Verificatiematrix voor wachtwoordsleutels (FIDO2) met Microsoft Entra-id

Dit artikel bevat een uitgebreid overzicht van fido2-verificatieondersteuning (passkey) in Microsoft Entra ID. Het bevat een overzicht van de compatibiliteit tussen webbrowsers, systeemeigen apps en besturingssystemen, waardoor meervoudige verificatie zonder wachtwoord mogelijk is. U vindt ook platformspecifieke overwegingen, bekende problemen en richtlijnen voor ondersteuning van apps en id-providers (IdP) van derden. Gebruik deze informatie om naadloze integratie en optimale gebruikerservaringen met wachtwoordsleutels in uw omgeving te garanderen.

Zie Fido2-beveiligingssleutels inschakelen voor Windows 10- en 11-apparaten met Microsoft Entra ID voor meer informatie over het aanmelden met FIDO2-beveiligingssleutels op een Windows-apparaat.

Notitie

Microsoft Entra ID ondersteunt momenteel alleen apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels of in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen en is van plan om gesynchroniseerde wachtwoordsleutels voor Microsoft Entra-id te ondersteunen.

webbrowsers

In de volgende sectie wordt ondersteuning beschreven voor verificatie met wachtwoordsleutels (FIDO2) in webbrowsers met Microsoft Entra-id.

Besturingssysteem	Chroom	Rand	Firefox	Safari
Ramen	✅	✅	✅	N.v.t.
MacOS	✅	✅	✅	✅
ChromeOS	✅	N.v.t.	N.v.t.	N.v.t.
Linux	✅	✅	✅	N.v.t.
Ios	✅	✅	✅	✅
Androïde	✅	✅	❌	N.v.t.

Overwegingen voor elk platform

Ramen

• Voor aanmelden met een beveiligingssleutel is een van de volgende items vereist:
  • Windows 10 versie 1903 of hoger
  • Microsoft Edge op basis van Chromium
  • Chrome 76 of hoger
  • Firefox 66 of hoger

macOS

• Voor aanmelden met een wachtwoordsleutel is macOS Catalina 11.1 of hoger met Safari 14 of hoger vereist, omdat voor Microsoft Entra ID gebruikersverificatie is vereist voor meervoudige verificatie.
• Nfc- en Ble-beveiligingssleutels (Near Field Communication) en Bluetooth Low Energy (BLE) worden niet ondersteund in macOS door Apple.
• Nieuwe registratie van beveiligingssleutels werkt niet in deze macOS-browsers omdat ze niet vragen om biometrische gegevens of pincode in te stellen.
• Zie Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd voor Safari in macOS.

ChromeOS

• NFC- en BLE-beveiligingssleutels worden niet ondersteund in ChromeOS door Google.
• Registratie van beveiligingssleutels wordt niet ondersteund in de ChromeOS- of Chrome-browser.

Linux

• Aanmelden met wachtwoordsleutel in Microsoft Authenticator wordt niet ondersteund in Firefox op Linux.

Ios

• Voor aanmelden met een wachtwoordsleutel is iOS 14.3 of hoger vereist, omdat voor Microsoft Entra ID gebruikersverificatie is vereist voor meervoudige verificatie.
• BLE-beveiligingssleutels worden niet ondersteund op iOS door Apple.
• NFC met FIPS 140-3 gecertificeerde beveiligingssleutels wordt niet ondersteund op iOS door Apple.
• Nieuwe registratie van beveiligingssleutels werkt niet in iOS-browsers omdat ze niet vragen om biometrische gegevens of pincode in te stellen.
• Zie Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd.

Androïde

• Voor aanmelden met een wachtwoordsleutel is Google Play Services 21 of hoger vereist, omdat voor Microsoft Entra ID gebruikersverificatie is vereist voor meervoudige verificatie.
• BLE-beveiligingssleutels worden niet ondersteund op Android door Google.
• Registratie van beveiligingssleutels met Microsoft Entra-id wordt nog niet ondersteund op Android.
• Aanmelden met wachtwoordsleutel wordt niet ondersteund in Firefox op Android.

Bekende problemen

Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd

Als u meer dan drie wachtwoordsleutels hebt geregistreerd, werkt het aanmelden met een wachtwoordsleutel mogelijk niet op iOS of Safari in macOS. Als u meer dan drie wachtwoordsleutels hebt, klikt u als tijdelijke oplossing op Aanmeldingsopties en meldt u zich aan zonder een gebruikersnaam in te voeren.

systeemeigen apps

In de volgende secties wordt ondersteuning behandeld voor verificatie met wachtwoordsleutels (FIDO2) in Microsoft Entra-id voor:

• Ondersteuning voor Microsoft-apps met verificatiebroker
• Ondersteuning voor Microsoft-apps zonder verificatiebroker
• Ondersteuning van apps van derden zonder verificatiebroker
• Ondersteuning voor id-provider (IdP) van derden

Ondersteuning voor Microsoft-apps met verificatiebroker

Microsoft-apps bieden systeemeigen ondersteuning voor wachtwoordverificatie voor alle gebruikers die een verificatiebroker hebben geïnstalleerd voor hun besturingssysteem. Wachtwoordsleutelverificatie wordt ook ondersteund voor apps van derden met behulp van de verificatiebroker.

Als een gebruiker een verificatiebroker heeft geïnstalleerd, kan hij of zij zich aanmelden met een wachtwoordsleutel wanneer hij of zij toegang heeft tot een app zoals Outlook. Ze worden omgeleid om zich aan te melden met een wachtwoordsleutel en omgeleid naar Outlook als een aangemelde gebruiker na een geslaagde verificatie.

In de volgende tabellen ziet u welke verificatiebrokers worden ondersteund voor verschillende besturingssystemen.

