Macierz uwierzytelniania klucza dostępu (FIDO2) z identyfikatorem Entra firmy Microsoft
Artykuł
Identyfikator Entra firmy Microsoft umożliwia używanie kluczy dostępu (FIDO2) na potrzeby uwierzytelniania bez hasła wieloskładnikowego. W tym artykule opisano, które aplikacje natywne, przeglądarki internetowe i systemy operacyjne obsługują logowanie przy użyciu klucza dostępu z identyfikatorem Entra firmy Microsoft.
Identyfikator Entra firmy Microsoft obsługuje obecnie powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 i w aplikacji Microsoft Authenticator. Firma Microsoft zobowiązuje się do zabezpieczania klientów i użytkowników przy użyciu kluczy dostępu. Inwestujemy zarówno w zsynchronizowane, jak i powiązane z urządzeniami klucze dostępu do kont służbowych.
W poniższej sekcji opisano obsługę uwierzytelniania za pomocą klucza dostępu (FIDO2) w przeglądarkach internetowych z identyfikatorem Entra firmy Microsoft.
System operacyjny
Chrome
Edge
Firefox
Safari
Windows
✅
✅
✅
Nie dotyczy
macOS
✅
✅
✅
✅
ChromeOS
✅
Nie dotyczy
Nie dotyczy
Nie dotyczy
Linux
✅
✅
✅
Nie dotyczy
iOS
✅
✅
✅
✅
Android
✅
✅
❌
Nie dotyczy
Zagadnienia dotyczące każdej platformy
Windows
Logowanie przy użyciu klucza zabezpieczeń wymaga jednego z następujących elementów:
Windows 10 w wersji 1903 lub nowszej
Przeglądarka Microsoft Edge oparta na chromium
Chrome 76 lub nowszy
Firefox 66 lub nowszy
macOS
Logowanie przy użyciu klucza dostępu wymaga systemu macOS Catalina 11.1 lub nowszego w przeglądarce Safari 14 lub nowszej, ponieważ identyfikator Entra firmy Microsoft wymaga weryfikacji użytkownika na potrzeby uwierzytelniania wieloskładnikowego.
Klucze zabezpieczeń komunikacji zbliżeniowej (NFC) i Bluetooth Low Energy (BLE) nie są obsługiwane w systemie macOS przez firmę Apple.
Nowa rejestracja klucza zabezpieczeń nie działa w tych przeglądarkach systemu macOS, ponieważ nie proszą o skonfigurowanie biometrii ani kodu PIN.
Klucze zabezpieczeń NFC i BLE nie są obsługiwane w przeglądarce ChromeOS przez firmę Google.
Rejestracja klucza zabezpieczeń nie jest obsługiwana w przeglądarce ChromeOS ani Chrome.
Linux
Logowanie przy użyciu klucza dostępu w aplikacji Microsoft Authenticator nie jest obsługiwane w przeglądarce Firefox w systemie Linux.
iOS
Logowanie przy użyciu klucza dostępu wymaga systemu iOS 14.3 lub nowszego, ponieważ identyfikator Entra firmy Microsoft wymaga weryfikacji użytkownika na potrzeby uwierzytelniania wieloskładnikowego.
Klucze zabezpieczeń BLE nie są obsługiwane w systemie iOS przez firmę Apple.
Komunikacja NFC z certyfikowanymi kluczami zabezpieczeń FIPS 140-3 nie jest obsługiwana w systemie iOS przez firmę Apple.
Nowa rejestracja klucza zabezpieczeń nie działa w przeglądarkach iOS, ponieważ nie wyświetlają one komunikatów o konieczności skonfigurowania biometrii lub numeru PIN.
Logowanie przy użyciu klucza dostępu wymaga usług Google Play 21 lub nowszych, ponieważ identyfikator Entra firmy Microsoft wymaga weryfikacji użytkownika na potrzeby uwierzytelniania wieloskładnikowego.
Klucze zabezpieczeń BLE nie są obsługiwane w systemie Android przez firmę Google.
Rejestracja klucza zabezpieczeń przy użyciu identyfikatora Entra firmy Microsoft nie jest jeszcze obsługiwana w systemie Android.
Logowanie przy użyciu klucza dostępu nie jest obsługiwane w przeglądarce Firefox w systemie Android.
