Passkey-Authentifizierungsmatrix (FIDO2) mit Microsoft Entra ID
Artikel
Microsoft Entra ID ermöglicht die Verwendung von Passkeys (FIDO2) für die kennwortlose Multi-Faktor-Authentifizierung. In diesem Artikel wird erläutert, welche nativen Anwendungen, Webbrowser und Betriebssysteme die Anmeldung mithilfe von Passkeys bei Microsoft Entra ID unterstützen.
Microsoft Entra ID unterstützt derzeit gerätegebundene Passkeys, die in FIDO2-Sicherheitsschlüsseln und in Microsoft Authenticator gespeichert werden. Microsoft verpflichtet sich, die Kundschaft sowie Benutzer und Benutzerinnen durch Passkeys zu schützen. Wir investieren sowohl in synchronisierte als auch gerätegebundene Passkeys für Geschäftskonten.
Im folgenden Abschnitt wird die Unterstützung für die FIDO2-Authentifizierung in Webbrowsern mit Microsoft Entra ID behandelt.
OS
Chrome
Edge
Firefox
Safari
Windows
✅
✅
✅
–
macOS
✅
✅
✅
✅
ChromeOS
✅
–
–
–
Linux
✅
✅
✅
–
iOS
✅
✅
✅
✅
Android
✅
✅
❌
–
Überlegungen für jede Plattform
Windows
Für die Anmeldung mit Sicherheitsschlüsseln ist eines der folgenden Elemente erforderlich:
Windows 10, Version 1903 oder höher
Chromium-basierter Microsoft Edge-Browser
Chrome 76 oder höher
Firefox 66 oder höher
macOS
Für die Anmeldung mit Passkey ist macOS Catalina 11.1 oder höher mit Safari 14 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
Near Field Communication- (NFC) und Bluetooth Low Energy-Sicherheitsschlüssel (BLE) werden von Apple auf macOS nicht unterstützt.
Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in diesen macOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
NFC- und BLE-Sicherheitsschlüssel werden von Google auf ChromeOS nicht unterstützt.
Die Registrierung von Sicherheitsschlüsseln wird unter ChromeOS oder in Chrome-Browsern nicht unterstützt.
Linux
Die Anmeldung mit einem Passkey in Microsoft Authenticator wird in Firefox unter Linux nicht unterstützt.
iOS
Für die Anmeldung mit Passkey ist iOS 14.3 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
BLE-Sicherheitsschlüssel werden unter iOS von Apple nicht unterstützt.
NFC mit FIPS 140-3 zertifizierten Sicherheitsschlüsseln wird von Apple unter iOS nicht unterstützt.
Die Registrierung eines neuen Sicherheitsschlüssels funktioniert in iOS-Browsern nicht, weil keine Aufforderung zum Einrichten von biometrischen Daten oder einer PIN erfolgt.
Für die Anmeldung mit Passkey ist Google Play Services 21 oder höher erforderlich, da Microsoft Entra-ID eine Benutzerüberprüfung für die Multi-Faktor-Authentifizierung verlangt.
BLE-Sicherheitsschlüssel werden von Google unter Android nicht unterstützt.
Die Sicherheitsschlüsselregistrierung bei Microsoft Entra D wird unter Android noch nicht unterstützt.
Die Anmeldung mit Passkey wird in Firefox unter Android nicht unterstützt.
Bekannte Probleme
Anmelden, wenn mehr als drei Passkeys registriert sind
Wenn Sie mehr als drei Passkeys registriert haben, funktioniert die Anmeldung mit einem Passkey für iOS oder Safari unter macOS möglicherweise nicht. Wenn Sie über mehr als drei Passkeys verfügen, klicken Sie als Problemumgehung auf Anmeldeoptionen, und melden Sie sich an, ohne einen Benutzernamen einzugeben.
Im folgenden Abschnitt wird die Unterstützung für Passkey-Authentifizierung (FIDO2-Authentifizierung) in Microsoft- und Drittanbieteranwendungen mit Microsoft Entra ID behandelt.
