FIDO2 parolasız kimlik doğrulaması için yerel uygulama ve tarayıcı desteği
Microsoft Entra Id, FIDO2 güvenlik anahtarlarının parolasız bir cihaz olarak kullanılmasına olanak tanır. Microsoft hesapları için FIDO2 kimlik doğrulamasının kullanılabilirliği 2018'de duyuruldu ve Mart 2021'de genel kullanıma sunuldu. Bu konu başlığı altında hangi tarayıcıların, yerel uygulamaların ve işletim sistemlerinin Microsoft Entra Id ile FIDO2 güvenlik anahtarlarını kullanarak parolasız kimlik doğrulamasını desteklediği ele alınmıştır. Microsoft Entra ID şu anda yalnızca donanım FIDO2 anahtarlarını destekler ve herhangi bir platform için geçiş anahtarlarını desteklemez.
Yerel uygulama desteği (önizleme)
Microsoft uygulamaları, işletim sistemleri için bir kimlik doğrulama aracısı yüklü olan tüm kullanıcılar için önizlemede FIDO2 kimlik doğrulaması için yerel destek sağlar. Aşağıdaki tablolarda farklı işletim sistemleri için hangi kimlik doğrulama aracılarının desteklendiği listelenmektedir.
İşletim sistemi | Kimlik doğrulama aracısı | FIDO2'i destekler |
---|---|---|
iOS | Microsoft Authenticator | ✅ |
macOS | Microsoft Intune Şirket Portalı 1 | ✅ |
Android2 | Doğrulayıcı veya Şirket Portalı | ❌ |
1MacOS'ta, kimlik doğrulama aracısı olarak Şirket Portalı etkinleştirmek için Microsoft Enterprise SSO eklentisi gereklidir. macOS çalıştıran cihazların, mobil cihaz yönetimine kayıt da dahil olmak üzere SSO eklenti gereksinimlerini karşılaması gerekir. FIDO2 kimlik doğrulaması için yerel uygulamaların en son sürümünü çalıştırdığınızdan emin olun.
2Android'de FIDO2 için yerel uygulama desteği geliştirme aşamasındadır.
Bir kullanıcı bir kimlik doğrulama aracısı yüklediyse, Outlook gibi bir uygulamaya eriştiğinde bir güvenlik anahtarıyla oturum açmayı seçebilir. FiDO2 ile oturum açmak üzere yeniden yönlendirilirler ve başarılı kimlik doğrulamasının ardından oturum açmış bir kullanıcı olarak Outlook'a geri yönlendirilirler.
Kullanıcı bir kimlik doğrulama aracısı yüklemediyse, FIDO2 kimlik doğrulaması desteği bölümünde listelenen gereksinimleri karşılayan MSAL özellikli uygulamalara eriştiğinde bir güvenlik anahtarıyla oturum açmaya devam edebilir.
Not
Kimlik doğrulama aracısı olmayan Microsoft uygulamaları için FIDO2 kimlik doğrulaması henüz kullanılamıyor.
Tarayıcı desteği
Bu tabloda, FIDO2 kullanarak Microsoft Entra Id ve Microsoft hesaplarının kimliğini doğrulamak için tarayıcı desteği gösterilmektedir. Microsoft hesapları Tüketiciler tarafından Xbox, Skype veya Outlook.com gibi hizmetler için oluşturulur.
OS | Chrome | Edge | Firefox | Safari |
---|---|---|---|---|
Windows | ✅ | ✅ | ✅ | Yok |
macOS | ✅ | ✅ | ✅ | ✅ |
Chromeos | ✅ | Yok | Yok | Yok |
Linux | ✅ | ❌ | ❌ | Yok |
iOS | ✅ | ✅ | ✅ | ✅ |
Android | ❌ | ❌ | ❌ | Yok |
Her platform için tarayıcı desteği
Aşağıdaki tablolarda her platform için hangi aktarımların desteklendiği gösterilmektedir. Desteklenen cihaz türleri ARASıNDA USB, yakın alan iletişimi (NFC) ve bluetooth düşük enerji (BLE) bulunur.
