Obsługa uwierzytelniania FIDO2 za pomocą identyfikatora Entra firmy Microsoft
Identyfikator Entra firmy Microsoft umożliwia używanie kluczy dostępu do uwierzytelniania bez hasła. W tym artykule opisano, które aplikacje natywne, przeglądarki internetowe i systemy operacyjne obsługują uwierzytelnianie bez hasła przy użyciu kluczy dostępu z identyfikatorem Entra firmy Microsoft.
Uwaga
Identyfikator Entra firmy Microsoft obsługuje obecnie powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 i w aplikacji Microsoft Authenticator. Firma Microsoft zobowiązuje się do zabezpieczania klientów i użytkowników przy użyciu kluczy dostępu. Inwestujemy zarówno w zsynchronizowane, jak i powiązane z urządzeniami klucz dostępu dla kont służbowych.
Obsługa aplikacji natywnych
Natywna obsługa aplikacji przy użyciu brokera uwierzytelniania (wersja zapoznawcza)
Aplikacje firmy Microsoft zapewniają natywną obsługę uwierzytelniania FIDO2 w wersji zapoznawczej dla wszystkich użytkowników, którzy mają zainstalowanego brokera uwierzytelniania dla swojego systemu operacyjnego. Uwierzytelnianie FIDO2 jest również obsługiwane w wersji zapoznawczej dla aplikacji innych firm przy użyciu brokera uwierzytelniania.
W poniższych tabelach wymieniono, które brokery uwierzytelniania są obsługiwane w różnych systemach operacyjnych.
| System operacyjny | Broker uwierzytelniania | Obsługuje standard FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune — Portal firmy 1 | ✅ |
| Android2 | Wystawca uwierzytelniania lub Portal firmy | ❌ |
1W systemie macOS wtyczka Microsoft Enterprise Logowanie jednokrotne (SSO) jest wymagana do włączenia Portal firmy jako brokera uwierzytelniania. Urządzenia z systemem macOS muszą spełniać wymagania dotyczące wtyczki logowania jednokrotnego, w tym rejestracji w zarządzaniu urządzeniami przenośnymi. W przypadku uwierzytelniania FIDO2 upewnij się, że uruchomiono najnowszą wersję aplikacji natywnych.
2 Natywna obsługa aplikacji FIDO2w systemie Android jest w programowania.
Jeśli użytkownik zainstalował brokera uwierzytelniania, może zdecydować się na zalogowanie się przy użyciu klucza zabezpieczeń podczas uzyskiwania dostępu do aplikacji, takiej jak Outlook. Są one przekierowywane do logowania za pomocą fiDO2 i przekierowywane z powrotem do programu Outlook jako zalogowany użytkownik po pomyślnym uwierzytelnieniu.
Obsługa aplikacji firmy Microsoft bez brokera uwierzytelniania
Logowanie się do aplikacji natywnych firmy Microsoft przy użyciu uwierzytelniania FIDO2, gdy użytkownik nie ma brokera uwierzytelniania w systemach iOS, macOS i Android nie jest obecnie obsługiwany.
Obsługa aplikacji innych firm bez brokera uwierzytelniania
Jeśli użytkownik nie zainstalował jeszcze brokera uwierzytelniania, nadal może zalogować się przy użyciu klucza zabezpieczeń podczas uzyskiwania dostępu do aplikacji z obsługą biblioteki MSAL. Aby uzyskać więcej informacji na temat wymagań dotyczących aplikacji z obsługą biblioteki MSAL, zobacz Obsługa uwierzytelniania bez hasła przy użyciu kluczy FIDO2 w opracowywanych aplikacjach.
Obsługa przeglądarki internetowej
W tej tabeli przedstawiono obsługę przeglądarki na potrzeby uwierzytelniania kont Microsoft Entra ID i Microsoft przy użyciu fiDO2. Konsumenci tworzą konta Microsoft dla usług, takich jak Xbox, Skype lub Outlook.com.
| System operacyjny | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | Nie dotyczy |
| macOS | ✅ | ✅ | ✅ | ✅ |
| Chromeos | ✅ | Brak | NIE DOTYCZY | Brak |
| Linux | ✅ | ❌ | ❌ | Nie dotyczy |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | Brak |
Uwaga
Hasła w aplikacji Authenticator nie działają z przeglądarkami, takimi jak Google Chrome lub Microsoft Edge na urządzeniach z systemem Android. Obsługa tworzenia i logowania przy użyciu kluczy dostępu authenticator z przeglądarek zależy od aktualizacji interfejsu API, które mają być udostępniane przez platformę Android.
Obsługa przeglądarki internetowej dla każdej platformy
W poniższych tabelach pokazano, które transporty są obsługiwane dla każdej platformy. Obsługiwane typy urządzeń obejmują USB, komunikację zbliżeniową (NFC) i bluetooth o niskiej energii (BLE).
Windows
| Przeglądarka | USB | Funkcja NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Minimalna wersja przeglądarki
Poniżej przedstawiono minimalne wymagania dotyczące wersji przeglądarki w systemie Windows.
| Przeglądarka | Minimalna wersja |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 w wersji 19031 |
| Firefox | 66 |
1Wszystkie wersje nowej przeglądarki Microsoft Edge opartej na chromium obsługują standard FIDO2. Obsługa starszej wersji przeglądarki Microsoft Edge została dodana w 1903 roku.
macOS
| Przeglądarka | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | Brak | Brak |
| Chrome | ✅ | Brak | Brak |
| Firefox2 | ✅ | Brak | Brak |
| Safari2 | ✅ | Brak | Brak |
1Klucze zabezpieczeń NFC i BLE nie są obsługiwane w systemie macOS przez firmę Apple.
2Nowa rejestracja klucza zabezpieczeń nie działa w tych przeglądarkach systemu macOS, ponieważ nie monituje o skonfigurowanie biometrycznych ani numeru PIN.
Chromeos
| Przeglądarka1 | USB | Funkcja NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Rejestracja klucza zabezpieczeń nie jest obsługiwana w przeglądarce ChromeOS ani Chrome.
Linux
| Przeglądarka | USB | Funkcja NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Przeglądarka1 | Lightning | Funkcja NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | Nie dotyczy |
| Chrome | ✅ | ✅ | Nie dotyczy |
| Firefox | ✅ | ✅ | Nie dotyczy |
| Safari | ✅ | ✅ | Nie dotyczy |
1Nowa rejestracja klucza zabezpieczeń nie działa w przeglądarkach systemu iOS, ponieważ nie monituje o skonfigurowanie biometrycznych ani numeru PIN.
2Klucze zabezpieczeń BLE nie są obsługiwane w systemie iOS przez firmę Apple.
Android
| Przeglądarka1 | USB | Funkcja NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Rejestracja klucza zabezpieczeń przy użyciu identyfikatora Entra firmy Microsoft nie jest jeszcze obsługiwana w systemie Android.
2Klucze zabezpieczeń BLE nie są obsługiwane w systemie Android przez firmę Google.
Znane problemy
Obsługa programu PowerShell
Program Microsoft Graph PowerShell obsługuje standard FIDO2. Niektóre moduły programu PowerShell korzystające z programu Internet Explorer zamiast przeglądarki Edge nie mogą wykonywać uwierzytelniania FIDO2. Na przykład moduły programu PowerShell dla usługi SharePoint Online lub Teams albo skrypty programu PowerShell, które wymagają poświadczeń administratora, nie wyświetlają monitu o podanie standardu FIDO2.
Aby obejść ten problem, większość dostawców może umieszczać certyfikaty na kluczach zabezpieczeń FIDO2. Uwierzytelnianie oparte na certyfikatach (CBA) działa we wszystkich przeglądarkach. Jeśli możesz włączyć cba dla tych kont administratorów, możesz wymagać CBA zamiast FIDO2 w międzyczasie.