Macierz uwierzytelniania klucza dostępu (FIDO2) z identyfikatorem Entra firmy Microsoft

Ten artykuł zawiera kompleksowe omówienie obsługi uwierzytelniania klucza dostępu (FIDO2) w usłudze Microsoft Entra ID. Przedstawia ona zgodność w przeglądarkach internetowych, aplikacjach natywnych i systemach operacyjnych, umożliwiając uwierzytelnianie wieloskładnikowe bez hasła. Znajdziesz również zagadnienia specyficzne dla platformy, znane problemy i wskazówki dotyczące wsparcia dla aplikacji innych firm i dostawców tożsamości (IdP). Skorzystaj z tych informacji, aby zapewnić bezproblemową integrację i optymalne doświadczenia użytkownika z kluczami dostępu w Twoim środowisku.

Aby uzyskać więcej informacji na temat logowania się przy użyciu kluczy zabezpieczeń FIDO2 na urządzeniu z systemem Windows, zobacz Włączanie logowania klucza zabezpieczeń FIDO2 na urządzeniach z systemem Windows 10 i 11 przy użyciu identyfikatora Microsoft Entra ID.

Uwaga

Identyfikator Entra firmy Microsoft obecnie obsługuje tylko powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 lub w aplikacji Microsoft Authenticator. Firma Microsoft jest zobowiązana do zabezpieczania klientów i użytkowników z kluczami dostępu oraz planuje obsługę zsynchronizowanych kluczy dostępu dla identyfikatora Entra firmy Microsoft.

przeglądarki sieci Web

W poniższej sekcji opisano obsługę uwierzytelniania za pomocą klucza dostępu (FIDO2) w przeglądarkach internetowych z identyfikatorem Entra firmy Microsoft.

System operacyjny	Chrom	Brzeg	Firefox	Safari
Windows	✅	✅	✅	Nie dotyczy
macOS	✅	✅	✅	✅
ChromeOS	✅	Nie dotyczy	Nie dotyczy	Nie dotyczy
Linux	✅	✅	✅	Nie dotyczy
Ios	✅	✅	✅	✅
Android	✅	✅	❌	Nie dotyczy

Zagadnienia dotyczące każdej platformy

Windows

• Logowanie przy użyciu klucza zabezpieczeń wymaga jednego z następujących elementów:
  • Windows 10 w wersji 1903 lub nowszej
  • Przeglądarka Microsoft Edge oparta na chromium
  • Chrome 76 lub nowszy
  • Firefox 66 lub nowszy

macOS

• Logowanie przy użyciu klucza dostępu wymaga systemu macOS Catalina 11.1 lub nowszego w przeglądarce Safari 14 lub nowszej, ponieważ identyfikator Entra firmy Microsoft wymaga weryfikacji użytkownika na potrzeby uwierzytelniania wieloskładnikowego.
• Klucze zabezpieczeń komunikacji zbliżeniowej (NFC) i Bluetooth Low Energy (BLE) nie są obsługiwane w systemie macOS przez firmę Apple.
• Nowa rejestracja klucza zabezpieczeń nie działa w tych przeglądarkach systemu macOS, ponieważ nie proszą o skonfigurowanie biometrii ani kodu PIN.
• Zobacz Zaloguj się, gdy w systemie macOS zarejestrowano więcej niż trzy klucze dostępu dla Safari.

ChromeOS

• Klucze zabezpieczeń NFC i BLE nie są obsługiwane w przeglądarce ChromeOS przez firmę Google.
• Rejestracja klucza zabezpieczeń nie jest obsługiwana w przeglądarce ChromeOS ani Chrome.

Linux

• Logowanie przy użyciu klucza dostępu w aplikacji Microsoft Authenticator nie jest obsługiwane w przeglądarce Firefox w systemie Linux.

Ios

• Logowanie przy użyciu klucza dostępu wymaga systemu iOS 14.3 lub nowszego, ponieważ identyfikator Entra firmy Microsoft wymaga weryfikacji użytkownika na potrzeby uwierzytelniania wieloskładnikowego.
• Klucze zabezpieczeń BLE nie są obsługiwane w systemie iOS przez firmę Apple.
• Komunikacja NFC z certyfikowanymi kluczami zabezpieczeń FIPS 140-3 nie jest obsługiwana w systemie iOS przez firmę Apple.
• Nowa rejestracja klucza zabezpieczeń nie działa w przeglądarkach iOS, ponieważ nie wyświetlają one komunikatów o konieczności skonfigurowania biometrii lub numeru PIN.
• Zobacz Zaloguj się, gdy zarejestrowane są więcej niż trzy klucze dostępu.