Besturingssysteem	Authenticatiemakelaar
Ios	Microsoft Authenticator
MacOS	Microsoft Intune-bedrijfsportal
Androïde	Verificator, Bedrijfsportal of Koppeling met Windows-app

Ondersteuning voor Microsoft-apps zonder verificatiebroker

De volgende tabel bevat microsoft-app-ondersteuning voor wachtwoordsleutel (FIDO2) zonder verificatiebroker. Werk uw apps bij naar de nieuwste versie om ervoor te zorgen dat ze werken met wachtwoordsleutels.

applicatie	macOS	Ios	Androïde
Verbinding met extern bureaublad	✅	✅	✅
Windows-app	✅	✅	✅
Microsoft 365 Copilot (Office)	N.v.t.	✅	❌
Woord	✅	✅	❌
PowerPoint	✅	✅	❌
Uitblinken	✅	✅	❌
OneNote	✅	✅	❌
Lus	N.v.t.	✅	❌
OneDrive	✅	✅	❌
Vooruitzicht	✅	✅	❌
Teams	✅	✅	❌
Rand	✅	✅	❌

Ondersteuning van apps van derden zonder verificatiebroker

Als de gebruiker nog een verificatiebroker moet installeren, kan hij of zij zich nog steeds aanmelden met een wachtwoordsleutel wanneer ze toegang hebben tot APPS waarvoor MSAL is ingeschakeld. Zie Ondersteuning voor verificatie zonder wachtwoord met FIDO2-sleutels in apps die u ontwikkelt voor meer informatie over vereisten voor MSAL-apps.

IdP-ondersteuning van derden

Notitie

Wachtwoordsleutelverificatie met een idP van derden wordt op dit moment niet ondersteund in apps van derden met behulp van verificatiebroker of Microsoft-apps op Android, iOS of macOS.

Microsoft Entra ID biedt geen ondersteuning voor wachtwoordsleutelverificatie met een idP van derden in iOS/macOS. Als een tijdelijke oplossing kunnen Identity Providers van derden hun eigen extensie voor Single Sign-On (SSO) implementeren op iOS-/macOS-apparaten als deze worden beheerd door Mobile Device Management (MDM).

Met het uitbreidbare SSO-framework van Apple op door MDM beheerde apparaten kunnen id-providers netwerkaanvragen onderscheppen die zijn gericht op hun URL's. Wanneer de SSO-extensie van de id-provider een netwerkaanvraag onderschept, kunnen ze een aangepaste verificatiehanddruk implementeren. Hierdoor kunnen ze een systeembrowser of systeemeigen Apple-API's gebruiken voor verificatie met een wachtwoordsleutel zonder dat ze wijzigingen hoeven aan te brengen in Microsoft-toepassingen.

Zie de volgende Apple-documentatie voor meer informatie:

• ExtensibleSingleSignOn-apparaatbeheerprofiel
• Api-verzameling voor eenmalige aanmelding (SSO) voor Enterprise

Overwegingen voor elk platform

Ramen

• Voor aanmelding met FIDO2-beveiligingssleutel voor systeemeigen apps is Windows 10 versie 1903 of hoger vereist.
• Voor aanmelding met een wachtwoordsleutel in Microsoft Authenticator voor systeemeigen apps is Windows 11 versie 22H2 of hoger vereist.
• Microsoft Graph PowerShell ondersteunt wachtwoordsleutel (FIDO2). Sommige PowerShell-modules die Internet Explorer gebruiken in plaats van Edge, kunnen geen FIDO2-verificatie uitvoeren. PowerShell-modules voor SharePoint Online of Teams, of powerShell-scripts waarvoor beheerdersreferenties zijn vereist, vragen bijvoorbeeld niet om FIDO2.
  • Als tijdelijke oplossing kunnen de meeste leveranciers certificaten op de FIDO2-beveiligingssleutels plaatsen. Verificatie op basis van certificaten (CBA) werkt in alle browsers. Als u CBA voor deze beheerdersaccounts kunt inschakelen, kunt u in de tussentijd CBA in plaats van FIDO2 vereisen.

Ios

• Aanmelden met wachtwoordsleutel in systeemeigen apps zonder INVOEGTOEPASSING voor eenmalige aanmelding (SSO) van Microsoft Enterprise vereist iOS 16.0 of hoger.
• Voor aanmelding met een wachtwoordsleutel in systeemeigen apps met de SSO-invoegtoepassing is iOS 17.1 of hoger vereist.

macOS

• Op macOS is de invoegtoepassing Microsoft Enterprise Single Sign On (SSO) vereist om de Bedrijfsportal in te schakelen als verificatiebroker. Apparaten die macOS gebruiken, moeten voldoen aan de vereisten voor SSO-invoegtoepassingen, inclusief inschrijving in mobiele apparaatbeheer.
• Voor aanmelding met een wachtwoordsleutel in systeemeigen apps met de SSO-invoegtoepassing is macOS 14.0 of hoger vereist.

Androïde

• Voor aanmelding met FIDO2-beveiligingssleutel voor systeemeigen apps is Android 13 of hoger vereist.
• Aanmelden met wachtwoordsleutel in Microsoft Authenticator voor systeemeigen apps vereist Android 14 of hoger.
• Aanmelden met Yubico-vervaardigd FIDO2-beveiligingssleutels waarvoor YubiOTP is ingeschakeld, werkt mogelijk niet op Samsung Galaxy-apparaten. Als tijdelijke oplossing kunnen gebruikers YubiOTP uitschakelen en zich opnieuw proberen aan te melden. Zie FIDO-problemen op Samsung-apparaten voor meer informatie.

Volgende stappen

Wachtwoordloze beveiligingssleutel aanmelding inschakelen