Share via


Ondersteuning voor FIDO2-verificatie met Microsoft Entra-id

Met Microsoft Entra ID kunnen wachtwoordsleutels worden gebruikt voor verificatie zonder wachtwoord. In dit artikel wordt beschreven welke systeemeigen toepassingen, webbrowsers en besturingssystemen verificatie zonder wachtwoord ondersteunen met behulp van wachtwoordsleutels met Microsoft Entra-id.

Notitie

Microsoft Entra ID ondersteunt momenteel apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels en in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen. We investeren in zowel gesynchroniseerde als apparaatgebonden wachtwoordsleutels voor werkaccounts.

Systeemeigen toepassingsondersteuning

De volgende secties hebben betrekking op ondersteuning voor Microsoft- en toepassingen van derden. Wachtwoordsleutelverificatie (FIDO2) met een id-provider van derden (IDP) wordt momenteel niet ondersteund in toepassingen van derden met behulp van verificatiebroker of Microsoft-toepassingen op macOS, iOS of Android.

Systeemeigen toepassingsondersteuning met verificatiebroker (preview)

Microsoft-toepassingen bieden systeemeigen ondersteuning voor FIDO2-verificatie in preview voor alle gebruikers die een verificatiebroker hebben geïnstalleerd voor hun besturingssysteem. FIDO2-verificatie wordt ook ondersteund in preview voor toepassingen van derden met behulp van de verificatiebroker.

In de volgende tabellen ziet u welke verificatiebrokers worden ondersteund voor verschillende besturingssystemen.

Besturingssysteem Verificatiebroker Ondersteunt FIDO2
iOS Microsoft Authenticator
MacOS Microsoft Intune-bedrijfsportal 1
Android2 Verificator, Bedrijfsportal of Koppeling met Windows-app

1In macOS is de invoegtoepassing Microsoft Enterprise Single sign-on (SSO) vereist om Bedrijfsportal in te schakelen als verificatiebroker. Apparaten met macOS moeten voldoen aan de invoegtoepassingsvereisten voor eenmalige aanmelding, inclusief inschrijving in Mobile Device Management. Voor FIDO2-verificatie moet u ervoor zorgen dat u de nieuwste versie van systeemeigen toepassingen uitvoert.

2Systeemeigen toepassingsondersteuning voor FIDO2-beveiligingssleutels op Android versie 13 en lager is in ontwikkeling.

Als een gebruiker een verificatiebroker heeft geïnstalleerd, kan hij of zij zich aanmelden met een beveiligingssleutel wanneer deze toegang heeft tot een toepassing zoals Outlook. Ze worden omgeleid om zich aan te melden met FIDO2 en omgeleid naar Outlook als aangemelde gebruiker na een geslaagde verificatie.

Ondersteuning voor Microsoft-toepassingen zonder verificatiebroker (preview)

De volgende tabel bevat Microsoft-toepassingsondersteuning voor wachtwoordsleutel (FIDO2) zonder verificatiebroker.

Toepassing macOS iOS Android
Extern bureaublad
Windows-app

Ondersteuning van toepassingen van derden zonder verificatiebroker

Als de gebruiker nog een verificatiebroker moet installeren, kan deze zich nog steeds aanmelden met een wachtwoordsleutel wanneer deze toegang heeft tot toepassingen met MSAL. Zie Ondersteuning voor verificatie zonder wachtwoord met FIDO2-sleutels in apps die u ontwikkelt voor meer informatie over vereisten voor MSAL-toepassingen.

Ondersteuning voor webbrowsers

In deze tabel ziet u browserondersteuning voor het verifiëren van Microsoft Entra ID en Microsoft-accounts met behulp van FIDO2. Consumenten maken Microsoft-accounts voor services zoals Xbox, Skype of Outlook.com.

Besturingssysteem Chrome Edge Firefox Safari
Windows N.v.t.
MacOS
ChromeOS N.v.t. N.v.t. N.v.t.
Linux N.v.t.
iOS
Android 1 N.v.t.

1Ondersteuning voor wachtwoordsleutels in Authenticator met Edge op Android-apparaten is binnenkort beschikbaar.

Webbrowserondersteuning voor elk platform

In de volgende tabellen ziet u welke transporten worden ondersteund voor elk platform. Ondersteunde apparaattypen zijn USB, near-field communication (NFC) en Bluetooth Low Energy (BLE).

Windows

Browser USB NFC BLE
Edge
Chrome
Firefox

Minimale browserversie

Hier volgen de minimale vereisten voor browserversies in Windows.

Browser Minimumversie
Chrome 76
Edge Windows 10, versie 19031
Firefox 66

1Alle versies van de nieuwe Op Chromium gebaseerde Microsoft Edge ondersteunen FIDO2. Ondersteuning voor de verouderde versie van Microsoft Edge is toegevoegd in versie 1903.

macOS

Browser USB NFC1 BLE1
Edge N.v.t. N.v.t.
Chrome N.v.t. N.v.t.
Firefox2 N.v.t. N.v.t.
Safari2,3 N.v.t. N.v.t.

1NFC- en BLE-beveiligingssleutels worden niet ondersteund op macOS door Apple.

2Nieuwe registratie van beveiligingssleutels werkt niet in deze macOS-browsers omdat ze niet vragen om biometrische gegevens of pincode in te stellen.

3Zie Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd.

ChromeOS

Browser1 USB NFC BLE
Chrome

1Registratie van beveiligingssleutels wordt niet ondersteund in de ChromeOS- of Chrome-browser.

Linux

Browser USB NFC BLE
Edge
Chrome
Firefox

iOS

Browser1,3 Lightning NFC BLE2
Edge N.v.t.
Chrome N.v.t.
Firefox N.v.t.
Safari N.v.t.

1Nieuwe registratie van beveiligingssleutels werkt niet in iOS-browsers omdat ze niet vragen om biometrie of pincode in te stellen.

2BLE-beveiligingssleutels worden niet ondersteund op iOS door Apple.

3Zie Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd.

Android

Browser1 USB NFC BLE2
Edge
Chrome
Firefox

1Registratie van beveiligingssleutels met Microsoft Entra-id wordt nog niet ondersteund op Android.

2BLE-beveiligingssleutels worden niet ondersteund op Android door Google.

Bekende problemen

Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd

Als u meer dan drie wachtwoordsleutels hebt geregistreerd, werkt het aanmelden met een wachtwoordsleutel mogelijk niet. Als u meer dan drie wachtwoordsleutels hebt, klikt u als tijdelijke oplossing op Aanmeldingsopties en meldt u zich aan zonder een gebruikersnaam in te voeren.

Schermopname van aanmeldingsopties.

PowerShell-ondersteuning

Microsoft Graph PowerShell ondersteunt FIDO2. Sommige PowerShell-modules die Internet Explorer gebruiken in plaats van Edge, kunnen geen FIDO2-verificatie uitvoeren. PowerShell-modules voor SharePoint Online of Teams, of powerShell-scripts waarvoor beheerdersreferenties zijn vereist, vragen bijvoorbeeld niet om FIDO2.

Als tijdelijke oplossing kunnen de meeste leveranciers certificaten op de FIDO2-beveiligingssleutels plaatsen. Verificatie op basis van certificaten (CBA) werkt in alle browsers. Als u CBA voor deze beheerdersaccounts kunt inschakelen, kunt u in de tussentijd CBA in plaats van FIDO2 vereisen.

Volgende stappen

Aanmelden met beveiligingssleutel en zonder wachtwoord inschakelen