Android

• Logowanie przy użyciu klucza dostępu wymaga usług Google Play 21 lub nowszych, ponieważ identyfikator Entra firmy Microsoft wymaga weryfikacji użytkownika na potrzeby uwierzytelniania wieloskładnikowego.
• Klucze zabezpieczeń BLE nie są obsługiwane w systemie Android przez firmę Google.
• Rejestracja klucza zabezpieczeń przy użyciu identyfikatora Entra firmy Microsoft nie jest jeszcze obsługiwana w systemie Android.
• Logowanie przy użyciu klucza dostępu nie jest obsługiwane w przeglądarce Firefox w systemie Android.

Znane problemy

Zaloguj się po zarejestrowaniu więcej niż trzech kluczy dostępu

Jeśli zarejestrowano więcej niż trzy klucza dostępu, logowanie się przy użyciu klucza dostępu może nie działać w systemie iOS lub Safari w systemie macOS. Jeśli masz więcej niż trzy klucze dostępu, jako obejście kliknij pozycję Opcje logowania i zaloguj się bez wprowadzania nazwy użytkownika.

aplikacje natywne

W następnych sekcjach omówiono obsługę uwierzytelniania za pomocą klucza dostępu (FIDO2) w identyfikatorze Entra firmy Microsoft dla:

• Obsługa aplikacji firmy Microsoft za pomocą brokera uwierzytelniania
• Obsługa aplikacji firmy Microsoft bez brokera uwierzytelniania
• Obsługa aplikacji innych firm bez brokera uwierzytelniania
• Obsługa dostawcy tożsamości zewnętrznego

Obsługa aplikacji firmy Microsoft za pomocą brokera uwierzytelniania

Aplikacje firmy Microsoft zapewniają natywną obsługę uwierzytelniania za pomocą klucza dostępu dla wszystkich użytkowników, którzy mają zainstalowanego brokera uwierzytelniania dla swojego systemu operacyjnego. Uwierzytelnianie za pomocą klucza dostępu jest również obsługiwane w przypadku aplikacji innych firm przy użyciu brokera uwierzytelniania.

Jeśli użytkownik zainstalował brokera uwierzytelniania, może zdecydować się na zalogowanie się przy użyciu klucza dostępu podczas uzyskiwania dostępu do aplikacji, takiej jak Outlook. Nastąpi przekierowanie do logowania przy użyciu klucza dostępu i przekierowanie z powrotem do programu Outlook jako zalogowanego użytkownika po pomyślnym uwierzytelnieniu.

W poniższych tabelach wymieniono, które brokery uwierzytelniania są obsługiwane w różnych systemach operacyjnych.

System operacyjny	Broker uwierzytelniania
Ios	Microsoft Authenticator
macOS	Portal firmowy Microsoft Intune
Android	Aplikacja Authenticator, Portal firmy lub Aplikacja Link do Windows

Obsługa aplikacji firmy Microsoft bez brokera uwierzytelniania

W poniższej tabeli wymieniono obsługę aplikacji firmy Microsoft dla klucza dostępu (FIDO2) bez brokera uwierzytelniania. Zaktualizuj swoje aplikacje do najnowszej wersji, aby mieć pewność, że działają z kluczami dostępu.

Aplikacja	macOS	Ios	Android
Pulpit zdalny	✅	✅	✅
Aplikacja systemu Windows	✅	✅	✅
Microsoft 365 Copilot (Office)	Nie dotyczy	✅	❌
Słowo	✅	✅	❌
PowerPoint	✅	✅	❌
Programu excel	✅	✅	❌
Program OneNote	✅	✅	❌
Pętla	Nie dotyczy	✅	❌
OneDrive	✅	✅	❌
Programu outlook	✅	✅	❌
Zespoły	✅	✅	❌
Brzeg	✅	✅	❌

Obsługa aplikacji innych firm bez brokera uwierzytelniania

Jeśli użytkownik nie zainstalował jeszcze brokera uwierzytelniania, nadal może zalogować się przy użyciu klucza dostępu podczas uzyskiwania dostępu do aplikacji z obsługą biblioteki MSAL. Aby uzyskać więcej informacji na temat wymagań dotyczących aplikacji z obsługą biblioteki MSAL, zobacz Obsługa uwierzytelniania bez hasła przy użyciu kluczy FIDO2 w opracowywanych aplikacjach.

Obsługa zewnętrznych IdP

Uwaga

Uwierzytelnianie za pomocą klucza dostępu z dostawcą tożsamości innej firmy nie jest obecnie obsługiwane w aplikacjach innych firm przy użyciu brokera uwierzytelniania ani aplikacji firmy Microsoft w systemach Android, iOS lub macOS.

