Stöd för FIDO2-autentisering med Microsoft Entra-ID

Med Microsoft Entra-ID kan nyckelnycklar användas för lösenordslös autentisering. Den här artikeln beskriver vilka inbyggda program, webbläsare och operativsystem som stöder lösenordslös autentisering med hjälp av nyckelnycklar med Microsoft Entra-ID.

Kommentar

Microsoft Entra-ID stöder för närvarande enhetsbundna nycklar som lagras på FIDO2-säkerhetsnycklar och i Microsoft Authenticator. Microsoft har åtagit sig att skydda kunder och användare med nyckelnycklar. Vi investerar i både synkroniserade och enhetsbundna nyckelnycklar för arbetskonton.

Stöd för inbyggt program

Följande avsnitt beskriver stöd för Microsoft och program från tredje part. Lösenordsautentisering (FIDO2) med en identitetsprovider från tredje part (IDP) stöds inte i program från tredje part med autentiseringskoordinator eller Microsoft-program på macOS, iOS eller Android för tillfället.

Internt programstöd med autentiseringskoordinator (förhandsversion)

Microsoft-program ger internt stöd för FIDO2-autentisering i förhandsversion för alla användare som har en autentiseringskoordinator installerad för sitt operativsystem. FIDO2-autentisering stöds också som förhandsversion för program från tredje part med hjälp av autentiseringskoordinatorn.

I följande tabeller visas vilka autentiseringskoordinatorer som stöds för olika operativsystem.

OS Autentiseringskoordinator Stöder FIDO2
iOS Microsoft Authenticator
macOS Microsoft Intune-företagsportal 1
Android2 Authenticator, Företagsportal eller Länk till Windows app

1På macOS krävs plugin-programmet Microsoft Enterprise Enkel inloggning (SSO) för att aktivera Företagsportal som autentiseringskoordinator. Enheter som kör macOS måste uppfylla kraven för SSO-plugin-program, inklusive registrering i hantering av mobila enheter. För FIDO2-autentisering kontrollerar du att du kör den senaste versionen av inbyggda program.

2Inbyggt programstöd för FIDO2-säkerhetsnycklar på Android version 13 och lägre är under utveckling.

Om en användare har installerat en autentiseringskoordinator kan de välja att logga in med en säkerhetsnyckel när de får åtkomst till ett program som Outlook. De omdirigeras för att logga in med FIDO2 och omdirigeras tillbaka till Outlook som inloggad användare efter lyckad autentisering.

Stöd för Microsoft-program utan autentiseringskoordinator (förhandsversion)

I följande tabell visas Microsoft-programstöd för nyckel (FIDO2) utan asynkron autentiseringskoordinator.

Program macOS iOS Android
Fjärrskrivbord
Windows-app

Stöd för program från tredje part utan autentiseringskoordinator

Om användaren ännu inte har installerat en autentiseringskoordinator kan de fortfarande logga in med en nyckel när de får åtkomst till MSAL-aktiverade program. Mer information om kraven för MSAL-aktiverade program finns i Stöd för lösenordslös autentisering med FIDO2-nycklar i appar som du utvecklar.

Stöd för webbläsare

Den här tabellen visar webbläsarstöd för autentisering av Microsoft Entra-ID och Microsoft-konton med hjälp av FIDO2. Konsumenter skapar Microsoft-konton för tjänster som Xbox, Skype eller Outlook.com.

OS Chrome Edge Firefox Safari
Windows Ej tillämpligt
macOS
ChromeOS Saknas Saknas Saknas
Linux Ej tillämpligt
iOS
Android 1 Ej tillämpligt

1Stöd för nyckelnycklar i Authenticator med Edge på Android-enheter kommer snart.

Stöd för webbläsare för varje plattform

Följande tabeller visar vilka transporter som stöds för varje plattform. Enhetstyper som stöds är USB, NFC (near-field communication) och bluetooth low energy (BLE).

Windows

Webbläsare USB NFC BLE
Edge
Chrome
Firefox

Lägsta webbläsarversion

Följande är minimikraven för webbläsarversion i Windows.

Webbläsare Minimiversion
Chrome 76
Edge Windows 10 version 19031
Firefox 66

1Alla versioner av den nya Chromium-baserade Microsoft Edge stöder FIDO2. Stöd för Microsoft Edge-äldre lades till 1903.

macOS

Webbläsare USB NFC1 BLE1
Edge Saknas Saknas
Chrome Saknas Saknas
Firefox2 Saknas Saknas
Safari2,3 Saknas Saknas

1NFC- och BLE-säkerhetsnycklar stöds inte på macOS av Apple.

2Ny registrering av säkerhetsnycklar fungerar inte i dessa macOS-webbläsare eftersom de inte uppmanar till att konfigurera biometri eller PIN-kod.

3Se Logga in när fler än tre nycklar är registrerade.

ChromeOS

Webbläsare1 USB NFC BLE
Chrome

1Registrering av säkerhetsnycklar stöds inte i Webbläsaren ChromeOS eller Chrome.

Linux

Webbläsare USB NFC BLE
Edge
Chrome
Firefox

iOS

Webbläsare1,3 Lightning NFC BLE2
Edge Ej tillämpligt
Chrome Ej tillämpligt
Firefox Ej tillämpligt
Safari Ej tillämpligt

1Ny registrering av säkerhetsnycklar fungerar inte i iOS-webbläsare eftersom de inte uppmanas att konfigurera biometri eller PIN-kod.

2BLE-säkerhetsnycklar stöds inte på iOS av Apple.

3Se Logga in när fler än tre nycklar är registrerade.

Android

Webbläsare1 USB NFC BLE2
Edge
Chrome
Firefox

1Registrering av säkerhetsnycklar med Microsoft Entra-ID stöds ännu inte på Android.

2BLE-säkerhetsnycklar stöds inte på Android av Google.

Kända problem

Logga in när fler än tre nycklar har registrerats

Om du har registrerat fler än tre nycklar kanske inloggningen med en nyckel inte fungerar. Om du har fler än tre nycklar klickar du på Inloggningsalternativ och loggar in utan att ange ett användarnamn.

Skärmbild av inloggningsalternativ.

PowerShell-stöd

Microsoft Graph PowerShell stöder FIDO2. Vissa PowerShell-moduler som använder Internet Explorer i stället för Edge kan inte utföra FIDO2-autentisering. PowerShell-moduler för SharePoint Online eller Teams, eller powershell-skript som kräver administratörsautentiseringsuppgifter, frågar till exempel inte efter FIDO2.

Som en lösning kan de flesta leverantörer placera certifikat på FIDO2-säkerhetsnycklarna. Certifikatbaserad autentisering (CBA) fungerar i alla webbläsare. Om du kan aktivera CBA för dessa administratörskonton kan du kräva CBA i stället för FIDO2 under tiden.

Nästa steg

Aktivera inloggning med lösenordslös säkerhetsnyckel