Ověřovací matice FIDO2 pomocí Microsoft Entra ID
Microsoft Entra ID umožňuje používat klíče (FIDO2) pro vícefaktorové ověřování bez hesla. Tento článek se zabývá nativními aplikacemi, webovými prohlížeči a operačními systémy, které podporují přihlašování pomocí klíče s ID Microsoft Entra.
Informace o povolení klíčů zabezpečení FIDO2 k odemknutí zařízení s Windows najdete v tématu Povolení přihlášení klíče zabezpečení FIDO2 k zařízením s Windows 10 a 11 pomocí Microsoft Entra ID.
Poznámka:
Id Microsoft Entra v současné době podporuje klíče vázané na zařízení uložené na klíčích zabezpečení FIDO2 a v aplikaci Microsoft Authenticator. Microsoft se zavazuje zabezpečit zákazníky a uživatele pomocí přístupových klíčů. Investovali jsme do synchronizovaných i zařízení vázaných přístupových klíčů pro pracovní účty.
Přehled
| Operační systém | Chrome | Edge | Firefox | Safari | Nativní aplikace |
|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | – | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ 1 |
| ChromeOS | ✅ | – | – | – | – |
| Linux | ✅ | ✅ | ✅ | – | ❌ |
| iOS | ✅ | ✅ | ✅ | ✅ | ✅ 1 |
| Android | ✅ | ✅ | ❌ | – | ✅ 1 |
1Vyžaduje instalaci zprostředkovatele ověřování na zařízení uživatele. Některé aplikace Microsoftu podporují ověřování pomocí klíče bez zprostředkovatele ověřování. Další informace naleznete v tématu Podpora nativních aplikací.
Důležité informace pro každou platformu
Windows
- Nejlepší zážitek z přihlášení je ve Windows 11 verze 22H2 nebo novější.
- Přihlášení pomocí klíče zabezpečení vyžaduje jednu z následujících položek:
- Windows 10 verze 1903 nebo novější
- Microsoft Edge založený na chromiu
- Chrome 76 nebo novější
- Firefox 66 nebo novější
-
Microsoft Graph PowerShellu podporuje klíč (FIDO2). Některé moduly PowerShellu, které místo Edge používají Internet Explorer, nemůžou provádět ověřování FIDO2. Například moduly PowerShellu pro SharePoint Online nebo Teams nebo skripty PowerShellu, které vyžadují přihlašovací údaje správce, nevyžadují výzvu k zadání fiDO2.
- Jako alternativní řešení může většina dodavatelů umístit certifikáty na klíče zabezpečení FIDO2. Ověřování na základě certifikátů (CBA) funguje ve všech prohlížečích. Pokud pro tyto účty správců můžete povolit CBA, můžete v přechodném období vyžadovat CBA místo FIDO2.
macOS
- Přihlášení pomocí hesla vyžaduje macOS Catalina 11.1 nebo novější pomocí Safari 14 nebo novější, protože Microsoft Entra ID vyžaduje ověření uživatele pro vícefaktorové ověřování.
- Na macOS Apple nepodporuje bezpečnostní klíče pro bezkontaktní komunikaci (NFC) a Bluetooth Low Energy (BLE).
- Registrace nového bezpečnostního klíče nefunguje v těchto prohlížečích s macOS, protože se nezobrazí výzva k nastavení biometrických údajů nebo PIN kódu.
- Podívejte se na Přihlášení, pokud je zaregistrováno více než tři přihlašovací klíče pro Safari na macOS.
ChromeOS
- Google nepodporuje bezpečnostní klíče NFC a BLE v ChromeOS.
- Registrace klíče zabezpečení není v prohlížeči ChromeOS ani Chrome podporovaná.
Linux
- Přihlášení pomocí hesla v Aplikaci Microsoft Authenticator není ve Firefoxu v Linuxu podporované.
iOS
- Přihlášení pomocí hesla vyžaduje iOS 14.3 nebo novější, protože Id Microsoft Entra vyžaduje ověření uživatele pro vícefaktorové ověřování.
- Apple nepodporuje klíče zabezpečení BLE v iOSu.
- Registrace nového bezpečnostního klíče nefunguje v prohlížečích s iOSem, protože se nezobrazují výzva k nastavení biometrických údajů nebo PIN kódu.
