Verificatiematrix voor wachtwoordsleutels (FIDO2) met Microsoft Entra-id
Artikel
Met Microsoft Entra ID kunnen wachtwoordsleutels (FIDO2) worden gebruikt voor meervoudige verificatie zonder wachtwoord. In dit artikel wordt beschreven welke systeemeigen toepassingen, webbrowsers en besturingssystemen aanmelding ondersteunen met behulp van een wachtwoordsleutel met Microsoft Entra ID.
Microsoft Entra ID ondersteunt momenteel apparaatgebonden wachtwoordsleutels die zijn opgeslagen op FIDO2-beveiligingssleutels en in Microsoft Authenticator. Microsoft streeft ernaar om klanten en gebruikers met wachtwoordsleutels te beveiligen. We investeren in zowel gesynchroniseerde als apparaatgebonden wachtwoordsleutels voor werkaccounts.
In de volgende sectie wordt ondersteuning beschreven voor verificatie met wachtwoordsleutels (FIDO2) in webbrowsers met Microsoft Entra-id.
Besturingssysteem
Chrome
Edge
Firefox
Safari
Windows
✅
✅
✅
N.v.t.
MacOS
✅
✅
✅
✅
ChromeOS
✅
N.v.t.
N.v.t.
N.v.t.
Linux
✅
✅
✅
N.v.t.
iOS
✅
✅
✅
✅
Android
✅
✅
❌
N.v.t.
Overwegingen voor elk platform
Windows
Voor aanmelden met een beveiligingssleutel is een van de volgende items vereist:
Windows 10 versie 1903 of hoger
Microsoft Edge op basis van Chromium
Chrome 76 of hoger
Firefox 66 of hoger
macOS
Voor aanmelden met een wachtwoordsleutel is macOS Catalina 11.1 of hoger met Safari 14 of hoger vereist, omdat voor Microsoft Entra ID gebruikersverificatie is vereist voor meervoudige verificatie.
Nfc- en Ble-beveiligingssleutels (Near Field Communication) en Bluetooth Low Energy (BLE) worden niet ondersteund in macOS door Apple.
Nieuwe registratie van beveiligingssleutels werkt niet in deze macOS-browsers omdat ze niet vragen om biometrische gegevens of pincode in te stellen.
NFC- en BLE-beveiligingssleutels worden niet ondersteund in ChromeOS door Google.
Registratie van beveiligingssleutels wordt niet ondersteund in de ChromeOS- of Chrome-browser.
Linux
Aanmelden met wachtwoordsleutel in Microsoft Authenticator wordt niet ondersteund in Firefox op Linux.
iOS
Voor aanmelden met een wachtwoordsleutel is iOS 14.3 of hoger vereist, omdat voor Microsoft Entra ID gebruikersverificatie is vereist voor meervoudige verificatie.
BLE-beveiligingssleutels worden niet ondersteund op iOS door Apple.
NFC met FIPS 140-3 gecertificeerde beveiligingssleutels wordt niet ondersteund op iOS door Apple.
Nieuwe registratie van beveiligingssleutels werkt niet in iOS-browsers omdat ze niet vragen om biometrische gegevens of pincode in te stellen.
Voor aanmelden met een wachtwoordsleutel is Google Play Services 21 of hoger vereist, omdat voor Microsoft Entra ID gebruikersverificatie is vereist voor meervoudige verificatie.
BLE-beveiligingssleutels worden niet ondersteund op Android door Google.
Registratie van beveiligingssleutels met Microsoft Entra-id wordt nog niet ondersteund op Android.
Aanmelden met wachtwoordsleutel wordt niet ondersteund in Firefox op Android.
Bekende problemen
Aanmelden wanneer meer dan drie wachtwoordsleutels zijn geregistreerd
Als u meer dan drie wachtwoordsleutels hebt geregistreerd, werkt het aanmelden met een wachtwoordsleutel mogelijk niet op iOS of Safari in macOS. Als u meer dan drie wachtwoordsleutels hebt, klikt u als tijdelijke oplossing op Aanmeldingsopties en meldt u zich aan zonder een gebruikersnaam in te voeren.
In de volgende sectie wordt ondersteuning behandeld voor fido2-verificatie (wachtwoordsleutel) in Microsoft- en toepassingen van derden met Microsoft Entra-id.
