Passkey-Authentifizierungsmatrix (FIDO2) mit Microsoft Entra ID
Die Microsoft Entra-ID ermöglicht die Verwendung von Passkeys (FIDO2) für die mehrstufige kennwortlose Authentifizierung. In diesem Artikel wird erläutert, welche nativen Anwendungen, Webbrowser und Betriebssysteme die Anmeldung mithilfe von Passkeys bei Microsoft Entra ID unterstützen.
Informationen zum Aktivieren von FIDO2-Sicherheitsschlüsseln zum Entsperren eines Windows-Geräts finden Sie unter Aktivieren der Anmeldung mit FIDO2-Sicherheitsschlüsseln bei Windows 10- und 11-Geräten mit Microsoft Entra ID.
Hinweis
Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.
Überblick
| OS | Chrome | Edge | Firefox | Safari | Native Apps |
|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | – | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅2 |
| ChromeOS | ✅ | – | – | – | – |
| Linux | ✅ | ✅ | ✅1 | – | ❌ |
| iOS | ✅ | ✅ | ✅ | ✅ | ✅2 |
| Android | ✅ | ✅1 | ❌ | – | ✅2 |
1Die Anmeldung mit einem Passkey in Microsoft Authenticator wird in diesem Szenario noch nicht unterstützt.
2Erfordert eine Installation eines Authentifizierungsbrokers auf dem Gerät des Benutzers. Einige Microsoft-Apps unterstützen die Passkey-Authentifizierung ohne Authentifizierungsbroker. Weitere Informationen finden Sie unter Native Anwendungsunterstützung.
Überlegungen für jede Plattform
Windows
- Für optimale Passkey-Anmeldung verwenden Sie Windows 11 Version 22H2 oder höher.
- Für die Anmeldung mit Sicherheitsschlüsseln ist eines der folgenden Elemente erforderlich:
- Windows 10, Version 1903 oder höher
- Chromium-basiertes Microsoft Edge
- Chrome 76 oder höher
- Firefox 66 oder höher
- Microsoft Graph PowerShell- unterstützt Passkeys (FIDO2). Einige PowerShell-Module, die Internet Explorer statt Edge verwenden, können keine FIDO2-Authentifizierung ausführen. Zum Beispiel zeigen PowerShell-Module für SharePoint Online oder Teams oder jegliche PowerShell-Skripte, die Administratoranmeldeinformationen erfordern, keine Eingabeaufforderung für FIDO2 an.
- Als Workaround können die meisten Anbieter Zertifikate zu den FIDO2-Sicherheitsschlüsseln hinzufügen. Die zertifikatsbasierte Authentifizierung (CBA) funktioniert bei allen Browsern. Wenn Sie CBA für diese Administratorkonten aktivieren können, können Sie in der Zwischenzeit CBA anstelle von FIDO2 vorgeben.
macOS
- Für die Anmeldung mit Passkey ist macOS Catalina 11.1 oder höher mit Safari 14 oder höher erforderlich, da die Microsoft Entra-ID eine Benutzerüberprüfung für die mehrstufige Authentifizierung erfordert.
- Near-Field Communication (NFC) und Bluetooth Low Energy (BLE)-Sicherheitsschlüssel werden von Apple auf macOS nicht unterstützt.
- Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in diesen macOS-Browsern nicht, da sie nicht aufgefordert werden, biometrische Daten oder PIN einzurichten.
- Weitere Informationen zu Safari unter macOS finden Sie unter Anmelden, wenn mehr als drei Passkeys registriert sind.
ChromeOS
- NFC- und BLE-Sicherheitsschlüssel werden von Google auf ChromeOS nicht unterstützt.
- Die Registrierung von Sicherheitsschlüsseln wird im ChromeOS- oder Chrome-Browser nicht unterstützt.
Linux
- Die Anmeldung mit Passkey in Microsoft Authenticator wird in Firefox unter Linux nicht unterstützt.
iOS
- Für die Anmeldung mit Passkey ist iOS 14.3 oder höher erforderlich, da die Microsoft Entra-ID eine Benutzerüberprüfung für die mehrstufige Authentifizierung erfordert.
- BLE-Sicherheitsschlüssel werden von Apple unter iOS nicht unterstützt.
- Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in iOS-Browsern nicht, da sie nicht aufgefordert werden, biometrische Daten oder PIN einzurichten.
- Weitere Informationen finden Sie unter Anmelden, wenn mehr als drei Passkeys registriert sind.
Android
- Für die Anmeldung mit Passkey ist Google Play Services 21 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
- BLE-Sicherheitsschlüssel werden unter Android von Google nicht unterstützt.