- Viz Přihlásit se, pokud je zaregistrovaných více než tři přístupové klíče.
Android
- Přihlášení pomocí klíče vyžaduje služby Google Play Services 21 nebo novější, protože ID Microsoft Entra vyžaduje ověření uživatele pro vícefaktorové ověřování.
- Google nepodporuje bezpečnostní klíče BLE v Androidu.
- Registrace bezpečnostního klíče u Microsoft Entra ID zatím není v Androidu podporovaná.
- Přihlášení pomocí hesla není ve Firefoxu na Androidu podporované.
Podpora nativních aplikací
V následujících částech najdete informace o podpoře ověřování pomocí klíče (FIDO2) v aplikacích Microsoftu a aplikacích třetích stran s ID Microsoft Entra.
Poznámka:
Ověřování pomocí klíče se v aplikacích třetích stran, které využívají zprostředkovatele ověřování, nebo v aplikacích Microsoftu na macOS, iOS, nebo Android, v současné době nepodporuje.
Podpora nativní aplikace s využitím zprostředkovatele ověřování
Aplikace Microsoftu poskytují nativní podporu ověřování pomocí klíče pro všechny uživatele, kteří mají pro svůj operační systém nainstalovaný zprostředkovatele ověřování. Ověřování pomocí klíče je také podporováno pro aplikace třetích stran pomocí zprostředkovatele ověřování.
Pokud uživatel nainstaloval zprostředkovatele ověřování, může se při přístupu k aplikaci, jako je Outlook, přihlásit pomocí klíče. Přesměrují se na přihlášení pomocí klíče a po úspěšném ověření se přesměrují zpět do Outlooku jako přihlášený uživatel.
Následující tabulky uvádí, které zprostředkovatelé ověřování jsou podporovány pro různé operační systémy.
| Operační systém | Zprostředkovatel ověřování |
|---|---|
| iOS | Microsoft Authenticator |
| macOS | Portál společnosti Microsoft Intune |
| Android | Aplikace Authenticator, Portál společnosti nebo Propojit s Windows |
iOS
- Přihlášení pomocí hesla v nativních aplikacích bez modulu plug-in Jednotného přihlašování (SSO) Microsoft Enterprise vyžaduje iOS 16.0 nebo novější.
- Přihlášení pomocí hesla v nativních aplikacích pomocí modulu plug-in SSO vyžaduje iOS 17.1 nebo novější.
macOS
- Na macOS je zásuvný modul Microsoft Enterprise Single Sign On (SSO) vyžadován k povolení Portálu společnosti jako zprostředkovatele ověřování. Zařízení s macOS musí splňovat požadavky modulu plug-in jednotného přihlašování, včetně registrace ve správě mobilních zařízení.
- Přihlášení pomocí hesla v nativních aplikacích pomocí modulu plug-in SSO vyžaduje macOS 14.0 nebo novější.
Android
- Přihlášení pomocí klíče zabezpečení FIDO2 k nativním aplikacím vyžaduje Android 13 nebo novější.
- Přihlášení pomocí hesla v Microsoft Authenticatoru k nativním aplikacím vyžaduje Android 14 nebo novější.
Podpora aplikací Microsoftu bez zprostředkovatele ověřování
Následující tabulka uvádí podporu aplikací Microsoftu pro klíč (FIDO2) bez zprostředkovatele ověřování.
| Aplikace | macOS | iOS | Android |
|---|---|---|---|
| Vzdálená plocha | ✅ | ✅ | ❌ |
| Aplikace pro Windows | ✅ | ✅ | ❌ |
Podpora aplikací třetích stran bez zprostředkovatele ověřování
Pokud uživatel ještě musí nainstalovat zprostředkovatele ověřování, může se při přístupu k aplikacím s podporou MSAL přihlásit pomocí klíče. Další informace o požadavcích pro aplikace s podporou MSAL najdete v tématu Podpora ověřování bez hesla pomocí klíčů FIDO2 v aplikacích, které vyvíjíte.
Známé problémy
Přihlášení při registraci více než tří klíčů
Pokud jste zaregistrovali více než tři klíče, přihlášení pomocí klíče nemusí fungovat v iOSu nebo Safari v macOS. Pokud máte více než tři klíče, jako alternativní řešení, klikněte na Možnosti přihlášení a přihlaste se bez zadání uživatelského jména.