Identyfikator Entra firmy Microsoft nie obsługuje uwierzytelniania klucza dostępu przy użyciu dostawcy tożsamości innej firmy w systemie iOS/macOS. Aby obejść ten problem, dostawcy tożsamości innych firm mogą implementować własne rozszerzenie logowania jednokrotnego (SSO) na urządzeniach z systemem iOS/macOS, jeśli są zarządzane przez system zarządzania urządzeniami mobilnymi (MDM).

Rozszerzalna struktura logowania jednokrotnego firmy Apple na urządzeniach zarządzanych przez rozwiązanie MDM umożliwia dostawcom tożsamości przechwytywanie żądań sieci kierowanych do ich adresów URL. Gdy rozszerzenie SSO dostawcy tożsamości przechwytuje żądanie sieciowe, mogą zaimplementować niestandardowe uzgadnianie uwierzytelniania. Dzięki temu mogą używać przeglądarki systemowej lub natywnych interfejsów API firmy Apple do uwierzytelniania za pomocą klucza dostępu bez konieczności wprowadzania zmian w aplikacjach firmy Microsoft.

Aby uzyskać więcej informacji, zobacz następującą dokumentację firmy Apple:

• ExtensibleSingleSignOn Profil zarządzania urządzeniami
• Zbiór interfejsów API jednokrotnego logowania (SSO) dla przedsiębiorstw

Zagadnienia dotyczące każdej platformy

Windows

• Logowanie przy użyciu klucza zabezpieczeń FIDO2 do aplikacji natywnych wymaga systemu Windows 10 w wersji 1903 lub nowszej.
• Logowanie przy użyciu klucza dostępu w aplikacji Microsoft Authenticator do aplikacji natywnych wymaga systemu Windows 11 w wersji 22H2 lub nowszej.
• program Microsoft Graph PowerShell obsługuje klucz dostępu (FIDO2). Niektóre moduły programu PowerShell korzystające z programu Internet Explorer zamiast przeglądarki Edge nie mogą wykonywać uwierzytelniania FIDO2. Na przykład moduły programu PowerShell dla usługi SharePoint Online lub Teams albo skrypty programu PowerShell, które wymagają poświadczeń administratora, nie wyświetlają monitu o podanie standardu FIDO2.
  • Aby obejść ten problem, większość dostawców może umieszczać certyfikaty na kluczach zabezpieczeń FIDO2. Uwierzytelnianie oparte na certyfikatach (CBA) działa we wszystkich przeglądarkach. Jeśli możesz włączyć CBA dla tych kont administratorów, możesz wymagać CBA zamiast FIDO2 tymczasowo.

Ios

• Logowanie za pomocą klucza dostępu w aplikacjach natywnych bez wtyczki Microsoft Enterprise Single Sign On (SSO) wymaga systemu iOS 16.0 lub nowszego.
• Logowanie przy użyciu klucza dostępu w aplikacjach natywnych przy użyciu wtyczki logowania jednokrotnego wymaga systemu iOS 17.1 lub nowszego.

macOS

• W systemie macOS wtyczka Microsoft Enterprise Single Sign On (SSO) jest wymagana do włączenia aplikacji Portal firmy jako brokera uwierzytelniania. Urządzenia z systemem macOS muszą spełniać wymagania dotyczące wtyczki logowania jednokrotnego (SSO), obejmujące również rejestrację w zarządzaniu urządzeniami przenośnymi (MDM).
• Logowanie przy użyciu klucza dostępu w aplikacjach natywnych przy użyciu wtyczki logowania jednokrotnego wymaga systemu macOS 14.0 lub nowszego.

Android

• Logowanie przy użyciu klucza zabezpieczeń FIDO2 do aplikacji natywnych wymaga systemu Android 13 lub nowszego.
• Logowanie przy użyciu klucza dostępu w aplikacji Microsoft Authenticator do aplikacji natywnych wymaga systemu Android 14 lub nowszego.
• Logowanie przy użyciu kluczy zabezpieczających FIDO2 wyprodukowanych przez firmę Yubico z włączoną obsługą yubiOTP może nie działać na urządzeniach Samsung Galaxy. Aby obejść ten problem, użytkownicy mogą wyłączyć protokół YubiOTP i spróbować zalogować się ponownie. Aby uzyskać więcej informacji, zobacz FiDO issues on Samsung devices (Problemy ze standardem FIDO na urządzeniach firmy Samsung).

Następne kroki

Włączanie logowania za pomocą klucza zabezpieczeń bez hasła