Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze configuraties en best practices helpen u veelvoorkomende scenario's te voorkomen die voorkomen dat FIDO2-verificatie zonder wachtwoord beschikbaar is voor gebruikers van uw toepassingen.
Algemene aanbevolen procedures
Domein hints
Gebruik geen domeinhint om de ontdekking van de thuisrealm te omzeilen. Deze functie is bedoeld om aanmeldingen gestroomlijnder te maken, maar de federatieve identiteitsprovider biedt mogelijk geen ondersteuning voor verificatie zonder wachtwoord.
Specifieke referenties vereisen
Als u SAML gebruikt, geeft u niet op dat een wachtwoord vereist is met behulp van het element RequestedAuthnContext.
Het element RequestedAuthnContext is optioneel, dus om dit probleem op te lossen, kunt u het verwijderen uit uw SAML-verificatieaanvragen. Dit is een algemene best practice, omdat het gebruik van dit element ook kan voorkomen dat andere authenticatie-opties, zoals multifactorauthenticatie, correct werken.
De meest recent gebruikte authenticatiemethode gebruiken
De aanmeldingsmethode die het meest recent door een gebruiker is gebruikt, wordt als eerste aan deze gebruiker gepresenteerd. Dit kan verwarring veroorzaken wanneer gebruikers denken dat ze de eerste gepresenteerde optie moeten gebruiken. Ze kunnen echter een andere optie kiezen door 'Andere manieren om in te loggen' te selecteren, zoals hieronder weergegeven.
Platformspecifieke best practices
Ramen
De aanbevolen opties voor het implementeren van authenticatie zijn, in volgorde:
- .NET-bureaubladtoepassingen die gebruikmaken van de Microsoft Authentication Library (MSAL) moeten gebruikmaken van Windows Authentication Manager (WAM). Deze integratie en de voordelen ervan zijn gedocumenteerd op GitHub.
- Gebruik WebView2 om FIDO2 te ondersteunen in een ingesloten browser.
- Gebruik de systeembrowser. De MSAL-bibliotheken voor desktopplatforms gebruiken deze methode standaard. U kunt onze pagina over FIDO2-browsercompatibiliteit raadplegen om er zeker van te zijn dat de browser die u gebruikt FIDO2-authenticatie ondersteunt.
Androïde
FIDO2 wordt ondersteund voor Android-apps die MSAL met BROWSER gebruiken als autorisatie, user-agent of broker-integratie. Broker wordt geleverd in Microsoft Authenticator, Company Portal of Link to Windows-app op Android.
Als u MSAL niet gebruikt, moet u nog steeds de webbrowser van het systeem gebruiken voor verificatie. Functies zoals SSO en voorwaardelijke toegang zijn afhankelijk van een gedeeld weboppervlak dat wordt geleverd door de webbrowser van het systeem.
iOS en macOS
FIDO2 wordt ondersteund voor iOS-apps die MSAL gebruiken met ASWebAuthenticationSession of broker-integratie. Broker wordt geleverd in Microsoft Authenticator op iOS en Microsoft Intune Company Portal op macOS.
Zorg ervoor dat uw netwerkproxy de bijbehorende domeinvalidatie door Apple niet blokkeert. FIDO2-authenticatie vereist dat de bijbehorende domeinvalidatie van Apple slaagt, waardoor bepaalde Apple-domeinen moeten worden uitgesloten van netwerkproxy's. Zie Apple producten gebruiken op bedrijfsnetwerken voor meer informatie.
Als u MSAL niet gebruikt, moet u nog steeds de webbrowser van het systeem gebruiken voor verificatie. Functies zoals SSO en voorwaardelijke toegang zijn afhankelijk van een gedeeld weboppervlak dat wordt geleverd door de webbrowser van het systeem. Zie Een gebruiker verifiëren via een webservice | Documentatie voor Apple-ontwikkelaars.
Web-apps en apps met één pagina
De beschikbaarheid van FIDO2 wachtwoordloze authenticatie voor applicaties die in een webbrowser worden uitgevoerd, is afhankelijk van de combinatie van browser en platform. U kunt onze FIDO2-compatibiliteitsmatrix raadplegen om te controleren of de combinatie die uw gebruikers zullen tegenkomen, wordt ondersteund.
Volgende stappen
Verificatiemethode voor wachtwoordsleutels (FIDO2) in Microsoft Entra-id