Hinweis
Die Passkey-Authentifizierung mit einem Drittanbieter-Identitätsanbieter (IDP) wird derzeit in Anwendungen von Drittanbietern mit Authentifizierungsbroker oder Microsoft-Anwendungen unter macOS, iOS oder Android nicht unterstützt.
Nativer Anwendungssupport mit Authentifizierungsbroker
Microsoft-Anwendungen bieten nativen Support für die Passkeyauthentifizierung für alle Benutzenden, die einen Authentifizierungsbroker für ihr Betriebssystem installiert haben. Die Passkey-Authentifizierung wird mithilfe des Authentifizierungsbrokers auch für Drittanbieteranwendungen unterstützt.
Wenn Benutzende einen Authentifizierungsbroker installiert haben, können sie sich mit einem Passkey anmelden, wenn sie auf eine Anwendung wie Outlook zugreifen. Sie werden zur Anmeldung mit einem Passkey umgeleitet, und nach erfolgreicher Authentifizierung werden sie als angemeldete Benutzer*innen zurück zu Outlook geleitet.
In den folgenden Tabellen ist aufgeführt, welche Authentifizierungsbroker für verschiedene Betriebssysteme unterstützt werden.
OS
Authentifizierungsbroker
iOS
Microsoft Authenticator
macOS
Microsoft Intune-Portal/Unternehmensportal
Android
Authentifikator, Unternehmensportal oder Link zu Windows-App
Microsoft-Anwendungsunterstützung ohne Authentifizierungsbroker
In der folgenden Tabelle ist die Microsoft-Anwendungsunterstützung für Passkey (FIDO2) ohne Authentifizierungsbroker aufgeführt. Aktualisieren Sie Ihre Apps auf die neueste Version, um sicherzustellen, dass sie mit Passkeys funktionieren.
Für die Anmeldung mit DEM FIDO2-Sicherheitsschlüssel für systemeigene Apps ist Windows 10, Version 1903 oder höher, erforderlich.
Für die Anmeldung mit Passkey in Microsoft Authenticator für systemeigene Apps ist Windows 11, Version 22H2 oder höher, erforderlich.
Microsoft Graph PowerShell- unterstützt Passkeys (FIDO2). Einige PowerShell-Module, die Internet Explorer statt Edge verwenden, können keine FIDO2-Authentifizierung ausführen. Zum Beispiel zeigen PowerShell-Module für SharePoint Online oder Teams oder jegliche PowerShell-Skripte, die Administratoranmeldeinformationen erfordern, keine Eingabeaufforderung für FIDO2 an.
Als Workaround können die meisten Anbieter Zertifikate zu den FIDO2-Sicherheitsschlüsseln hinzufügen. Die zertifikatsbasierte Authentifizierung (CBA) funktioniert bei allen Browsern. Wenn Sie CBA für diese Administratorkonten aktivieren können, können Sie in der Zwischenzeit CBA anstelle von FIDO2 vorgeben.
Für die Anmeldung mit Passkey in nativen Apps mit dem SSO-Plug-In ist iOS 17.1 oder höher erforderlich.
macOS
Unter macOS ist das Microsoft Enterprise Single Sign On-Plug-In (SSO) erforderlich, um das Unternehmensportal als Authentifizierungsbroker zu aktivieren. Geräte, auf denen macOS ausgeführt wird, müssen die SSO-Plug-In-Anforderungen erfüllen, einschließlich der MDM-Registrierung.
Für die Anmeldung mit Passkey in nativen Apps mit dem SSO-Plug-In ist macOS 14.0 oder höher erforderlich.
Android
Für die Anmeldung mit FIDO2-Sicherheitsschlüsseln für native Apps ist Android 13 oder höher erforderlich.
Für die Anmeldung mit Passkey in Microsoft Authenticator in nativen Apps ist Android 14 oder höher erforderlich.
Die Anmeldung mit von Yubico hergestellten FIDO2-Sicherheitsschlüsseln mit aktivierter YubiOTP-Funktion funktioniert möglicherweise nicht auf Samsung Galaxy-Geräten. Als Problemumgehung können Benutzer YubiOTP deaktivieren und erneut versuchen, sich anzumelden.