Udostępnij za pośrednictwem


Obsługa uwierzytelniania FIDO2 za pomocą identyfikatora Entra firmy Microsoft

Identyfikator Entra firmy Microsoft umożliwia używanie kluczy dostępu do uwierzytelniania bez hasła. W tym artykule opisano, które aplikacje natywne, przeglądarki internetowe i systemy operacyjne obsługują uwierzytelnianie bez hasła przy użyciu kluczy dostępu z identyfikatorem Entra firmy Microsoft.

Uwaga

Identyfikator Entra firmy Microsoft obsługuje obecnie powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 i w aplikacji Microsoft Authenticator. Firma Microsoft zobowiązuje się do zabezpieczania klientów i użytkowników przy użyciu kluczy dostępu. Inwestujemy zarówno w zsynchronizowane, jak i powiązane z urządzeniami klucz dostępu dla kont służbowych.

Obsługa aplikacji natywnych

W poniższych sekcjach omówiono obsługę aplikacji firmy Microsoft i innych firm. Uwierzytelnianie typu Passkey (FIDO2) za pomocą dostawcy tożsamości innej firmy (IDP) nie jest obecnie obsługiwane w aplikacjach innych firm przy użyciu brokera uwierzytelniania ani aplikacji firmy Microsoft w systemach macOS, iOS lub Android.

Natywna obsługa aplikacji przy użyciu brokera uwierzytelniania (wersja zapoznawcza)

Aplikacje firmy Microsoft zapewniają natywną obsługę uwierzytelniania FIDO2 w wersji zapoznawczej dla wszystkich użytkowników, którzy mają zainstalowanego brokera uwierzytelniania dla swojego systemu operacyjnego. Uwierzytelnianie FIDO2 jest również obsługiwane w wersji zapoznawczej dla aplikacji innych firm przy użyciu brokera uwierzytelniania.

W poniższych tabelach wymieniono, które brokery uwierzytelniania są obsługiwane w różnych systemach operacyjnych.

System operacyjny Broker uwierzytelniania Obsługuje standard FIDO2
iOS Microsoft Authenticator
macOS Microsoft Intune — Portal firmy 1
Android2 Aplikacja Authenticator, Portal firmy lub Łącze do Windows

1W systemie macOS wtyczka Microsoft Enterprise Logowanie jednokrotne (SSO) jest wymagana do włączenia Portal firmy jako brokera uwierzytelniania. Urządzenia z systemem macOS muszą spełniać wymagania dotyczące wtyczki logowania jednokrotnego, w tym rejestracji w zarządzaniu urządzeniami przenośnymi. W przypadku uwierzytelniania FIDO2 upewnij się, że uruchomiono najnowszą wersję aplikacji natywnych.

2Natywna obsługa aplikacji dla kluczy zabezpieczeń FIDO2 w systemie Android w wersji 13 i niższej jest w programowania.

Jeśli użytkownik zainstalował brokera uwierzytelniania, może zdecydować się na zalogowanie się przy użyciu klucza zabezpieczeń podczas uzyskiwania dostępu do aplikacji, takiej jak Outlook. Są one przekierowywane do logowania za pomocą fiDO2 i przekierowywane z powrotem do programu Outlook jako zalogowany użytkownik po pomyślnym uwierzytelnieniu.

Obsługa aplikacji firmy Microsoft bez brokera uwierzytelniania (wersja zapoznawcza)

W poniższej tabeli wymieniono obsługę aplikacji firmy Microsoft dla klucza dostępu (FIDO2) bez brokera uwierzytelniania.

Aplikacja macOS iOS Android
Pulpit zdalny
Aplikacja systemu Windows

Obsługa aplikacji innych firm bez brokera uwierzytelniania

Jeśli użytkownik nie zainstalował jeszcze brokera uwierzytelniania, nadal może zalogować się przy użyciu klucza dostępu podczas uzyskiwania dostępu do aplikacji z obsługą biblioteki MSAL. Aby uzyskać więcej informacji na temat wymagań dotyczących aplikacji z obsługą biblioteki MSAL, zobacz Obsługa uwierzytelniania bez hasła przy użyciu kluczy FIDO2 w opracowywanych aplikacjach.

Obsługa przeglądarki internetowej

W tej tabeli przedstawiono obsługę przeglądarki na potrzeby uwierzytelniania kont Microsoft Entra ID i Microsoft przy użyciu fiDO2. Konsumenci tworzą konta Microsoft dla usług, takich jak Xbox, Skype lub Outlook.com.

