支援使用 Microsoft Entra ID 進行 FIDO2 驗證
Microsoft Entra ID 允許將密鑰用於無密碼驗證。 本文涵蓋哪些原生應用程式、網頁瀏覽器和作業系統支援使用具有 Microsoft Entra ID 的密鑰進行無密碼驗證。
注意
Microsoft Entra ID 目前支援將裝置繫結通行密鑰儲存於 FIDO2 安全性密鑰和 Microsoft Authenticator。 Microsoft 致力於利用通行密鑰保護客戶和使用者。 我們正針對工作帳戶的同步處理和裝置繫結通行密鑰投入心力。
原生應用程式支援
以下章節介紹對 Microsoft 和協力廠商應用程式的支援。 目前,使用驗證代理程式的協力廠商應用程式或 macOS、iOS 或 Android 上的 Microsoft 應用程式不支援使用協力廠商識別提供者 (IDP) 進行密鑰 (FIDO2) 驗證。
具有驗證代理程式的原生應用程式支援 (預覽版)
Microsoft 應用程式針對已為其作業系統安裝驗證訊息代理程式的所有使用者,提供預覽版 FIDO2 驗證的原生支援。 使用驗證代理程式的協力廠商應用程式預覽版也支援 FIDO2 驗證。
下表列出不同作業系統支援哪些驗證代理程式。
| OS | 驗證代理程式 | 支援 FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune 公司入口網站 1 | ✅ |
| Android2 | Authenticator 或公司入口網站 | ❌ |
1在 macOS 上,需要 Microsoft 企業單一登入 (SSO) 外掛程式,才能將公司入口網站啟用為驗證代理程式。 執行 macOS 的裝置必須符合 SSO 外掛程式需求,包括行動裝置管理的註冊。 針對 FIDO2 驗證,請確定您執行的是最新版本的原生應用程式。
2Android 上 FIDO2 的原生應用程式支援目前正在開發中。
如果使用者安裝了驗證代理程式,他們可以在存取 Outlook 之類的應用程式時,選擇使用安全性金鑰登入。 系統會將他們重新導向至使用 FIDO2 登入,並在成功驗證之後,以登入的使用者身分重新導向回 Outlook。
沒有驗證代理程式的 Microsoft 應用程式支援 (預覽版)
下表列出了 Microsoft 應用程式對沒有驗證代理程式之密鑰 (FIDO2) 的支援。
| 應用程式 | macOS | iOS | Android |
|---|---|---|---|
| 遠端桌面 | ✅ | ✅ | ❌ |
| Windows 應用程式 | ✅ | ✅ | ❌ |
沒有驗證代理程式的協力廠商應用程式支援
如果使用者尚未安裝驗證代理程式,他們仍然可以在存取已啟用 MSAL 的應用程式時使用密鑰登入。 如需 MSAL 啟用應用程式需求的詳細資訊,請參閱在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證。
網頁瀏覽器支援
下表顯示使用 FIDO2 驗證 Microsoft Entra ID 和 Microsoft 帳戶的瀏覽器支援。 取用者會為 Xbox、Skype 或 Outlook.com 等服務建立 Microsoft 帳戶。
| OS | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/A |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/A | N/A | N/A |
| Linux | ✅ | ❌ | ❌ | N/A |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N/A |
注意
Authenticator 中的通行密鑰不適用於 Android 裝置上的瀏覽器,例如 Google Chrome 或 Microsoft Edge。 是否支援從瀏覽器使用 Authenticator 通行密鑰建立並登入,取決於 Android 平台所提供的 API 更新。
每個平台的網頁瀏覽器支援
下表顯示每個平台支援的傳輸。 支援的裝置類型包括 USB、近距離無線通訊 (NFC) 和低功耗藍牙 (BLE)。
Windows
| 瀏覽器 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
最低瀏覽器版本
以下是 Windows 的最低瀏覽器版本需求。
| 瀏覽器 | 最低版本 |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 1903 版1 |
| Firefox | 66 |
1新 Chromium 型 Microsoft Edge 的所有版本都支援 FIDO2。 1903 版已新增對舊版 Microsoft Edge 的支援。
macOS
| 瀏覽器 | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/A | N/A |
| Chrome | ✅ | N/A | N/A |
| Firefox2 | ✅ | N/A | N/A |
| Safari2、3 | ✅ | N/A | N/A |
1Apple 的 macOS 不支援 NFC 和 BLE 安全性金鑰。
2新的安全性金鑰註冊,無法在這些 macOS 瀏覽器運作,因為它們不會提示設定生物特徵辨識或 PIN。
3請參閱註冊超過三個密鑰時登入。
ChromeOS
| 瀏覽器1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1ChromeOS 或 Chrome 瀏覽器不支援安全性金鑰註冊。
Linux
| 瀏覽器 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| 瀏覽器1、3 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/A |
| Chrome | ✅ | ✅ | N/A |
| Firefox | ✅ | ✅ | N/A |
| Safari | ✅ | ✅ | N/A |
1新的安全性金鑰註冊,無法在 iOS 瀏覽器運作,因為它們不會提示設定生物特徵辨識或 PIN。
2Apple 的 iOS 不支援 BLE 安全性金鑰。
3請參閱註冊超過三個密鑰時登入。
Android
| 瀏覽器1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Android 尚不支援具有 Microsoft Entra ID 的安全性金鑰註冊。
2Google 的 Android 不支援 BLE 安全性金鑰。
已知問題
註冊超過三個密鑰時登入
如果您註冊了三個以上的密鑰,則可能無法使用密鑰登入。 如果您有三個以上的密鑰,因應措施是按下 [登入選項],然後在不輸入使用者名稱的情況下登入。
PowerShell 支援
Microsoft Graph PowerShell 支援 FIDO2。 某些使用 Internet Explorer 而非 Edge 的 PowerShell 模組無法執行 FIDO2 驗證。 例如,適用於 SharePoint Online 或 Teams 的 PowerShell 模組,或任何需要管理員認證的 PowerShell 指令碼,請勿提示 FIDO2。
因應措施是,大部分廠商都可以將憑證放在 FIDO2 安全性密鑰上。 憑證式驗證 (CBA) 適用於所有瀏覽器。 如果您可以針對這些管理帳戶啟用 CBA,便可在過渡期間要求 CBA 而非 FIDO2。