支持使用 Microsoft Entra ID 进行 FIDO2 身份验证

Microsoft Entra ID 允许使用通行密钥进行无密码身份验证。 本文介绍哪些本机应用程序、Web 浏览器和操作系统支持结合使用 Microsoft Entra ID 和通行密钥进行无密码身份验证。

注意

Microsoft Entra ID 目前支持存储在 FIDO2 安全密钥和 Microsoft Authenticator 中的设备绑定通行密钥。 Microsoft 致力于使用通行密钥保护客户和用户。 我们正在投资为工作帐户构建同步通行密钥和设备绑定通行密钥。

本机应用程序支持

以下各部分介绍了对 Microsoft 和第三方应用程序的支持。 目前,使用身份验证代理的第三方应用程序或 macOS、iOS 或 Android 上的 Microsoft 应用程序不支持使用第三方标识提供者 (IDP) 进行通行密钥 (FIDO2) 身份验证。

使用身份验证代理的本机应用程序支持(预览版)

针对所有操作系统装有身份验证代理的用户,Microsoft 应用程序在预览版中提供对 FIDO2 身份验证的本机支持。 使用身份验证代理的第三方应用程序也支持 FIDO2 身份验证预览版。

下表列出了不同操作系统所支持的身份验证代理。

操作系统 身份验证代理 支持 FIDO2
iOS Microsoft Authenticator
macOS Microsoft Intune 公司门户1
Android2 Authenticator、公司门户 或 连接至 Windows 应用

1在 macOS 上,需要 Microsoft Enterprise 单一登录 (SSO) 插件才能使用公司门户作为身份验证代理。 运行 macOS 的设备必须满足 SSO 插件要求,包括注册移动设备管理。 对于 FIDO2 身份验证,请确保运行最新版本的本机应用程序。

2Android 版本 13 及更低版本上对 FIDO2 安全密钥的本机应用程序支持正在开发中。

如果用户安装了身份验证代理,则可以选择在访问 Outlook 等应用程序时使用安全密钥登录。 用户会重定向到使用 FIDO2 登录,并在身份验证成功后重定向回 Outlook 作为登录用户。

没有身份验证代理的 Microsoft 应用程序支持

下表列出了在没有身份验证代理的情况下 Microsoft 应用程序对通行密钥 (FIDO2) 的支持。

应用程序 macOS iOS Android
远程桌面
Windows 应用

没有身份验证代理的第三方应用程序支持

如果用户尚未安装身份验证代理,则当他们访问启用了 MSAL 的应用程序时,仍然可以使用通行密钥登录。 有关启用了 MSAL 的应用程序的要求的详细信息,请参阅在你开发的应用中使用 FIDO2 密钥支持无密码身份验证

Web 浏览器支持

此表显示浏览器使用 FIDO2 对 Microsoft Entra ID 和 Microsoft 帐户进行身份验证的支持。 客户为 Xbox、Skype 或 Outlook.com 等服务创建 Microsoft 帐户。

(OS) Chrome Edge Firefox Safari
Windows 不适用
macOS
ChromeOS 空值 不可用 空值
Linux 空值
iOS
Android 1 空值

1即将推出对在 Android 设备上使用 Edge 的 Authenticator 中的密钥的支持。

每个平台的 Web 浏览器支持

下表显示了每个平台支持的传输。 支持的设备类型包括 USB、近场通信 (NFC) 和蓝牙低功耗 (BLE) 。

Windows

浏览者 USB NFC BLE
Edge
Chrome
Firefox

最低浏览器版本

以下是 Windows 上的最低浏览器版本要求。

浏览器 最低版本
Chrome 76
Edge Windows 10 版本 19031
Firefox 66

1基于新 Chromium 的 Microsoft Edge 的所有版本均支持 FIDO2。 1903 版中添加了对 Microsoft Edge 旧版的支持。

macOS

浏览者 USB NFC1 BLE1
Microsoft Edge 空值 空值
Chrome 空值 空值
Firefox2 空值 空值
Safari23 空值 空值

1Apple 不支持在 macOS 上使用 NFC 和 BLE 安全密钥。

2新安全密钥注册在这些 macOS 浏览器上不起作用,因为它们不提示设置生物识别或 PIN。

3请参阅在注册三个以上通行密钥时登录

ChromeOS

Browser1 USB NFC BLE
Chrome

1ChromeOS 或 Chrome 浏览器不支持安全密钥注册。

Linux

浏览者 USB NFC BLE
Edge
Chrome
Firefox

iOS

浏览器13 Lightning NFC BLE2
Microsoft Edge 空值
Chrome 空值
Firefox 空值
Safari 空值

1新安全密钥注册在 iOS 浏览器上不起作用,因为它们不提示设置生物识别或 PIN。

2Apple 不支持在 iOS 上使用 BLE 安全密钥。

3请参阅在注册三个以上通行密钥时登录

Android

Browser1 USB NFC BLE2
Edge
Chrome
Firefox

1在 Android 上,尚不支持使用 Microsoft Entra ID 注册安全密钥。

2Google 不支持在 Android 上使用 BLE 安全密钥。

已知问题

在注册三个以上通行密钥时登录

如果注册了三个以上的通行密钥,则可能无法使用通行密钥登录。 如果有三个以上的通行密钥,一种变通方法是单击“登录选项”,然后无需输入用户名即可登录。

登录选项的屏幕截图。

PowerShell 支持

Microsoft Graph PowerShell 支持 FIDO2。 某些使用 Internet Explorer(而非 Microsoft Edge)的 PowerShell 模块无法执行 FIDO2 身份验证。 例如,适用于 SharePoint Online 或 Teams 的 PowerShell 模块或任何需要管理员凭据的 PowerShell 脚本都不会提示 FIDO2。

一种解决方法是,大多数供应商可以将证书放在 FIDO2 安全密钥上。 基于证书的身份验证 (CBA) 适合所有浏览器。 如果可以为这些管理员帐户启用 CBA,可在此期间要求进行 CBA 而不是 FIDO2。

后续步骤

启用无密码安全密钥登录