使用 Microsoft Entra ID 支援 FIDO2 驗證
Microsoft Entra ID 允許將複雜金鑰用於無密碼驗證。 本文涵蓋哪些原生應用程式、網頁瀏覽器和操作系統支援使用具有 Microsoft Entra 識別碼的通行密鑰進行無密碼驗證。
注意
Microsoft Entra ID 目前支持儲存在 FIDO2 安全性密鑰和 Microsoft Authenticator 上的裝置系結通行密鑰。 Microsoft 致力於使用複雜金鑰保護客戶和使用者。 我們正在為工作帳戶投資同步處理和裝置系結的通行密鑰。
原生應用程式支援
驗證代理人的原生應用程式支援 (預覽)
Microsoft 應用程式為已為其作業系統安裝驗證代理程式的所有使用者,提供預覽版 FIDO2 驗證的原生支援。 使用驗證代理程式的第三方應用程式預覽版也支援 FIDO2 驗證。
下表列出不同作業系統支援哪些驗證代理程式。
| OS | 驗證代理人 | 支援 FIDO2 |
|---|---|---|
| iOS | Microsoft 驗證器 | ✅ |
| macOS | Microsoft Intune 公司入口網站 1 | ✅ |
| Android2 | 驗證器或 公司入口網站 | ❌ |
1在macOS上,需要 Microsoft Enterprise 單一登入 (SSO) 外掛程式,才能將 公司入口網站 作為驗證代理程式。 執行macOS的裝置必須符合 SSO 外掛程式需求,包括行動裝置管理的註冊。 針對 FIDO2 驗證,請確定您執行的是最新版本的原生應用程式。
2Android 上的 FIDO2 原生應用程式支援正在開發中。
如果使用者安裝了驗證代理程式,他們可以在存取 Outlook 之類的應用程式時,選擇使用安全性密鑰登入。 系統會將他們重新導向至使用 FIDO2 登入,並在成功驗證之後重新導向回 Outlook 作為登入的使用者。
沒有驗證代理人的 Microsoft 應用程式支援
當使用者目前不支援 iOS、macOS 和 Android 上的驗證代理人時,使用 FIDO2 驗證登入 Microsoft 原生應用程式。
沒有驗證代理人的第三方應用程式支援
如果使用者尚未安裝驗證代理程式,他們仍然可以在存取已啟用 MSAL 的應用程式時使用安全性金鑰登入。 如需 MSAL 啟用應用程式需求的詳細資訊,請參閱 在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證。
Web 瀏覽器支援
下表顯示使用 FIDO2 驗證 Microsoft Entra ID 和 Microsoft 帳戶的瀏覽器支援。 取用者會為 Xbox、Skype 或 Outlook.com 等服務建立 Microsoft 帳戶。
| OS | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/A |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/A | N/A | N/A |
| Linux | ✅ | ❌ | ❌ | N/A |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N/A |
注意
Authenticator 中的複雜密鑰不適用於 Android 裝置上的 Google Chrome 或 Microsoft Edge 等瀏覽器。 支援使用來自瀏覽器的 Authenticator 複雜金鑰來建立和登入,取決於 Android 平臺所提供的 API 更新。
每個平臺的網頁瀏覽器支援
下表顯示每個平台都支援哪些傳輸。 支援的裝置類型包括 USB、近距離通信(NFC)和藍牙低能(BLE)。
Windows
| 瀏覽器 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
瀏覽器版本下限
以下是 Windows 的最低瀏覽器版本需求。
| 瀏覽器 | 最小版本 |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 版本 19031 |
| Firefox | 66 |
1新 Chromium 型 Microsoft Edge 的所有版本都支援 FIDO2。 Microsoft Edge 舊版的支援已於 1903 年新增。
macOS
| 瀏覽器 | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/A | N/A |
| Chrome | ✅ | N/A | N/A |
| Firefox2 | ✅ | N/A | N/A |
| Safari2 | ✅ | N/A | N/A |
MacOS 不支援 1NFC 和 BLE 安全性金鑰。
2新的安全性金鑰註冊無法在這些 macOS 瀏覽器中運作,因為它們不會提示設定生物特徵辨識或 PIN。
ChromeOS
| 瀏覽器1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1ChromeOS 或 Chrome 瀏覽器不支援安全性金鑰註冊。
Linux
| 瀏覽器 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| 瀏覽器1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/A |
| Chrome | ✅ | ✅ | N/A |
| Firefox | ✅ | ✅ | N/A |
| Safari | ✅ | ✅ | N/A |
1新的安全性金鑰註冊無法在 iOS 瀏覽器中運作,因為它們不會提示設定生物特徵辨識或 PIN。
Apple 不支援 2BLE 安全性金鑰。
Android
| 瀏覽器1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Android 尚不支援使用 Microsoft Entra 識別碼進行安全性密鑰註冊。
Google 不支援 2BLE 安全性金鑰。
已知問題
PowerShell 支援
Microsoft Graph PowerShell 支援 FIDO2。 某些使用 Internet Explorer 而非 Edge 的 PowerShell 模組無法執行 FIDO2 驗證。 例如,適用於 SharePoint Online 或 Teams 的 PowerShell 模組,或任何需要系統管理員認證的 PowerShell 腳本,請勿提示 FIDO2。
因應措施是,大部分廠商都可以將憑證放在 FIDO2 安全性密鑰上。 憑證式驗證 (CBA) 適用於所有瀏覽器。 如果您可以針對這些系統管理員帳戶啟用 CBA,您可以在過渡期間要求 CBA,而不是 FIDO2。