Podpora ověřování FIDO2 s ID Microsoft Entra
Id Microsoft Entra umožňuje použití přístupových klíčů pro ověřování bez hesla. Tento článek se zabývá nativními aplikacemi, webovými prohlížeči a operačními systémy, které podporují ověřování bez hesla pomocí přístupových klíčů s ID Microsoft Entra.
Poznámka:
Id Microsoft Entra v současné době podporuje klíče vázané na zařízení uložené na klíčích zabezpečení FIDO2 a v aplikaci Microsoft Authenticator. Microsoft se zavazuje zabezpečit zákazníky a uživatele pomocí přístupových klíčů. Investovali jsme do synchronizovaných i zařízení vázaných přístupových klíčů pro pracovní účty.
Podpora nativních aplikací
Následující části se týkají podpory pro aplikace Microsoftu a třetích stran. Ověřování pomocí klíče (FIDO2) s zprostředkovatelem identity třetí strany (IDP) se v aplikacích třetích stran nepodporuje pomocí zprostředkovatele ověřování nebo aplikací Microsoftu v systému macOS, iOS nebo Android.
Podpora nativní aplikace s využitím zprostředkovatele ověřování
Aplikace Microsoftu poskytují nativní podporu ověřování FIDO2 pro všechny uživatele, kteří mají pro svůj operační systém nainstalovaný zprostředkovatele ověřování. Ověřování FIDO2 je také podporováno pro aplikace třetích stran pomocí zprostředkovatele ověřování.
Následující tabulky uvádí, které zprostředkovatelé ověřování jsou podporovány pro různé operační systémy.
| Operační systém | Zprostředkovatel ověřování | Podporuje FIDO2. |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Portál společnosti Intune 1 | ✅ |
| Android2 | Aplikace Authenticator, Portál společnosti nebo Propojit s Windows | ✅ |
1V systému macOS je modul plug-in Microsoft Enterprise Jednotné přihlašování (SSO) nutný k povolení Portál společnosti jako zprostředkovatele ověřování. Zařízení s macOS musí splňovat požadavky modulu plug-in jednotného přihlašování, včetně registrace ve správě mobilních zařízení. V případě ověřování FIDO2 se ujistěte, že používáte nejnovější verzi nativních aplikací.
2Podpora nativních aplikací pro klíče zabezpečení FIDO2 v Androidu verze 13 a nižší je ve vývoji.
Pokud uživatel nainstaloval zprostředkovatele ověřování, může se při přístupu k aplikaci, jako je Outlook, přihlásit pomocí klíče zabezpečení. Přesměrují se na přihlášení pomocí FIDO2 a po úspěšném ověření se přesměrují zpátky do Outlooku jako přihlášený uživatel.
Podpora aplikací Microsoftu bez zprostředkovatele ověřování
Následující tabulka uvádí podporu aplikací Microsoftu pro klíč (FIDO2) bez zprostředkovatele ověřování.
| Aplikace | macOS | iOS | Android |
|---|---|---|---|
| Vzdálená plocha | ✅ | ✅ | ❌ |
| Aplikace pro Windows | ✅ | ✅ | ❌ |
Podpora aplikací třetích stran bez zprostředkovatele ověřování
Pokud uživatel ještě musí nainstalovat zprostředkovatele ověřování, může se při přístupu k aplikacím s podporou MSAL přihlásit pomocí klíče. Další informace o požadavcích pro aplikace s podporou MSAL najdete v tématu Podpora ověřování bez hesla pomocí klíčů FIDO2 v aplikacích, které vyvíjíte.
Podpora webového prohlížeče
Tato tabulka ukazuje podporu prohlížeče pro ověřování účtů Microsoft Entra a Microsoft pomocí FIDO2. Uživatelé vytvářejí účty Microsoft pro služby, jako je Xbox, Skype nebo Outlook.com.
| Operační systém | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | – |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | – | – | N/A |
| Linux | ✅ | ❌ | ❌ | – |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅1 | ❌ | – |
1Podpora přístupových klíčů v Authenticatoru pomocí Edge na zařízeních s Androidem bude brzy k dispozici.
Podpora webového prohlížeče pro každou platformu
Následující tabulky ukazují, které přenosy jsou podporovány pro každou platformu. Mezi podporované typy zařízení patří USB, bezkontaktní komunikace (NFC) a nízká energie bluetooth (BLE).
Windows
| Prohlížeč | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Minimální verze prohlížeče
Níže jsou uvedené minimální požadavky na verzi prohlížeče ve Windows.
| Prohlížeč | Minimální verze |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 verze 19031 |
| Firefox | 66 |
1Všechny verze nového Chromium-based Microsoft Edge podporují FIDO2. Podpora starší verze Microsoft Edge byla přidána v roce 1903.
macOS
| Prohlížeč | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | – | N/A |
| Chrome | ✅ | – | N/A |
| Firefox2 | ✅ | – | N/A |
| Safari2,3 | ✅ | – | N/A |
Apple nepodporuje 1bezpečnostní klíče NFC a BLE.
2Registrace nového bezpečnostního klíče nefunguje v těchto prohlížečích s macOS, protože se nezobrazí výzva k nastavení biometrických údajů nebo PIN kódu.
3Viz Přihlášení, pokud je zaregistrovaných více než tři klíče.
ChromeOS
| Prohlížeč1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Registrace bezpečnostního klíče není podporována v prohlížeči ChromeOS nebo Chrome.
Linux
| Prohlížeč | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Prohlížeč1,3 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | – |
| Chrome | ✅ | ✅ | – |
| Firefox | ✅ | ✅ | – |
| Safari | ✅ | ✅ | – |
1Nová registrace bezpečnostního klíče nefunguje v prohlížečích s iOSem, protože se nezobrazují výzva k nastavení biometrických údajů nebo PIN kódu.
Apple nepodporuje 2bezpečnostní klíče BLE.
3Viz Přihlášení, pokud je zaregistrovaných více než tři klíče.
Android
| Prohlížeč1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Registrace bezpečnostního klíče s ID Microsoft Entra zatím není v Androidu podporovaná.
Google nepodporuje 2bezpečnostní klíče BLE v Androidu.
Známé problémy
Přihlášení při registraci více než tří klíčů
Pokud jste zaregistrovali více než tři klíče, nemusí přihlášení pomocí klíče fungovat. Pokud máte více než tři klíče, jako alternativní řešení, klikněte na Možnosti přihlášení a přihlaste se bez zadání uživatelského jména.
Podpora prostředí PowerShell
Microsoft Graph PowerShell podporuje FIDO2. Některé moduly PowerShellu, které místo Edge používají Internet Explorer, nemůžou provádět ověřování FIDO2. Například moduly PowerShellu pro SharePoint Online nebo Teams nebo skripty PowerShellu, které vyžadují přihlašovací údaje správce, nevyžadují výzvu k zadání fiDO2.
Jako alternativní řešení může většina dodavatelů umístit certifikáty na klíče zabezpečení FIDO2. Ověřování na základě certifikátů (CBA) funguje ve všech prohlížečích. Pokud pro tyto účty správců můžete povolit CBA, můžete v přechodném období vyžadovat CBA místo FIDO2.