支援使用 Microsoft Entra ID 進行 FIDO2 驗證
Microsoft Entra ID 允許將通行金鑰用於無密碼驗證。 本文涵蓋哪些原生應用程式、網頁瀏覽器和操作系統支援使用具有 Microsoft Entra ID 的通行密鑰進行無密碼驗證。
注意
Microsoft Entra ID 目前支援將裝置繫結通行金鑰儲存於 FIDO2 安全性金鑰和 Microsoft Authenticator。 Microsoft 致力於利用通行金鑰保護客戶和使用者。 我們正針對工作帳戶的同步處理和裝置繫結通行金鑰投入心力。
原生應用程式支援
驗證代理人的原生應用程式支援 (預覽)
Microsoft 應用程式針對已為其作業系統安裝驗證訊息代理程式的所有使用者,提供預覽版 FIDO2 驗證的原生支援。 使用驗證代理程式的第三方應用程式預覽版也支援 FIDO2 驗證。
下表列出不同作業系統支援哪些驗證代理程式。
| OS | 驗證代理程式 | 支援 FIDO2 |
|---|---|---|
| iOS | Microsoft 驗證器 | ✅ |
| macOS | Microsoft Intune 公司入口網站 1 | ✅ |
| Android2 | 驗證器或公司入口網站 | ❌ |
1在 macOS 上,需要 Microsoft 企業 SSO 外掛程式,才能將公司入口網站啟用為驗證訊息代理程式。 執行 macOS 的裝置必須符合 SSO 外掛程式需求,包括行動裝置管理的註冊。 針對 FIDO2 驗證,請確定您執行的是最新版本的原生應用程式。
2Android 上 FIDO2 的原生應用程式支援目前開發中。
如果使用者安裝了驗證代理程式,他們可以在存取 Outlook 之類的應用程式時,選擇使用安全性金鑰登入。 系統會將他們重新導向至使用 FIDO2 登入,並在成功驗證之後,以登入的使用者身分重新導向回 Outlook。
沒有驗證代理程式的 Microsoft 應用程式支援
使用者在 iOS、macOS 和 Android 上沒有驗證代理程式時,目前並不支援使用 FIDO2 驗證登入 Microsoft 原生應用程式。
沒有驗證代理程式的第三方應用程式支援
如果使用者尚未安裝驗證代理程式,他們仍然可以在存取已啟用 MSAL 的應用程式時使用安全性金鑰登入。 如需 MSAL 啟用應用程式需求的詳細資訊,請參閱 在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證。
Web 瀏覽器支援
下表顯示使用 FIDO2 驗證 Microsoft Entra ID 和 Microsoft 帳戶的瀏覽器支援。 取用者會為 Xbox、Skype 或 Outlook.com 等服務建立 Microsoft 帳戶。
| OS | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/A |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/A | N/A | N/A |
| Linux | ✅ | ❌ | ❌ | N/A |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N/A |
注意
Authenticator 中的通行金鑰不適用於 Android 裝置上的瀏覽器,例如 Google Chrome 或 Microsoft Edge。 支援從瀏覽器使用 Authenticator 通行金鑰建立並登入,取決於 Android 平台所提供的 API 更新。
每個平台的瀏覽器支援
下表顯示每個平台都支援哪些傳輸。 支援的裝置類型包括 USB、近距離無線通訊 (NFC) 和低功耗藍牙 (BLE)。
Windows
| 瀏覽器 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
最低瀏覽器版本
以下是 Windows 的最低瀏覽器版本需求。
| 瀏覽器 | 最低版本 |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 19031 版 |
| Firefox | 66 |
1新 Chromium 型 Microsoft Edge 的所有版本都支援 FIDO2。 1903 版已新增對舊版 Microsoft Edge 的支援。
macOS
| 瀏覽器 | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/A | N/A |
| Chrome | ✅ | N/A | N/A |
| Firefox2 | ✅ | N/A | N/A |
| Safari2 | ✅ | N/A | N/A |
Apple 不支援 macOS 上的 1NFC 和 BLE 安全性金鑰。
2新的安全性金鑰註冊,無法在這些 macOS 瀏覽器運作,因為它們不會提示設定生物識別特徵或 PIN。
ChromeOS
| 瀏覽器1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1ChromeOS 或 Chrome 瀏覽器不支援安全性金鑰註冊。
Linux
| 瀏覽器 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| 瀏覽器1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/A |
| Chrome | ✅ | ✅ | N/A |
| Firefox | ✅ | ✅ | N/A |
| Safari | ✅ | ✅ | N/A |
1新的安全性金鑰註冊,無法在 iOS 瀏覽器運作,因為它們不會提示設定生物識別特徵或 PIN。
Apple 不支援 iOS 上的 2BLE 安全性金鑰。
Android
| 瀏覽器1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Android 尚不支援具有 Microsoft Entra ID 的安全性金鑰註冊。
Google 不支援 Android 上的2BLE 安全性金鑰。
已知問題
PowerShell 支援
Microsoft Graph PowerShell 支援 FIDO2。 某些使用 Internet Explorer 而非 Edge 的 PowerShell 模組無法執行 FIDO2 驗證。 例如,適用於 SharePoint Online 或 Teams 的 PowerShell 模組,或任何需要系統管理員認證的 PowerShell 指令碼,請勿提示 FIDO2。
因應措施是,大部分廠商都可以將憑證放在 FIDO2 安全性密鑰上。 憑證式驗證 (CBA) 適用於所有瀏覽器。 如果您可以針對這些系統管理員帳戶啟用 CBA,便可在過渡期間要求 CBA 而非 FIDO2。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: