Obsługa uwierzytelniania FIDO2 za pomocą identyfikatora Entra firmy Microsoft
Identyfikator Entra firmy Microsoft umożliwia używanie kluczy dostępu do uwierzytelniania bez hasła. W tym artykule opisano, które aplikacje natywne, przeglądarki internetowe i systemy operacyjne obsługują uwierzytelnianie bez hasła przy użyciu kluczy dostępu z identyfikatorem Entra firmy Microsoft.
Nuta
Identyfikator Entra firmy Microsoft obsługuje obecnie powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 i w aplikacji Microsoft Authenticator. Firma Microsoft zobowiązuje się do zabezpieczania klientów i użytkowników przy użyciu kluczy dostępu. Inwestujemy zarówno w zsynchronizowane, jak i powiązane z urządzeniami klucz dostępu dla kont służbowych.
Obsługa aplikacji natywnych
W poniższych sekcjach omówiono obsługę aplikacji firmy Microsoft i innych firm. Uwierzytelnianie typu Passkey (FIDO2) za pomocą dostawcy tożsamości innej firmy (IDP) nie jest obecnie obsługiwane w aplikacjach innych firm przy użyciu brokera uwierzytelniania ani aplikacji firmy Microsoft w systemach macOS, iOS lub Android.
Natywna obsługa aplikacji przy użyciu brokera uwierzytelniania (wersja zapoznawcza)
Aplikacje firmy Microsoft zapewniają natywną obsługę uwierzytelniania FIDO2 w wersji zapoznawczej dla wszystkich użytkowników, którzy mają zainstalowanego brokera uwierzytelniania dla swojego systemu operacyjnego. Uwierzytelnianie FIDO2 jest również obsługiwane w wersji zapoznawczej dla aplikacji innych firm przy użyciu brokera uwierzytelniania.
W poniższych tabelach wymieniono, które brokery uwierzytelniania są obsługiwane w różnych systemach operacyjnych.
| System operacyjny | Broker uwierzytelniania | Obsługuje standard FIDO2 |
|---|---|---|
| Ios | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune — Portal firmy 1 | ✅ |
| Android2 | Wystawca uwierzytelniania lub Portal firmy | ❌ |
1W systemie macOS wtyczka Microsoft Enterprise Logowanie jednokrotne (SSO) jest wymagana do włączenia Portal firmy jako brokera uwierzytelniania. Urządzenia z systemem macOS muszą spełniać wymagania dotyczące wtyczki logowania jednokrotnego, w tym rejestracji w zarządzaniu urządzeniami przenośnymi. W przypadku uwierzytelniania FIDO2 upewnij się, że uruchomiono najnowszą wersję aplikacji natywnych.
2 Natywna obsługa aplikacji FIDO2w systemie Android jest w programowania.
Jeśli użytkownik zainstalował brokera uwierzytelniania, może zdecydować się na zalogowanie się przy użyciu klucza zabezpieczeń podczas uzyskiwania dostępu do aplikacji, takiej jak Outlook. Są one przekierowywane do logowania za pomocą fiDO2 i przekierowywane z powrotem do programu Outlook jako zalogowany użytkownik po pomyślnym uwierzytelnieniu.
Obsługa aplikacji firmy Microsoft bez brokera uwierzytelniania (wersja zapoznawcza)
W poniższej tabeli wymieniono obsługę aplikacji firmy Microsoft dla klucza dostępu (FIDO2) bez brokera uwierzytelniania.
| Aplikacja | macOS | Ios | Android |
|---|---|---|---|
| Pulpit zdalny | ✅ | ✅ | ❌ |
| Aplikacja systemu Windows | ✅ | ✅ | ❌ |
Obsługa aplikacji innych firm bez brokera uwierzytelniania
Jeśli użytkownik nie zainstalował jeszcze brokera uwierzytelniania, nadal może zalogować się przy użyciu klucza dostępu podczas uzyskiwania dostępu do aplikacji z obsługą biblioteki MSAL. Aby uzyskać więcej informacji na temat wymagań dotyczących aplikacji z obsługą biblioteki MSAL, zobacz Obsługa uwierzytelniania bez hasła przy użyciu kluczy FIDO2 w opracowywanych aplikacjach.
Obsługa przeglądarki internetowej
W tej tabeli przedstawiono obsługę przeglądarki na potrzeby uwierzytelniania kont Microsoft Entra ID i Microsoft przy użyciu fiDO2. Konsumenci tworzą konta Microsoft dla usług, takich jak Xbox, Skype lub Outlook.com.
| System operacyjny | Chrom | Brzeg | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/A |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/A | N/A | N/A |
| Linux | ✅ | ❌ | ❌ | N/A |
| Ios | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅1 | ❌ | N/A |
1Obsługa rejestracji tego samego urządzenia w przeglądarce Microsoft Edge w systemie Android będzie dostępna wkrótce.
Obsługa przeglądarki internetowej dla każdej platformy
W poniższych tabelach pokazano, które transporty są obsługiwane dla każdej platformy. Obsługiwane typy urządzeń obejmują USB, komunikację zbliżeniową (NFC) i bluetooth o niskiej energii (BLE).
Windows
| Przeglądarka | USB | NFC | BLE |
|---|---|---|---|
| Brzeg | ✅ | ✅ | ✅ |
| Chrom | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Minimalna wersja przeglądarki
Poniżej przedstawiono minimalne wymagania dotyczące wersji przeglądarki w systemie Windows.
| Przeglądarka | Minimalna wersja |
|---|---|
| Chrom | 76 |
| Brzeg | Windows 10 w wersji 19031 |
| Firefox | 66 |
1Wszystkie wersje nowej przeglądarki Microsoft Edge opartej na chromium obsługują standard FIDO2. Obsługa starszej wersji przeglądarki Microsoft Edge została dodana w 1903 roku.
macOS
| Przeglądarka | USB | NFC1 | BLE1 |
|---|---|---|---|
| Brzeg | ✅ | N/A | N/A |
| Chrom | ✅ | N/A | N/A |
| Firefox2 | ✅ | N/A | N/A |
| Safari2,3 | ✅ | N/A | N/A |
1Klucze zabezpieczeń NFC i BLE nie są obsługiwane w systemie macOS przez firmę Apple.
2Nowa rejestracja klucza zabezpieczeń nie działa w tych przeglądarkach systemu macOS, ponieważ nie monituje o skonfigurowanie biometrycznych ani numeru PIN.
3Zobacz Logowanie, gdy zarejestrowano więcej niż trzy klucza dostępu.
ChromeOS
| Przeglądarka1 | USB | NFC | BLE |
|---|---|---|---|
| Chrom | ✅ | ❌ | ❌ |
1Rejestracja klucza zabezpieczeń nie jest obsługiwana w przeglądarce ChromeOS ani Chrome.
Linux
| Przeglądarka | USB | NFC | BLE |
|---|---|---|---|
| Brzeg | ❌ | ❌ | ❌ |
| Chrom | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
Ios
| Przeglądarka1,3 | Piorun | NFC | BLE2 |
|---|---|---|---|
| Brzeg | ✅ | ✅ | N/A |
| Chrom | ✅ | ✅ | N/A |
| Firefox | ✅ | ✅ | N/A |
| Safari | ✅ | ✅ | N/A |
1Nowa rejestracja klucza zabezpieczeń nie działa w przeglądarkach systemu iOS, ponieważ nie monituje o skonfigurowanie biometrycznych ani numeru PIN.
2Klucze zabezpieczeń BLE nie są obsługiwane w systemie iOS przez firmę Apple.
3Zobacz Logowanie, gdy zarejestrowano więcej niż trzy klucza dostępu.
Android
| Przeglądarka1 | USB | NFC | BLE2 |
|---|---|---|---|
| Brzeg | ✅ | ❌ | ❌ |
| Chrom | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Rejestracja klucza zabezpieczeń przy użyciu identyfikatora Entra firmy Microsoft nie jest jeszcze obsługiwana w systemie Android.
2Klucze zabezpieczeń BLE nie są obsługiwane w systemie Android przez firmę Google.
Znane problemy
Zaloguj się po zarejestrowaniu więcej niż trzech kluczy dostępu
Jeśli zarejestrowano więcej niż trzy klucza dostępu, logowanie się przy użyciu klucza dostępu może nie działać. Jeśli masz więcej niż trzy klucze dostępu, jako obejście kliknij pozycję Opcje logowania i zaloguj się bez wprowadzania nazwy użytkownika.
Obsługa programu PowerShell
Program Microsoft Graph PowerShell obsługuje standard FIDO2. Niektóre moduły programu PowerShell korzystające z programu Internet Explorer zamiast przeglądarki Edge nie mogą wykonywać uwierzytelniania FIDO2. Na przykład moduły programu PowerShell dla usługi SharePoint Online lub Teams albo skrypty programu PowerShell, które wymagają poświadczeń administratora, nie wyświetlają monitu o podanie standardu FIDO2.
Aby obejść ten problem, większość dostawców może umieszczać certyfikaty na kluczach zabezpieczeń FIDO2. Uwierzytelnianie oparte na certyfikatach (CBA) działa we wszystkich przeglądarkach. Jeśli możesz włączyć cba dla tych kont administratorów, możesz wymagać CBA zamiast FIDO2 w międzyczasie.