- Die Registrierung von Sicherheitsschlüsseln mit der Microsoft Entra-ID wird unter Android noch nicht unterstützt.
- Die Anmeldung mit Passkey wird in Firefox unter Android nicht unterstützt.
Native Anwendungsunterstützung
In den folgenden Abschnitten wird die Unterstützung für Passkey-Authentifizierung (FIDO2-Authentifizierung) in Microsoft- und Drittanbieteranwendungen mit Microsoft Entra ID behandelt.
Hinweis
Die Passkey-Authentifizierung mit einem Drittanbieter-Identitätsanbieter (IDP) wird derzeit nicht in Anwendungen von Drittanbietern mit Authentifizierungsbroker oder Microsoft-Anwendungen unter macOS, iOS oder Android unterstützt.
Nativer Anwendungssupport mit Authentifizierungsbroker
Microsoft-Anwendungen bieten native Unterstützung für die Passkey-Authentifizierung für alle Benutzer, die einen Authentifizierungsbroker für ihr Betriebssystem installiert haben. Die Passkey-Authentifizierung wird mithilfe des Authentifizierungsbrokers auch für Drittanbieteranwendungen unterstützt.
Wenn Benutzer*innen einen Authentifizierungsbroker installiert haben, können sie sich mit einem Passkey anmelden, wenn sie auf eine Anwendung wie Outlook zugreifen. Sie werden zur Anmeldung mit einem Passkey umgeleitet, und nach erfolgreicher Authentifizierung werden sie als angemeldete Benutzer*innen zurück zu Outlook geleitet.
In den folgenden Tabellen ist aufgeführt, welche Authentifizierungsbroker für verschiedene Betriebssysteme unterstützt werden.
| OS | Authentifizierungsbroker |
|---|---|
| iOS | Microsoft Authenticator |
| macOS | Microsoft Intune-Unternehmensportal |
| Android | Authentifikator, Unternehmensportal oder Link zu Windows-App |
iOS
- Für die Anmeldung mit Passkey in nativen Apps ohne Plug-In für Microsoft Enterprise Single Sign-On (SSO) ist iOS 16.0 oder höher erforderlich.
- Für die Anmeldung mit Passkey in systemeigenen Apps mit dem SSO-Plug-In ist iOS 17.1 oder höher erforderlich.
macOS
- Unter macOS ist das Microsoft Enterprise Single Sign On (SSO)-Plug-In- erforderlich, um das Unternehmensportal als Authentifizierungsbroker zu aktivieren. Geräte, auf denen macOS ausgeführt wird, müssen die SSO-Plug-In-Anforderungen erfüllen, einschließlich der MDM-Registrierung.
- Für die Anmeldung mit Passkey in nativen Apps mit dem SSO-Plug-In ist macOS 14.0 oder höher erforderlich.
Android
- Für die Anmeldung mit FIDO2-Sicherheitsschlüsseln für systemeigene Apps ist Android 13 oder höher erforderlich.
- Für die Anmeldung mit Passkey in Microsoft Authenticator in nativen Apps ist Android 14 oder höher erforderlich.
Microsoft-Anwendungsunterstützung ohne Authentifizierungsbroker
In der folgenden Tabelle ist die Microsoft-Anwendungsunterstützung für Passkey (FIDO2) ohne Authentifizierungsbroker aufgeführt.
| Application | macOS | iOS | Android |
|---|---|---|---|
| Remotedesktop | ✅ | ✅ | ❌ |
| Windows App | ✅ | ✅ | ❌ |
Unterstützung von Drittanbieteranwendungen ohne Authentifizierungsbroker
Wenn Benutzer oder Benutzerinnen noch keinen Authentifizierungsbroker installiert haben, können sie sich weiterhin mit einem Sicherheitscode anmelden, wenn sie auf MSAL-fähige Anwendungen zugreifen. Weitere Informationen zu den Anforderungen für MSAL-fähige Anwendungen finden Sie unter Unterstützen der kennwortlosen Authentifizierung mit FIDO2-Schlüsseln in von Ihnen entwickelten Apps.
Bekannte Probleme
Anmelden, wenn mehr als drei Passkeys registriert sind
Wenn Sie mehr als drei Passkeys registriert haben, funktioniert die Anmeldung mit einem Kennungsschlüssel möglicherweise nicht unter iOS oder Safari unter macOS. Wenn Sie über mehr als drei Passkeys verfügen, klicken Sie als Problemumgehung auf Anmeldeoptionen, und melden Sie sich an, ohne einen Benutzernamen einzugeben.
Nächste Schritte
Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln