Поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra
Идентификатор Microsoft Entra позволяет использовать секретные ключи для проверки подлинности без пароля. В этой статье описывается, какие собственные приложения, веб-браузеры и операционные системы поддерживают проверку подлинности без пароля с помощью секретных ключей с идентификатором Microsoft Entra.
Примечание.
Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.
Поддержка собственных приложений
Поддержка собственного приложения с помощью брокера проверки подлинности (предварительная версия)
Приложения Майкрософт предоставляют встроенную поддержку проверки подлинности FIDO2 в предварительной версии для всех пользователей, у которых установлен брокер проверки подлинности для своей операционной системы. Проверка подлинности FIDO2 также поддерживается в предварительной версии для сторонних приложений с помощью брокера проверки подлинности.
В следующих таблицах перечислены брокеры проверки подлинности, поддерживаемые для разных операционных систем.
| ОС | Брокер проверки подлинности | Поддерживает FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Корпоративный портал Intune 1 | ✅ |
| Android2 | Authenticator или Корпоративный портал | ❌ |
1В macOS подключаемый модуль Microsoft Enterprise Единый вход (SSO) требуется для включения Корпоративный портал в качестве брокера проверки подлинности. Устройства под управлением macOS должны соответствовать требованиям подключаемого модуля единого входа, включая регистрацию в управлении мобильными устройствами. Для проверки подлинности FIDO2 убедитесь, что вы запускаете последнюю версию собственных приложений.
Поддержка 2собственных приложений для FIDO2 в Android находится в разработке.
Если пользователь установил брокер проверки подлинности, он может войти с помощью ключа безопасности при доступе к приложению, например Outlook. Они перенаправляются на вход с помощью FIDO2 и перенаправляются обратно в Outlook в качестве пользователя, выполнившего вход после успешной проверки подлинности.
Поддержка приложений Майкрософт без брокера проверки подлинности
Вход в собственные приложения Майкрософт с проверкой подлинности FIDO2, если у пользователя нет брокера проверки подлинности в iOS, macOS и Android в настоящее время не поддерживается.
Поддержка сторонних приложений без брокера проверки подлинности
Если пользователь еще не установил брокер проверки подлинности, он по-прежнему может войти с помощью ключа безопасности при доступе к приложениям с поддержкой MSAL. Дополнительные сведения о требованиях для приложений с поддержкой MSAL см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в разрабатываемых приложениях.
Поддержка веб-браузеров
В этой таблице показана поддержка браузера для проверки подлинности идентификатора Microsoft Entra и учетных записей Майкрософт с помощью FIDO2. Потребители создают учетные записи Майкрософт для таких служб, как Xbox, Skype или Outlook.com.
| ОС | Chrome | Microsoft Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | Н/П |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | Неприменимо | Н/Д | Неприменимо |
| Linux | ✅ | ❌ | ❌ | Н/П |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | Неприменимо |
Примечание.
Секретные ключи в Authenticator не работают с браузерами, такими как Google Chrome или Microsoft Edge на устройствах Android. Поддержка создания и входа с помощью секретных ключей Authenticator из браузеров зависит от обновлений API, доступных платформой Android.
Поддержка веб-браузера для каждой платформы
В следующих таблицах показано, какие транспорты поддерживаются для каждой платформы. Поддерживаются следующие типы устройств: USB, коммуникация ближнего поля (NFC) и Bluetooth с низким энергопотреблением (BLE).
Windows
| Браузер | USB | NFC | BLE |
|---|---|---|---|
| Microsoft Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Минимальная версия браузера
Ниже приведены минимальные требования к версии браузера в Windows.
| Браузер | Минимальная версия |
|---|---|
| Chrome | 76 |
| Microsoft Edge | Windows 10 версия 19031 |
| Firefox | 66 |
1Все версии новой версии Microsoft Edge на основе Chromium поддерживают FIDO2. Поддержка прежних версий Microsoft Edge была добавлена в 1903.
macOS
| Браузер | USB | NFC1 | BLE1 |
|---|---|---|---|
| Microsoft Edge | ✅ | Неприменимо | Неприменимо |
| Chrome | ✅ | Неприменимо | Неприменимо |
| Firefox2 | ✅ | Неприменимо | Неприменимо |
| Safari2 | ✅ | Неприменимо | Неприменимо |
1NFC и BLE ключи безопасности не поддерживаются в macOS Apple.
2Новая регистрация ключа безопасности не работает в этих браузерах macOS, так как они не запрашивают настройку биография метрик или ПИН-кода.
ChromeOS
| Браузер1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
Регистрация ключа безопасности 1не поддерживается в браузере ChromeOS или Chrome.
Linux
| Браузер | USB | NFC | BLE |
|---|---|---|---|
| Microsoft Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Браузер1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Microsoft Edge | ✅ | ✅ | Н/П |
| Chrome | ✅ | ✅ | Н/П |
| Firefox | ✅ | ✅ | Н/П |
| Safari | ✅ | ✅ | Н/П |
1Новая регистрация ключа безопасности не работает в браузерах iOS, так как они не запрашивают настройку биография метрик или ПИН-кода.
2ключи безопасности BLE не поддерживаются в iOS Apple.
Android
| Браузер1 | USB | NFC | BLE2 |
|---|---|---|---|
| Microsoft Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
Регистрация ключа безопасности с помощью идентификатора Microsoft Entra еще не поддерживается в Android.
2ключи безопасности BLE не поддерживаются в Android Google.
Известные проблемы
Поддержка PowerShell
Microsoft Graph PowerShell поддерживает FIDO2. Некоторые модули PowerShell, использующие Интернет Обозреватель вместо Edge, не могут выполнять проверку подлинности FIDO2. Например, модули PowerShell для SharePoint Online или Teams или любые скрипты PowerShell, требующие учетных данных администратора, не запрашивают FIDO2.
В качестве обходного решения большинство поставщиков могут помещать сертификаты в ключи безопасности FIDO2. Проверка подлинности на основе сертификатов (CBA) работает во всех браузерах. Если вы можете включить CBA для этих учетных записей администратора, можно требовать CBA вместо FIDO2 в промежуточном режиме.