Stöd för FIDO2-autentisering med Microsoft Entra-ID
Med Microsoft Entra-ID kan nyckelnycklar användas för lösenordslös autentisering. Den här artikeln beskriver vilka inbyggda program, webbläsare och operativsystem som stöder lösenordslös autentisering med hjälp av nyckelnycklar med Microsoft Entra-ID.
Kommentar
Microsoft Entra-ID stöder för närvarande enhetsbundna nycklar som lagras på FIDO2-säkerhetsnycklar och i Microsoft Authenticator. Microsoft har åtagit sig att skydda kunder och användare med nyckelnycklar. Vi investerar i både synkroniserade och enhetsbundna nyckelnycklar för arbetskonton.
Stöd för inbyggt program
Följande avsnitt beskriver stöd för Microsoft och program från tredje part. Lösenordsautentisering (FIDO2) med en identitetsprovider från tredje part (IDP) stöds inte i program från tredje part med autentiseringskoordinator eller Microsoft-program på macOS, iOS eller Android för tillfället.
Internt programstöd med autentiseringskoordinator (förhandsversion)
Microsoft-program ger internt stöd för FIDO2-autentisering i förhandsversion för alla användare som har en autentiseringskoordinator installerad för sitt operativsystem. FIDO2-autentisering stöds också som förhandsversion för program från tredje part med hjälp av autentiseringskoordinatorn.
I följande tabeller visas vilka autentiseringskoordinatorer som stöds för olika operativsystem.
| OS | Autentiseringskoordinator | Stöder FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune-företagsportal 1 | ✅ |
| Android2 | Authenticator, Företagsportal eller Länk till Windows app | ✅ |
1På macOS krävs plugin-programmet Microsoft Enterprise Enkel inloggning (SSO) för att aktivera Företagsportal som autentiseringskoordinator. Enheter som kör macOS måste uppfylla kraven för SSO-plugin-program, inklusive registrering i hantering av mobila enheter. För FIDO2-autentisering kontrollerar du att du kör den senaste versionen av inbyggda program.
2Inbyggt programstöd för FIDO2-säkerhetsnycklar på Android version 13 och lägre är under utveckling.
Om en användare har installerat en autentiseringskoordinator kan de välja att logga in med en säkerhetsnyckel när de får åtkomst till ett program som Outlook. De omdirigeras för att logga in med FIDO2 och omdirigeras tillbaka till Outlook som inloggad användare efter lyckad autentisering.
Stöd för Microsoft-program utan autentiseringskoordinator (förhandsversion)
I följande tabell visas Microsoft-programstöd för nyckel (FIDO2) utan asynkron autentiseringskoordinator.
| Program | macOS | iOS | Android |
|---|---|---|---|
| Fjärrskrivbord | ✅ | ✅ | ❌ |
| Windows-app | ✅ | ✅ | ❌ |
Stöd för program från tredje part utan autentiseringskoordinator
Om användaren ännu inte har installerat en autentiseringskoordinator kan de fortfarande logga in med en nyckel när de får åtkomst till MSAL-aktiverade program. Mer information om kraven för MSAL-aktiverade program finns i Stöd för lösenordslös autentisering med FIDO2-nycklar i appar som du utvecklar.
Stöd för webbläsare
Den här tabellen visar webbläsarstöd för autentisering av Microsoft Entra-ID och Microsoft-konton med hjälp av FIDO2. Konsumenter skapar Microsoft-konton för tjänster som Xbox, Skype eller Outlook.com.
| OS | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | Ej tillämpligt |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | Saknas | Saknas | Saknas |
| Linux | ✅ | ❌ | ❌ | Ej tillämpligt |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅1 | ❌ | Ej tillämpligt |
1Stöd för nyckelnycklar i Authenticator med Edge på Android-enheter kommer snart.
Stöd för webbläsare för varje plattform
Följande tabeller visar vilka transporter som stöds för varje plattform. Enhetstyper som stöds är USB, NFC (near-field communication) och bluetooth low energy (BLE).
Windows
| Webbläsare | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Lägsta webbläsarversion
Följande är minimikraven för webbläsarversion i Windows.
| Webbläsare | Minimiversion |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 version 19031 |
| Firefox | 66 |
1Alla versioner av den nya Chromium-baserade Microsoft Edge stöder FIDO2. Stöd för Microsoft Edge-äldre lades till 1903.
macOS
| Webbläsare | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | Saknas | Saknas |
| Chrome | ✅ | Saknas | Saknas |
| Firefox2 | ✅ | Saknas | Saknas |
| Safari2,3 | ✅ | Saknas | Saknas |
1NFC- och BLE-säkerhetsnycklar stöds inte på macOS av Apple.
2Ny registrering av säkerhetsnycklar fungerar inte i dessa macOS-webbläsare eftersom de inte uppmanar till att konfigurera biometri eller PIN-kod.
3Se Logga in när fler än tre nycklar är registrerade.
ChromeOS
| Webbläsare1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Registrering av säkerhetsnycklar stöds inte i Webbläsaren ChromeOS eller Chrome.
Linux
| Webbläsare | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Webbläsare1,3 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | Ej tillämpligt |
| Chrome | ✅ | ✅ | Ej tillämpligt |
| Firefox | ✅ | ✅ | Ej tillämpligt |
| Safari | ✅ | ✅ | Ej tillämpligt |
1Ny registrering av säkerhetsnycklar fungerar inte i iOS-webbläsare eftersom de inte uppmanas att konfigurera biometri eller PIN-kod.
2BLE-säkerhetsnycklar stöds inte på iOS av Apple.
3Se Logga in när fler än tre nycklar är registrerade.
Android
| Webbläsare1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Registrering av säkerhetsnycklar med Microsoft Entra-ID stöds ännu inte på Android.
2BLE-säkerhetsnycklar stöds inte på Android av Google.
Kända problem
Logga in när fler än tre nycklar har registrerats
Om du har registrerat fler än tre nycklar kanske inloggningen med en nyckel inte fungerar. Om du har fler än tre nycklar klickar du på Inloggningsalternativ och loggar in utan att ange ett användarnamn.
PowerShell-stöd
Microsoft Graph PowerShell stöder FIDO2. Vissa PowerShell-moduler som använder Internet Explorer i stället för Edge kan inte utföra FIDO2-autentisering. PowerShell-moduler för SharePoint Online eller Teams, eller powershell-skript som kräver administratörsautentiseringsuppgifter, frågar till exempel inte efter FIDO2.
Som en lösning kan de flesta leverantörer placera certifikat på FIDO2-säkerhetsnycklarna. Certifikatbaserad autentisering (CBA) fungerar i alla webbläsare. Om du kan aktivera CBA för dessa administratörskonton kan du kräva CBA i stället för FIDO2 under tiden.