Ondersteuning voor FIDO2-verificatie met Microsoft Entra-id
Met Microsoft Entra ID kunnen wachtwoordsleutels worden gebruikt voor verificatie zonder wachtwoord. In dit artikel wordt beschreven welke systeemeigen toepassingen, webbrowsers en besturingssystemen verificatie zonder wachtwoord ondersteunen met behulp van wachtwoordsleutels met Microsoft Entra-id.
Notitie
Microsoft Entra ID ondersteunt momenteel apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels en in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen. We investeren in zowel gesynchroniseerde als apparaatgebonden wachtwoordsleutels voor werkaccounts.
Systeemeigen toepassingsondersteuning
De volgende secties hebben betrekking op ondersteuning voor Microsoft- en toepassingen van derden. Wachtwoordsleutelverificatie (FIDO2) met een id-provider van derden (IDP) wordt momenteel niet ondersteund in toepassingen van derden met behulp van verificatiebroker of Microsoft-toepassingen op macOS, iOS of Android.
Systeemeigen toepassingsondersteuning met verificatiebroker (preview)
Microsoft-toepassingen bieden systeemeigen ondersteuning voor FIDO2-verificatie in preview voor alle gebruikers die een verificatiebroker hebben geïnstalleerd voor hun besturingssysteem. FIDO2-verificatie wordt ook ondersteund in preview voor toepassingen van derden met behulp van de verificatiebroker.
In de volgende tabellen ziet u welke verificatiebrokers worden ondersteund voor verschillende besturingssystemen.
| BESTURINGSSYSTEEM | Verificatiebroker | Ondersteunt FIDO2 |
|---|---|---|
| Ios | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune-bedrijfsportal 1 | ✅ |
| Android2 | Verificator of Bedrijfsportal | ❌ |
1In macOS is de invoegtoepassing Microsoft Enterprise Single sign-on (SSO) vereist om Bedrijfsportal in te schakelen als verificatiebroker. Apparaten met macOS moeten voldoen aan de invoegtoepassingsvereisten voor eenmalige aanmelding, inclusief inschrijving in Mobile Device Management. Voor FIDO2-verificatie moet u ervoor zorgen dat u de nieuwste versie van systeemeigen toepassingen uitvoert.
2Systeemeigen toepassingsondersteuning voor FIDO2 op Android is in ontwikkeling.
Als een gebruiker een verificatiebroker heeft geïnstalleerd, kan hij of zij zich aanmelden met een beveiligingssleutel wanneer deze toegang heeft tot een toepassing zoals Outlook. Ze worden omgeleid om zich aan te melden met FIDO2 en omgeleid naar Outlook als aangemelde gebruiker na een geslaagde verificatie.
Ondersteuning voor Microsoft-toepassingen zonder verificatiebroker (preview)
De volgende tabel bevat Microsoft-toepassingsondersteuning voor wachtwoordsleutel (FIDO2) zonder verificatiebroker.
| Toepassing | macOS | Ios | Androïde |
|---|---|---|---|
| Extern bureaublad | ✅ | ✅ | ❌ |
| Windows-app | ✅ | ✅ | ❌ |
Ondersteuning van toepassingen van derden zonder verificatiebroker
Als de gebruiker nog een verificatiebroker moet installeren, kan deze zich nog steeds aanmelden met een wachtwoordsleutel wanneer deze toegang heeft tot toepassingen met MSAL. Zie Ondersteuning voor verificatie zonder wachtwoord met FIDO2-sleutels in apps die u ontwikkelt voor meer informatie over vereisten voor MSAL-toepassingen.
Ondersteuning voor webbrowsers
In deze tabel ziet u browserondersteuning voor het verifiëren van Microsoft Entra ID en Microsoft-accounts met behulp van FIDO2. Consumenten maken Microsoft-accounts voor services zoals Xbox, Skype of Outlook.com.
| BESTURINGSSYSTEEM | Chroom | Rand | Firefox | Safari |
|---|---|---|---|---|
| Ramen | ✅ | ✅ | ✅ | N.V.T |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N.V.T | N.V.T | N.V.T |
| Linux | ✅ | ❌ | ❌ | N.V.T |
| Ios | ✅ | ✅ | ✅ | ✅ |
| Androïde | ✅ | ✅1 | ❌ | N.V.T |
1Ondersteuning voor registratie van hetzelfde apparaat in Edge op Android is binnenkort beschikbaar.
Webbrowserondersteuning voor elk platform
In de volgende tabellen ziet u welke transporten worden ondersteund voor elk platform. Ondersteunde apparaattypen zijn USB, near-field communication (NFC) en bluetooth low energy (BLE).
Ramen
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Rand | ✅ | ✅ | ✅ |
| Chroom | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Minimale browserversie
Hier volgen de minimale vereisten voor browserversies in Windows.
| Browser | Minimale versie |
|---|---|
| Chroom | 76 |
| Rand | Windows 10 versie 19031 |
| Firefox | 66 |
1Alle versies van de nieuwe Op Chromium gebaseerde Microsoft Edge ondersteunen FIDO2. In 1903 is ondersteuning toegevoegd voor Microsoft Edge legacy.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Rand | ✅ | N.V.T | N.V.T |
| Chroom | ✅ | N.V.T | N.V.T |
| Firefox2 | ✅ | N.V.T | N.V.T |
| Safari2,3 | ✅ | N.V.T | N.V.T |
1NFC- en BLE-beveiligingssleutels worden niet ondersteund op macOS door Apple.
2Nieuwe registratie van beveiligingssleutels werkt niet in deze macOS-browsers omdat ze niet vragen om biometrische gegevens of pincode in te stellen.
3Zie Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd.
ChromeOS
| Browser1 | USB | NFC | BLE |
|---|---|---|---|
| Chroom | ✅ | ❌ | ❌ |
1Registratie van beveiligingssleutels wordt niet ondersteund in de ChromeOS- of Chrome-browser.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Rand | ❌ | ❌ | ❌ |
| Chroom | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
Ios
| Browser1,3 | Bliksem | NFC | BLE2 |
|---|---|---|---|
| Rand | ✅ | ✅ | N.V.T |
| Chroom | ✅ | ✅ | N.V.T |
| Firefox | ✅ | ✅ | N.V.T |
| Safari | ✅ | ✅ | N.V.T |
1Nieuwe registratie van beveiligingssleutels werkt niet in iOS-browsers omdat ze niet vragen om biometrie of pincode in te stellen.
2BLE-beveiligingssleutels worden niet ondersteund op iOS door Apple.
3Zie Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd.
Androïde
| Browser1 | USB | NFC | BLE2 |
|---|---|---|---|
| Rand | ✅ | ❌ | ❌ |
| Chroom | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Registratie van beveiligingssleutels met Microsoft Entra-id wordt nog niet ondersteund op Android.
2BLE-beveiligingssleutels worden niet ondersteund op Android door Google.
Bekende problemen
Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd
Als u meer dan drie wachtwoordsleutels hebt geregistreerd, werkt het aanmelden met een wachtwoordsleutel mogelijk niet. Als u meer dan drie wachtwoordsleutels hebt, klikt u als tijdelijke oplossing op Aanmeldingsopties en meldt u zich aan zonder een gebruikersnaam in te voeren.
PowerShell-ondersteuning
Microsoft Graph PowerShell ondersteunt FIDO2. Sommige PowerShell-modules die Internet Explorer gebruiken in plaats van Edge, kunnen geen FIDO2-verificatie uitvoeren. PowerShell-modules voor SharePoint Online of Teams, of powerShell-scripts waarvoor beheerdersreferenties zijn vereist, vragen bijvoorbeeld niet om FIDO2.
Als tijdelijke oplossing kunnen de meeste leveranciers certificaten op de FIDO2-beveiligingssleutels plaatsen. Verificatie op basis van certificaten (CBA) werkt in alle browsers. Als u CBA voor deze beheerdersaccounts kunt inschakelen, kunt u in de tussentijd CBA in plaats van FIDO2 vereisen.
Volgende stappen
Aanmelden met een wachtwoordloze beveiligingssleutel inschakelen