Dukungan untuk autentikasi FIDO2 dengan ID Microsoft Entra
ID Microsoft Entra memungkinkan kode akses digunakan untuk autentikasi tanpa kata sandi. Artikel ini membahas aplikasi asli, browser web, dan sistem operasi mana yang mendukung autentikasi tanpa kata sandi menggunakan kode akses dengan ID Microsoft Entra.
Catatan
MICROSOFT Entra ID saat ini mendukung kode akses terikat perangkat yang disimpan pada kunci keamanan FIDO2 dan di Microsoft Authenticator. Microsoft berkomitmen untuk mengamankan pelanggan dan pengguna dengan kode akses. Kami berinvestasi dalam kode akses yang disinkronkan dan terikat perangkat untuk akun kerja.
Dukungan aplikasi asli
Dukungan aplikasi asli dengan broker autentikasi (pratinjau)
Aplikasi Microsoft menyediakan dukungan asli untuk autentikasi FIDO2 dalam pratinjau untuk semua pengguna yang memiliki broker autentikasi yang diinstal untuk sistem operasi mereka. Autentikasi FIDO2 juga didukung dalam pratinjau untuk aplikasi pihak ketiga menggunakan broker autentikasi.
Tabel berikut mencantumkan broker autentikasi mana yang didukung untuk sistem operasi yang berbeda.
| OS | Broker autentikasi | Mendukung FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Portal Perusahaan Microsoft Intune 1 | ✅ |
| Android2 | Authenticator atau Portal Perusahaan | ❌ |
1Di macOS, plug-in Microsoft Enterprise Akses Menyeluruh (SSO) diperlukan untuk mengaktifkan Portal Perusahaan sebagai broker autentikasi. Perangkat yang menjalankan macOS harus memenuhi persyaratan plug-in SSO, termasuk pendaftaran dalam manajemen perangkat seluler. Untuk autentikasi FIDO2, pastikan Anda menjalankan versi terbaru aplikasi asli.
2Dukungan aplikasi native untuk FIDO2 di Android sedang dalam pengembangan.
Jika pengguna menginstal broker autentikasi, mereka dapat memilih untuk masuk dengan kunci keamanan saat mereka mengakses aplikasi seperti Outlook. Mereka dialihkan untuk masuk dengan FIDO2, dan dialihkan kembali ke Outlook sebagai pengguna yang masuk setelah autentikasi berhasil.
Dukungan aplikasi Microsoft tanpa broker autentikasi
Masuk ke aplikasi asli Microsoft dengan autentikasi FIDO2 saat pengguna tidak memiliki broker autentikasi di iOS, macOS, dan Android tidak didukung saat ini.
Dukungan aplikasi pihak ketiga tanpa broker autentikasi
Jika pengguna belum menginstal broker autentikasi, mereka masih dapat masuk dengan kunci keamanan saat mereka mengakses aplikasi berkemampuan MSAL. Untuk informasi selengkapnya tentang persyaratan untuk aplikasi berkemampuan MSAL, lihat Mendukung autentikasi tanpa kata sandi dengan kunci FIDO2 di aplikasi yang Anda kembangkan.
Dukungan browser web
Tabel ini memperlihatkan dukungan browser untuk mengautentikasi ID Microsoft Entra dan akun Microsoft dengan menggunakan FIDO2. Konsumen membuat akun Microsoft untuk layanan seperti Xbox, Skype, atau Outlook.com.
| OS | Chrome | Azure Stack Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | T/A |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | T/A | T/A | T/A |
| Linux | ✅ | ❌ | ❌ | T/A |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | T/A |
Catatan
Kode akses di Authenticator tidak berfungsi dengan browser seperti Google Chrome atau Microsoft Edge di perangkat Android. Dukungan untuk membuat dan masuk menggunakan kode akses Authenticator dari browser tergantung pada pembaruan API yang akan disediakan oleh platform Android.
Dukungan browser web untuk setiap platform
Tabel berikut menunjukkan transportasi mana yang didukung untuk setiap platform. Jenis perangkat yang didukung meliputi USB, komunikasi jarak dekat (NFC), dan energi rendah bluetooth (BLE).
Windows
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Azure Stack Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Versi browser minimum
Berikut ini adalah persyaratan versi browser minimum di Windows.
| Browser | Versi minimum |
|---|---|
| Chrome | 76 |
| Azure Stack Edge | Windows 10 version 19031 |
| Firefox | 66 |
1Semua versi Microsoft Edge baru berbasis Chromium mendukung FIDO2. Dukungan pada Microsoft Edge lama ditambahkan pada versi 1903.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Azure Stack Edge | ✅ | T/A | T/A |
| Chrome | ✅ | T/A | T/A |
| Firefox2 | ✅ | T/A | T/A |
| Safari2 | ✅ | T/A | T/A |
1Kunci keamanan NFC dan BLE tidak didukung di macOS oleh Apple.
2Pendaftaran kunci keamanan baru tidak berfungsi pada browser macOS ini karena mereka tidak meminta untuk menyiapkan biometrik atau PIN.
ChromeOS
| Browser1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Pendaftaran kunci keamanan tidak didukung di browser ChromeOS atau Chrome.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Azure Stack Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Browser1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Azure Stack Edge | ✅ | ✅ | T/A |
| Chrome | ✅ | ✅ | T/A |
| Firefox | ✅ | ✅ | T/A |
| Safari | ✅ | ✅ | T/A |
1Pendaftaran kunci keamanan baru tidak berfungsi di browser iOS karena tidak meminta untuk menyiapkan biometrik atau PIN.
2kunci keamanan BLE tidak didukung di iOS oleh Apple.
Android
| Browser1 | USB | NFC | BLE2 |
|---|---|---|---|
| Azure Stack Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Pendaftaran kunci keamanan dengan ID Microsoft Entra belum didukung di Android.
2kunci keamanan BLE tidak didukung di Android oleh Google.
Masalah umum
Dukungan PowerShell
Microsoft Graph PowerShell mendukung FIDO2. Beberapa modul PowerShell yang menggunakan Internet Explorer alih-alih Edge tidak mampu melakukan autentikasi FIDO2. Misalnya, modul PowerShell untuk SharePoint Online atau Teams, atau skrip PowerShell apa pun yang memerlukan kredensial admin, jangan minta FIDO2.
Sebagai solusinya, sebagian besar vendor dapat menempatkan sertifikat pada kunci keamanan FIDO2. Autentikasi berbasis sertifikat (CBA) berfungsi di semua browser. Jika Anda dapat mengaktifkan CBA untuk akun admin tersebut, Anda dapat memerlukan CBA alih-alih FIDO2 di sementara.