oleh Apple.
2Pendaftaran kunci keamanan baru tidak berfungsi pada browser macOS ini karena mereka tidak meminta untuk menyiapkan biometrik atau PIN.
3Lihat Masuk saat lebih dari tiga kode akses terdaftar.
ChromeOS
Browser1 | USB | NFC | BLE |
---|---|---|---|
Chrome | ✅ | ❌ | ❌ |
1Pendaftaran kunci keamanan tidak didukung di browser ChromeOS atau Chrome.
Linux
Browser | USB | NFC | BLE |
---|---|---|---|
Azure Stack Edge | ❌ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
iOS
Browser1,3 | Lightning | NFC | BLE2 |
---|---|---|---|
Azure Stack Edge | ✅ | ✅ | T/A |
Chrome | ✅ | ✅ | T/A |
Firefox | ✅ | ✅ | T/A |
Safari | ✅ | ✅ | T/A |
1Pendaftaran kunci keamanan baru tidak berfungsi di browser iOS karena tidak meminta untuk menyiapkan biometrik atau PIN.
2kunci keamanan BLE tidak didukung di iOS oleh Apple.
3Lihat Masuk saat lebih dari tiga kode akses terdaftar.
Android
Browser1 | USB | NFC | BLE2 |
---|---|---|---|
Azure Stack Edge | ✅ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
1Pendaftaran kunci keamanan dengan ID Microsoft Entra belum didukung di Android.
2kunci keamanan BLE tidak didukung di Android oleh Google.
Masalah umum
Masuk ketika lebih dari tiga kode akses terdaftar
Jika Anda mendaftarkan lebih dari tiga kode akses, masuk dengan kode akses mungkin tidak berfungsi. Jika Anda memiliki lebih dari tiga kode akses, sebagai solusinya, klik Opsi masuk dan masuk tanpa memasukkan nama pengguna.
Dukungan PowerShell
Microsoft Graph PowerShell mendukung FIDO2. Beberapa modul PowerShell yang menggunakan Internet Explorer alih-alih Edge tidak mampu melakukan autentikasi FIDO2. Misalnya, modul PowerShell untuk SharePoint Online atau Teams, atau skrip PowerShell apa pun yang memerlukan kredensial admin, jangan minta FIDO2.
Sebagai solusinya, sebagian besar vendor dapat menempatkan sertifikat pada kunci keamanan FIDO2. Autentikasi berbasis sertifikat (CBA) berfungsi di semua browser. Jika Anda dapat mengaktifkan CBA untuk akun admin tersebut, Anda dapat memerlukan CBA alih-alih FIDO2 di sementara.