Ověřovací matice FIDO2 pomocí Microsoft Entra ID

Microsoft Entra ID umožňuje používat klíče (FIDO2) pro vícefaktorové ověřování bez hesla. Tento článek se zabývá nativními aplikacemi, webovými prohlížeči a operačními systémy, které podporují přihlašování pomocí klíče s ID Microsoft Entra.

Informace o povolení klíčů zabezpečení FIDO2 k odemknutí zařízení s Windows najdete v tématu Povolení přihlášení klíče zabezpečení FIDO2 k zařízením s Windows 10 a 11 pomocí Microsoft Entra ID.

Poznámka:

Id Microsoft Entra v současné době podporuje klíče vázané na zařízení uložené na klíčích zabezpečení FIDO2 a v aplikaci Microsoft Authenticator. Microsoft se zavazuje zabezpečit zákazníky a uživatele pomocí přístupových klíčů. Investujeme do synchronizovaných a na zařízení vázaných přístupových klíčů pro pracovní účty.

Webové prohlížeče

Následující část popisuje podporu ověřování pomocí klíče (FIDO2) ve webových prohlížečích s ID Microsoft Entra.

Operační systém	Chrome	Edge	Firefox	Safari
Windows	✅	✅	✅	Není k dispozici
macOS	✅	✅	✅	✅
ChromeOS	✅	–	–	Nedostupné
Linux	✅	✅	✅	–
iOS	✅	✅	✅	✅
Android	✅	✅	❌	není k dispozici

Důležité informace pro každou platformu

Windows

• Přihlášení pomocí klíče zabezpečení vyžaduje jednu z následujících položek:
  • Windows 10 verze 1903 nebo novější
  • Microsoft Edge založený na chromiu
  • Chrome 76 nebo novější
  • Firefox 66 nebo novější

macOS

• Přihlášení pomocí hesla vyžaduje macOS Catalina 11.1 nebo novější pomocí Safari 14 nebo novější, protože Microsoft Entra ID vyžaduje ověření uživatele pro vícefaktorové ověřování.
• Na macOS Apple nepodporuje bezpečnostní klíče pro bezkontaktní komunikaci (NFC) a Bluetooth Low Energy (BLE).
• Registrace nového bezpečnostního klíče nefunguje v těchto prohlížečích s macOS, protože se nezobrazí výzva k nastavení biometrických údajů nebo PIN kódu.
• Podívejte se na Přihlášení, pokud je zaregistrováno více než tři přihlašovací klíče pro Safari na macOS.

ChromeOS

• Google nepodporuje bezpečnostní klíče NFC a BLE v ChromeOS.
• Registrace klíče zabezpečení není v prohlížeči ChromeOS ani Chrome podporovaná.

Linux

• Přihlášení pomocí hesla v Aplikaci Microsoft Authenticator není ve Firefoxu v Linuxu podporované.

iOS

• Přihlášení pomocí hesla vyžaduje iOS 14.3 nebo novější, protože Id Microsoft Entra vyžaduje ověření uživatele pro vícefaktorové ověřování.
• Apple nepodporuje klíče zabezpečení BLE v iOSu.
• Apple nepodporuje NFC s certifikovanými bezpečnostními klíči FIPS 140-3 na iOS.
• Registrace nového bezpečnostního klíče nefunguje v prohlížečích s iOSem, protože se nezobrazují výzva k nastavení biometrických údajů nebo PIN kódu.
• Viz Přihlásit se, pokud je zaregistrovaných více než tři přístupové klíče.

Android

• Přihlášení pomocí klíče vyžaduje služby Google Play Services 21 nebo novější, protože ID Microsoft Entra vyžaduje ověření uživatele pro vícefaktorové ověřování.
• Google nepodporuje bezpečnostní klíče BLE v Androidu.
• Registrace bezpečnostního klíče u Microsoft Entra ID zatím není v Androidu podporovaná.
• Přihlášení pomocí hesla není ve Firefoxu na Androidu podporované.

Známé problémy

Přihlášení, když je zaregistrováno více než tři přístupové klíče

Pokud jste zaregistrovali více než tři klíče, přihlášení pomocí klíče nemusí fungovat v iOSu nebo Safari v macOS. Pokud máte více než tři klíče, jako alternativní řešení, klikněte na Možnosti přihlášení a přihlaste se bez zadání uživatelského jména.

nativní aplikace

Následující část popisuje podporu ověřování pomocí klíče (FIDO2) v aplikacích Microsoftu a aplikacích třetích stran s ID Microsoft Entra.

Poznámka:

Ověřování pomocí klíče se v aplikacích třetích stran, které využívají zprostředkovatele ověřování, nebo v aplikacích Microsoftu na macOS, iOS, nebo Android, v současné době nepodporuje.