Windows
Tarayıcı | USB | NFC | BLE |
---|---|---|---|
Edge | ✅ | ✅ | ✅ |
Chrome | ✅ | ✅ | ✅ |
Firefox | ✅ | ✅ | ✅ |
macOS
Tarayıcı | USB | NFC1 | BLE1 |
---|---|---|---|
Edge | ✅ | Yok | Yok |
Chrome | ✅ | Yok | Yok |
Firefox2 | ✅ | Yok | Yok |
Safari2 | ✅ | Yok | Yok |
1NFC ve BLE güvenlik anahtarları MacOS'ta Apple tarafından desteklenmez.
2Yeni güvenlik anahtarı kaydı, biyometri veya PIN ayarlamayı istemedikleri için bu macOS tarayıcılarında çalışmaz.
Chromeos
Tarayıcı1 | USB | NFC | BLE |
---|---|---|---|
Chrome | ✅ | ❌ | ❌ |
1ChromeOS veya Chrome tarayıcılarında güvenlik anahtarı kaydı desteklenmez.
Linux
Tarayıcı | USB | NFC | BLE |
---|---|---|---|
Edge | ❌ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
iOS
Tarayıcı1 | Lightning | NFC | BLE2 |
---|---|---|---|
Edge | ✅ | ✅ | Yok |
Chrome | ✅ | ✅ | Yok |
Firefox | ✅ | ✅ | Yok |
Safari | ✅ | ✅ | Yok |
1Yeni güvenlik anahtarı kaydı, biyometri veya PIN ayarlamayı istemedikleri için iOS tarayıcılarında çalışmaz.
2BLE güvenlik anahtarları Apple tarafından iOS'ta desteklenmez.
Android
Tarayıcı1 | USB | NFC | BLE |
---|---|---|---|
Edge | ❌ | ❌ | ❌ |
Chrome | ❌ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
1Kullanıcı doğrulaması için güvenlik anahtarı biyometrisi veya PIN şu anda Android'de Google tarafından desteklenmektedir. Microsoft Entra Id, tüm FIDO2 kimlik doğrulamaları için kullanıcı doğrulaması gerektirir.
En düşük tarayıcı sürümü
En düşük tarayıcı sürümü gereksinimleri aşağıdadır.
Tarayıcı | En düşük sürüm |
---|---|
Chrome | 76 |
Edge | Windows 10 sürüm 19031 |
Firefox | 66 |
1Yeni Chromium tabanlı Microsoft Edge'in tüm sürümleri FIDO2'yi destekler. Microsoft Edge'in eski sürümüne yönelik destek 1903'te eklendi.
Bilinen sorunlar
Mobil cihaz güvenlik anahtarına göre önceliklendirilebilir
Chrome veya Edge kullanıyorsanız tarayıcı, güvenlik anahtarında depolanan bir geçiş anahtarı üzerinden mobil cihazda depolanan bir geçiş anahtarının kullanımına öncelik verebilir.
Windows 11 sürüm 23H2 ile başlayarak, işletim sistemi oturum açma sırasında aşağıdaki istemi gösterir. Diğer seçenekler'in altında Güvenlik anahtarı'nı seçin ve İleri'ye tıklayın.
Windows'un önceki sürümlerinde tarayıcı, mobil cihazda depolanan bir geçiş anahtarını kullanmaya devam etmek için QR eşleştirme ekranını gösterebilir. Bunun yerine bir güvenlik anahtarında depolanan bir geçiş anahtarını kullanmak için güvenlik anahtarınızı ekleyin ve devam etmek için bu anahtara dokunun.
PowerShell desteği
Microsoft Graph PowerShell , FIDO2'i destekler. Edge yerine Internet Explorer kullanan bazı PowerShell modülleri FIDO2 kimlik doğrulaması gerçekleştiremez. Örneğin, SharePoint Online veya Teams için PowerShell modülleri ya da yönetici kimlik bilgileri gerektiren PowerShell betikleri FIDO2'yi sormaz.
Geçici bir çözüm olarak, çoğu satıcı FIDO2 güvenlik anahtarlarına sertifika ekleyebilir. Sertifika tabanlı kimlik doğrulaması (CBA) tüm tarayıcılarda çalışır. Bu yönetici hesapları için CBA'yı etkinleştirebiliyorsanız, arada fido2 yerine CBA gerektirebilirsiniz.