Поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra
Идентификатор Microsoft Entra позволяет использовать секретные ключи для проверки подлинности без пароля. В этой статье описывается, какие собственные приложения, веб-браузеры и операционные системы поддерживают проверку подлинности без пароля с помощью секретных ключей с идентификатором Microsoft Entra.
Заметка
Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.
Поддержка собственных приложений
В следующих разделах описана поддержка приложений Майкрософт и сторонних разработчиков. Сквозная проверка подлинности (FIDO2) со сторонним поставщиком удостоверений (IDP) не поддерживается в сторонних приложениях с помощью брокера проверки подлинности или приложений Майкрософт в macOS, iOS или Android в настоящее время.
Поддержка собственного приложения с помощью брокера проверки подлинности (предварительная версия)
Приложения Майкрософт предоставляют встроенную поддержку проверки подлинности FIDO2 в предварительной версии для всех пользователей, у которых установлен брокер проверки подлинности для своей операционной системы. Проверка подлинности FIDO2 также поддерживается в предварительной версии для сторонних приложений с помощью брокера проверки подлинности.
В следующих таблицах перечислены брокеры проверки подлинности, поддерживаемые для разных операционных систем.
| ОС | Брокер проверки подлинности | Поддерживает FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Корпоративный портал Intune 1 | ✅ |
| Android2 | Authenticator или Корпоративный портал | ❌ |
1В macOS подключаемый модуль Microsoft Enterprise Единый вход (SSO) требуется для включения Корпоративный портал в качестве брокера проверки подлинности. Устройства под управлением macOS должны соответствовать требованиям подключаемого модуля единого входа, включая регистрацию в управлении мобильными устройствами. Для проверки подлинности FIDO2 убедитесь, что вы запускаете последнюю версию собственных приложений.
Поддержка 2собственных приложений для FIDO2 в Android находится в разработке.
Если пользователь установил брокер проверки подлинности, он может войти с помощью ключа безопасности при доступе к приложению, например Outlook. Они перенаправляются на вход с помощью FIDO2 и перенаправляются обратно в Outlook в качестве пользователя, выполнившего вход после успешной проверки подлинности.
Поддержка приложений Майкрософт без брокера проверки подлинности (предварительная версия)
В следующей таблице перечислены возможности поддержки приложений Майкрософт для секретного ключа (FIDO2) без брокера проверки подлинности.
| Приложение | macOS | iOS | Андроид |
|---|---|---|---|
| Удаленный рабочий стол | ✅ | ✅ | ❌ |
| Приложение Для Windows | ✅ | ✅ | ❌ |
Поддержка сторонних приложений без брокера проверки подлинности
Если пользователь еще не установлен брокер проверки подлинности, он по-прежнему может войти с помощью секретного ключа при доступе к приложениям с поддержкой MSAL. Дополнительные сведения о требованиях для приложений с поддержкой MSAL см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в разрабатываемых приложениях.
Поддержка веб-браузера
В этой таблице показана поддержка браузера для проверки подлинности идентификатора Microsoft Entra и учетных записей Майкрософт с помощью FIDO2. Потребители создают учетные записи Майкрософт для таких служб, как Xbox, Skype или Outlook.com.
| ОС | Хром | Край | Firefox | Сафари |
|---|---|---|---|---|
| Виндоус | ✅ | ✅ | ✅ | N/A |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/A | N/A | N/A |
| Линукс | ✅ | ❌ | ❌ | N/A |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Андроид | ✅ | ✅1 | ❌ | N/A |
1Поддержка регистрации с тем же устройством в Edge в Android скоро.
Поддержка веб-браузера для каждой платформы
В следующих таблицах показано, какие транспорты поддерживаются для каждой платформы. Поддерживаемые типы устройств включают USB, почти полевой обмен данными (NFC) и bluetooth с низкой энергией (BLE).
Виндоус
| Обозреватель | USB | NFC | BLE |
|---|---|---|---|
| Край | ✅ | ✅ | ✅ |
| Хром | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Минимальная версия браузера
Ниже приведены минимальные требования к версии браузера в Windows.
| Обозреватель | Минимальная версия |
|---|---|
| Хром | 76 |
| Край | Windows 10 версии 19031 |
| Firefox | 66 |
1Все версии новой версии Microsoft Edge на основе Chromium поддерживают FIDO2. Поддержка устаревшей версии Microsoft Edge была добавлена в 1903 году.
macOS
| Обозреватель | USB | NFC1 | BLE1 |
|---|---|---|---|
| Край | ✅ | N/A | N/A |
| Хром | ✅ | N/A | N/A |
| Firefox2 | ✅ | N/A | N/A |
| Safari2,3 | ✅ | N/A | N/A |
1NFC и BLE ключи безопасности не поддерживаются в macOS Apple.
2Новая регистрация ключа безопасности не работает в этих браузерах macOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.
3См . вход при регистрации более трех секретных ключей.
ChromeOS
| Браузер1 | USB | NFC | BLE |
|---|---|---|---|
| Хром | ✅ | ❌ | ❌ |
Регистрация ключа безопасности 1не поддерживается в браузере ChromeOS или Chrome.
Линукс
| Обозреватель | USB | NFC | BLE |
|---|---|---|---|
| Край | ❌ | ❌ | ❌ |
| Хром | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Браузер1,3 | Молния | NFC | BLE2 |
|---|---|---|---|
| Край | ✅ | ✅ | N/A |
| Хром | ✅ | ✅ | N/A |
| Firefox | ✅ | ✅ | N/A |
| Сафари | ✅ | ✅ | N/A |
1Новая регистрация ключа безопасности не работает в браузерах iOS, так как они не запрашивают настройку биометрических данных или ПИН-кода.
2ключи безопасности BLE не поддерживаются в iOS Apple.
3См . вход при регистрации более трех секретных ключей.
Андроид
| Браузер1 | USB | NFC | BLE2 |
|---|---|---|---|
| Край | ✅ | ❌ | ❌ |
| Хром | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
Регистрация ключа безопасности с помощью идентификатора Microsoft Entra еще не поддерживается в Android.
2ключи безопасности BLE не поддерживаются в Android Google.
Известные проблемы
Войдите, когда зарегистрировано более трех ключей доступа
Если вы зарегистрировали более трех ключей доступа, войдите с помощью секретного ключа, возможно, не работает. Если у вас более трех секретных ключей, в качестве обходного решения щелкните параметры входа и войдите без ввода имени пользователя.
Поддержка PowerShell
Microsoft Graph PowerShell поддерживает FIDO2. Некоторые модули PowerShell, использующие Internet Explorer вместо Edge, не могут выполнять проверку подлинности FIDO2. Например, модули PowerShell для SharePoint Online или Teams или любые скрипты PowerShell, требующие учетных данных администратора, не запрашивают FIDO2.
В качестве обходного решения большинство поставщиков могут помещать сертификаты в ключи безопасности FIDO2. Проверка подлинности на основе сертификатов (CBA) работает во всех браузерах. Если вы можете включить CBA для этих учетных записей администратора, можно требовать CBA вместо FIDO2 в промежуточном режиме.