Podpora nativní aplikace s využitím zprostředkovatele ověřování

Aplikace Microsoftu poskytují nativní podporu ověřování pomocí klíče pro všechny uživatele, kteří mají pro svůj operační systém nainstalovaný zprostředkovatele ověřování. Ověřování pomocí klíče je také podporováno pro aplikace třetích stran pomocí zprostředkovatele ověřování.

Pokud uživatel nainstaloval zprostředkovatele ověřování, může se při přístupu k aplikaci, jako je Outlook, přihlásit pomocí klíče. Přesměrují se na přihlášení pomocí klíče a po úspěšném ověření se přesměrují zpět do Outlooku jako přihlášený uživatel.

Následující tabulky uvádí, které zprostředkovatelé ověřování jsou podporovány pro různé operační systémy.

Operační systém	Zprostředkovatel ověřování
iOS	Microsoft Authenticator
macOS	Portál společnosti Microsoft Intune
Android	Aplikace Authenticator, Portál společnosti nebo Propojit s Windows

Podpora aplikací Microsoftu bez zprostředkovatele ověřování

Následující tabulka uvádí podporu aplikací Microsoftu pro klíč (FIDO2) bez zprostředkovatele ověřování. Aktualizujte své aplikace na nejnovější verzi, abyste zajistili, že budou fungovat s přístupovými klíči.

Aplikace	macOS	iOS	Android
Vzdálená plocha	✅	✅	❌
Aplikace pro Windows	✅	✅	❌
Microsoft 365 Copilot (Office)	Nenalezeno	✅	❌
Slovo	✅	✅	❌
PowerPoint	✅	✅	❌
Excel	✅	✅	❌
OneNote	✅	✅	❌
Cyklus	–	✅	❌
OneDrive	✅	✅	❌
Vyhlídka	✅	✅	❌
Týmy	✅	✅	❌
Edge	✅	✅	❌

Podpora aplikací třetích stran bez zprostředkovatele ověřování

Pokud uživatel ještě musí nainstalovat zprostředkovatele ověřování, může se při přístupu k aplikacím s podporou MSAL přihlásit pomocí klíče. Další informace o požadavcích pro aplikace s podporou MSAL najdete v tématu Podpora ověřování bez hesla pomocí klíčů FIDO2 v aplikacích, které vyvíjíte.

Důležité informace pro každou platformu

Windows

• Přihlášení pomocí klíče zabezpečení FIDO2 k nativním aplikacím vyžaduje Windows 10 verze 1903 nebo novější.
• Přihlášení pomocí hesla v Microsoft Authenticatoru k nativním aplikacím vyžaduje Windows 11 verze 22H2 nebo novější.
• Microsoft Graph PowerShell podporuje bezklíčový přístup (FIDO2). Některé moduly PowerShellu, které místo Edge používají Internet Explorer, nemůžou provádět ověřování FIDO2. Například moduly PowerShellu pro SharePoint Online nebo Teams nebo skripty PowerShellu, které vyžadují přihlašovací údaje správce, nevyžadují výzvu k zadání fiDO2.
  • Jako alternativní řešení může většina dodavatelů umístit certifikáty na klíče zabezpečení FIDO2. Ověřování na základě certifikátů (CBA) funguje ve všech prohlížečích. Pokud pro tyto účty správců můžete povolit CBA, můžete v přechodném období vyžadovat CBA místo FIDO2.

iOS

• Přihlášení pomocí hesla v nativních aplikacích bez modulu plug-in Jednotného přihlašování (SSO) Microsoft Enterprise vyžaduje iOS 16.0 nebo novější.
• Přihlášení pomocí hesla v nativních aplikacích pomocí modulu plug-in SSO vyžaduje iOS 17.1 nebo novější.

macOS

• Na macOS je zásuvný modul Microsoft Enterprise Single Sign On (SSO) vyžadován k povolení Portálu společnosti jako zprostředkovatele ověřování. Zařízení s macOS musí splňovat požadavky plug-inu jednotného přihlašování, včetně zápisu ve správě mobilních zařízení.
• Přihlášení pomocí hesla v nativních aplikacích pomocí modulu plug-in SSO vyžaduje macOS 14.0 nebo novější.

Android

• Přihlášení pomocí klíče zabezpečení FIDO2 k nativním aplikacím vyžaduje Android 13 nebo novější.
• Přihlášení pomocí hesla v Microsoft Authenticatoru k nativním aplikacím vyžaduje Android 14 nebo novější.
• Přihlášení pomocí klíčů zabezpečení FIDO2 vyrobených společností Yubico, s povoleným YubiOTP, nemusí na zařízeních Samsung Galaxy fungovat. Jako alternativní řešení můžou uživatelé Zakázat YubiOTP a pokusit se znovu přihlásit.

Další kroky

Povolení přihlašování pomocí bezpečnostního klíče bez hesla