Ondersteuning voor FIDO2-verificatie met Microsoft Entra-id
Met Microsoft Entra ID kunnen wachtwoordsleutels worden gebruikt voor verificatie zonder wachtwoord. In dit artikel wordt beschreven welke systeemeigen toepassingen, webbrowsers en besturingssystemen verificatie zonder wachtwoord ondersteunen met behulp van wachtwoordsleutels met Microsoft Entra-id.
Notitie
Microsoft Entra ID ondersteunt momenteel apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels en in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen. We investeren in zowel gesynchroniseerde als apparaatgebonden wachtwoordsleutels voor werkaccounts.
Systeemeigen toepassingsondersteuning
Systeemeigen toepassingsondersteuning met verificatiebroker (preview)
Microsoft-toepassingen bieden systeemeigen ondersteuning voor FIDO2-verificatie in preview voor alle gebruikers die een verificatiebroker hebben geïnstalleerd voor hun besturingssysteem. FIDO2-verificatie wordt ook ondersteund in preview voor toepassingen van derden met behulp van de verificatiebroker.
In de volgende tabellen ziet u welke verificatiebrokers worden ondersteund voor verschillende besturingssystemen.
| Besturingssysteem | Verificatiebroker | Ondersteunt FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| MacOS | Microsoft Intune-bedrijfsportal 1 | ✅ |
| Android2 | Verificator of Bedrijfsportal | ❌ |
1In macOS is de invoegtoepassing Microsoft Enterprise Single sign-on (SSO) vereist om Bedrijfsportal in te schakelen als verificatiebroker. Apparaten met macOS moeten voldoen aan de invoegtoepassingsvereisten voor eenmalige aanmelding, inclusief inschrijving in Mobile Device Management. Voor FIDO2-verificatie moet u ervoor zorgen dat u de nieuwste versie van systeemeigen toepassingen uitvoert.
2Systeemeigen toepassingsondersteuning voor FIDO2 op Android is in ontwikkeling.
Als een gebruiker een verificatiebroker heeft geïnstalleerd, kan hij of zij zich aanmelden met een beveiligingssleutel wanneer deze toegang heeft tot een toepassing zoals Outlook. Ze worden omgeleid om zich aan te melden met FIDO2 en omgeleid naar Outlook als aangemelde gebruiker na een geslaagde verificatie.
Ondersteuning voor Microsoft-toepassingen zonder verificatiebroker
Aanmelden bij systeemeigen Microsoft-toepassingen met FIDO2-verificatie wanneer de gebruiker op dit moment geen verificatiebroker voor iOS, macOS en Android heeft.
Ondersteuning van toepassingen van derden zonder verificatiebroker
Als de gebruiker nog een verificatiebroker moet installeren, kan deze zich nog steeds aanmelden met een beveiligingssleutel wanneer deze toegang heeft tot toepassingen met MSAL. Zie Ondersteuning voor verificatie zonder wachtwoord met FIDO2-sleutels in apps die u ontwikkelt voor meer informatie over vereisten voor MSAL-toepassingen.
Ondersteuning voor webbrowsers
In deze tabel ziet u browserondersteuning voor het verifiëren van Microsoft Entra ID en Microsoft-accounts met behulp van FIDO2. Consumenten maken Microsoft-accounts voor services zoals Xbox, Skype of Outlook.com.
| Besturingssysteem | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N.v.t. |
| MacOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N.v.t. | N.v.t. | N.v.t. |
| Linux | ✅ | ❌ | ❌ | N.v.t. |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N.v.t. |
Notitie
Wachtwoordsleutels in Authenticator werken niet met browsers zoals Google Chrome of Microsoft Edge op Android-apparaten. Ondersteuning voor het maken en aanmelden met behulp van Authenticator-wachtwoordsleutels van browsers is afhankelijk van API-updates die beschikbaar moeten worden gesteld door het Android-platform.
Webbrowserondersteuning voor elk platform
In de volgende tabellen ziet u welke transporten worden ondersteund voor elk platform. Ondersteunde apparaattypen zijn USB, near-field communication (NFC) en Bluetooth Low Energy (BLE).
Windows
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Minimale browserversie
Hier volgen de minimale vereisten voor browserversies in Windows.
| Browser | Minimumversie |
|---|---|
| Chrome | 76 |
| Edge | Windows 10, versie 19031 |
| Firefox | 66 |
1Alle versies van de nieuwe Op Chromium gebaseerde Microsoft Edge ondersteunen FIDO2. Ondersteuning voor de verouderde versie van Microsoft Edge is toegevoegd in versie 1903.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N.v.t. | N.v.t. |
| Chrome | ✅ | N.v.t. | N.v.t. |
| Firefox2 | ✅ | N.v.t. | N.v.t. |
| Safari2 | ✅ | N.v.t. | N.v.t. |
1NFC- en BLE-beveiligingssleutels worden niet ondersteund op macOS door Apple.
2Nieuwe registratie van beveiligingssleutels werkt niet in deze macOS-browsers omdat ze niet vragen om biometrische gegevens of pincode in te stellen.
ChromeOS
| Browser1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Registratie van beveiligingssleutels wordt niet ondersteund in de ChromeOS- of Chrome-browser.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Browser1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N.v.t. |
| Chrome | ✅ | ✅ | N.v.t. |
| Firefox | ✅ | ✅ | N.v.t. |
| Safari | ✅ | ✅ | N.v.t. |
1Nieuwe registratie van beveiligingssleutels werkt niet in iOS-browsers omdat ze niet vragen om biometrie of pincode in te stellen.
2BLE-beveiligingssleutels worden niet ondersteund op iOS door Apple.
Android
| Browser1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Registratie van beveiligingssleutels met Microsoft Entra-id wordt nog niet ondersteund op Android.
2BLE-beveiligingssleutels worden niet ondersteund op Android door Google.
Bekende problemen
PowerShell-ondersteuning
Microsoft Graph PowerShell ondersteunt FIDO2. Sommige PowerShell-modules die Internet Explorer gebruiken in plaats van Edge, kunnen geen FIDO2-verificatie uitvoeren. PowerShell-modules voor SharePoint Online of Teams, of powerShell-scripts waarvoor beheerdersreferenties zijn vereist, vragen bijvoorbeeld niet om FIDO2.
Als tijdelijke oplossing kunnen de meeste leveranciers certificaten op de FIDO2-beveiligingssleutels plaatsen. Verificatie op basis van certificaten (CBA) werkt in alle browsers. Als u CBA voor deze beheerdersaccounts kunt inschakelen, kunt u in de tussentijd CBA in plaats van FIDO2 vereisen.
Volgende stappen
Aanmelden met beveiligingssleutel en zonder wachtwoord inschakelen