System operacyjny Chrome Edge Firefox Safari
Windows Nie dotyczy
macOS
ChromeOS Brak NIE DOTYCZY Brak
Linux Nie dotyczy
iOS
Android 1 Nie dotyczy

1Obsługa kluczy dostępu w aplikacji Authenticator przy użyciu przeglądarki Edge na urządzeniach z systemem Android jest dostępna wkrótce.

Obsługa przeglądarki internetowej dla każdej platformy

W poniższych tabelach pokazano, które transporty są obsługiwane dla każdej platformy. Obsługiwane typy urządzeń obejmują USB, komunikację zbliżeniową (NFC) i bluetooth o niskiej energii (BLE).

Windows

Przeglądarka USB Funkcja NFC BLE
Edge
Chrome
Firefox

Minimalna wersja przeglądarki

Poniżej przedstawiono minimalne wymagania dotyczące wersji przeglądarki w systemie Windows.

Przeglądarka Minimalna wersja
Chrome 76
Edge Windows 10 w wersji 19031
Firefox 66

1Wszystkie wersje nowej przeglądarki Microsoft Edge opartej na chromium obsługują standard FIDO2. Obsługa starszej wersji przeglądarki Microsoft Edge została dodana w 1903 roku.

macOS

Przeglądarka USB NFC1 BLE1
Edge Brak Brak
Chrome Brak Brak
Firefox2 Brak Brak
Safari2,3 Brak Brak

1Klucze zabezpieczeń NFC i BLE nie są obsługiwane w systemie macOS przez firmę Apple.

2Nowa rejestracja klucza zabezpieczeń nie działa w tych przeglądarkach systemu macOS, ponieważ nie monituje o skonfigurowanie biometrycznych ani numeru PIN.

3Zobacz Logowanie, gdy zarejestrowano więcej niż trzy klucza dostępu.

ChromeOS

Przeglądarka1 USB Funkcja NFC BLE
Chrome

1Rejestracja klucza zabezpieczeń nie jest obsługiwana w przeglądarce ChromeOS ani Chrome.

Linux

Przeglądarka USB Funkcja NFC BLE
Edge
Chrome
Firefox

iOS

Przeglądarka1,3 Lightning Funkcja NFC BLE2
Edge Nie dotyczy
Chrome Nie dotyczy
Firefox Nie dotyczy
Safari Nie dotyczy

1Nowa rejestracja klucza zabezpieczeń nie działa w przeglądarkach systemu iOS, ponieważ nie monituje o skonfigurowanie biometrycznych ani numeru PIN.

2Klucze zabezpieczeń BLE nie są obsługiwane w systemie iOS przez firmę Apple.

3Zobacz Logowanie, gdy zarejestrowano więcej niż trzy klucza dostępu.

Android

Przeglądarka1 USB Funkcja NFC BLE2
Edge
Chrome
Firefox

1Rejestracja klucza zabezpieczeń przy użyciu identyfikatora Entra firmy Microsoft nie jest jeszcze obsługiwana w systemie Android.

2Klucze zabezpieczeń BLE nie są obsługiwane w systemie Android przez firmę Google.

Znane problemy

Zaloguj się po zarejestrowaniu więcej niż trzech kluczy dostępu

Jeśli zarejestrowano więcej niż trzy klucza dostępu, logowanie się przy użyciu klucza dostępu może nie działać. Jeśli masz więcej niż trzy klucze dostępu, jako obejście kliknij pozycję Opcje logowania i zaloguj się bez wprowadzania nazwy użytkownika.

Zrzut ekranu przedstawiający opcje logowania.

Obsługa programu PowerShell

Program Microsoft Graph PowerShell obsługuje standard FIDO2. Niektóre moduły programu PowerShell korzystające z programu Internet Explorer zamiast przeglądarki Edge nie mogą wykonywać uwierzytelniania FIDO2. Na przykład moduły programu PowerShell dla usługi SharePoint Online lub Teams albo skrypty programu PowerShell, które wymagają poświadczeń administratora, nie wyświetlają monitu o podanie standardu FIDO2.

Aby obejść ten problem, większość dostawców może umieszczać certyfikaty na kluczach zabezpieczeń FIDO2. Uwierzytelnianie oparte na certyfikatach (CBA) działa we wszystkich przeglądarkach. Jeśli możesz włączyć cba dla tych kont administratorów, możesz wymagać CBA zamiast FIDO2 w międzyczasie.

Następne kroki

Włączanie logowania za pomocą klucza zabezpieczeń bez hasła