Notitie
Wachtwoordsleutelverificatie met een id-provider van derden (IDP) wordt op dit moment niet ondersteund in toepassingen van derden met behulp van verificatiebroker of Microsoft-toepassingen op macOS, iOS of Android.
Systeemeigen toepassingsondersteuning met verificatiebroker
Microsoft-toepassingen bieden systeemeigen ondersteuning voor wachtwoordsleutelverificatie voor alle gebruikers die een verificatiebroker hebben geïnstalleerd voor hun besturingssysteem. Wachtwoordsleutelverificatie wordt ook ondersteund voor toepassingen van derden met behulp van de verificatiebroker.
Als een gebruiker een verificatiebroker heeft geïnstalleerd, kan hij of zij zich aanmelden met een wachtwoordsleutel wanneer deze toegang heeft tot een toepassing zoals Outlook. Ze worden omgeleid om zich aan te melden met een wachtwoordsleutel en omgeleid naar Outlook als een aangemelde gebruiker na een geslaagde verificatie.
In de volgende tabellen ziet u welke verificatiebrokers worden ondersteund voor verschillende besturingssystemen.
Besturingssysteem
Verificatiebroker
iOS
Microsoft Authenticator
MacOS
Microsoft Intune-bedrijfsportal
Android
Verificator, Bedrijfsportal of Koppeling met Windows-app
Ondersteuning voor Microsoft-toepassingen zonder verificatiebroker
De volgende tabel bevat Microsoft-toepassingsondersteuning voor wachtwoordsleutel (FIDO2) zonder verificatiebroker. Werk uw apps bij naar de nieuwste versie om ervoor te zorgen dat ze werken met wachtwoordsleutels.
Ondersteuning van toepassingen van derden zonder verificatiebroker
Als de gebruiker nog een verificatiebroker moet installeren, kan deze zich nog steeds aanmelden met een wachtwoordsleutel wanneer deze toegang heeft tot toepassingen met MSAL. Zie Ondersteuning voor verificatie zonder wachtwoord met FIDO2-sleutels in apps die u ontwikkelt voor meer informatie over vereisten voor MSAL-toepassingen.
Overwegingen voor elk platform
Windows
Voor aanmelding met FIDO2-beveiligingssleutel voor systeemeigen apps is Windows 10 versie 1903 of hoger vereist.
Voor aanmelding met een wachtwoordsleutel in Microsoft Authenticator voor systeemeigen apps is Windows 11 versie 22H2 of hoger vereist.
Microsoft Graph PowerShell ondersteunt wachtwoordsleutel (FIDO2). Sommige PowerShell-modules die Internet Explorer gebruiken in plaats van Edge, kunnen geen FIDO2-verificatie uitvoeren. PowerShell-modules voor SharePoint Online of Teams, of powerShell-scripts waarvoor beheerdersreferenties zijn vereist, vragen bijvoorbeeld niet om FIDO2.
Als tijdelijke oplossing kunnen de meeste leveranciers certificaten op de FIDO2-beveiligingssleutels plaatsen. Verificatie op basis van certificaten (CBA) werkt in alle browsers. Als u CBA voor deze beheerdersaccounts kunt inschakelen, kunt u in de tussentijd CBA in plaats van FIDO2 vereisen.
Voor aanmelding met een wachtwoordsleutel in systeemeigen apps met de SSO-invoegtoepassing is iOS 17.1 of hoger vereist.
macOS
Op macOS is de invoegtoepassing Microsoft Enterprise Single Sign On (SSO) vereist om de Bedrijfsportal in te schakelen als verificatiebroker. Apparaten met macOS moeten voldoen aan de invoegtoepassingsvereisten voor eenmalige aanmelding, inclusief inschrijving in Mobile Device Management.
Voor aanmelding met een wachtwoordsleutel in systeemeigen apps met de SSO-invoegtoepassing is macOS 14.0 of hoger vereist.
Android
Voor aanmelding met FIDO2-beveiligingssleutel voor systeemeigen apps is Android 13 of hoger vereist.
Aanmelden met wachtwoordsleutel in Microsoft Authenticator voor systeemeigen apps vereist Android 14 of hoger.
Aanmelden met Yubico-vervaardigd FIDO2-beveiligingssleutels waarvoor YubiOTP is ingeschakeld, werkt mogelijk niet op Samsung Galaxy-apparaten. Als tijdelijke oplossing kunnen gebruikers YubiOTP uitschakelen en zich opnieuw proberen aan te melden.