Znane problemy
Zaloguj się po zarejestrowaniu więcej niż trzech kluczy dostępu
Jeśli zarejestrowano więcej niż trzy klucza dostępu, logowanie się przy użyciu klucza dostępu może nie działać w systemie iOS lub Safari w systemie macOS. Jeśli masz więcej niż trzy klucze dostępu, jako obejście kliknij pozycję Opcje logowania i zaloguj się bez wprowadzania nazwy użytkownika.
W poniższej sekcji opisano obsługę uwierzytelniania typu passkey (FIDO2) w aplikacjach firmy Microsoft i innych firm przy użyciu identyfikatora Entra firmy Microsoft.
Uwaga
Uwierzytelnianie za pomocą klucza dostępu przy użyciu dostawcy tożsamości innej firmy nie jest obecnie obsługiwane w aplikacjach innych firm przy użyciu brokera uwierzytelniania ani aplikacji firmy Microsoft w systemach macOS, iOS lub Android.
Natywna obsługa aplikacji przy użyciu brokera uwierzytelniania
Aplikacje firmy Microsoft zapewniają natywną obsługę uwierzytelniania za pomocą klucza dostępu dla wszystkich użytkowników, którzy mają zainstalowanego brokera uwierzytelniania dla systemu operacyjnego. Uwierzytelnianie za pomocą klucza dostępu jest również obsługiwane w przypadku aplikacji innych firm przy użyciu brokera uwierzytelniania.
Jeśli użytkownik zainstalował brokera uwierzytelniania, może zdecydować się na zalogowanie się przy użyciu klucza dostępu podczas uzyskiwania dostępu do aplikacji, takiej jak Outlook. Nastąpi przekierowanie do logowania przy użyciu klucza dostępu i przekierowanie z powrotem do programu Outlook jako zalogowanego użytkownika po pomyślnym uwierzytelnieniu.
W poniższych tabelach wymieniono, które brokery uwierzytelniania są obsługiwane w różnych systemach operacyjnych.
System operacyjny
Broker uwierzytelniania
iOS
Microsoft Authenticator
macOS
Portal firmowy Microsoft Intune
Android
Aplikacja Authenticator, Portal firmy lub Aplikacja Link do Windows
Obsługa aplikacji firmy Microsoft bez brokera uwierzytelniania
W poniższej tabeli wymieniono obsługę aplikacji firmy Microsoft dla klucza dostępu (FIDO2) bez brokera uwierzytelniania. Zaktualizuj swoje aplikacje do najnowszej wersji, aby mieć pewność, że działają z kluczami dostępu.
Obsługa aplikacji innych firm bez brokera uwierzytelniania
Jeśli użytkownik nie zainstalował jeszcze brokera uwierzytelniania, nadal może zalogować się przy użyciu klucza dostępu podczas uzyskiwania dostępu do aplikacji z obsługą biblioteki MSAL. Aby uzyskać więcej informacji na temat wymagań dotyczących aplikacji z obsługą biblioteki MSAL, zobacz Obsługa uwierzytelniania bez hasła przy użyciu kluczy FIDO2 w opracowywanych aplikacjach.
Zagadnienia dotyczące każdej platformy
Windows
Logowanie przy użyciu klucza zabezpieczeń FIDO2 do aplikacji natywnych wymaga systemu Windows 10 w wersji 1903 lub nowszej.
Logowanie przy użyciu klucza dostępu w aplikacji Microsoft Authenticator do aplikacji natywnych wymaga systemu Windows 11 w wersji 22H2 lub nowszej.
program Microsoft Graph PowerShell obsługuje klucz dostępu (FIDO2). Niektóre moduły programu PowerShell korzystające z programu Internet Explorer zamiast przeglądarki Edge nie mogą wykonywać uwierzytelniania FIDO2. Na przykład moduły programu PowerShell dla usługi SharePoint Online lub Teams albo skrypty programu PowerShell, które wymagają poświadczeń administratora, nie wyświetlają monitu o podanie standardu FIDO2.
Aby obejść ten problem, większość dostawców może umieszczać certyfikaty na kluczach zabezpieczeń FIDO2. Uwierzytelnianie oparte na certyfikatach (CBA) działa we wszystkich przeglądarkach. Jeśli możesz włączyć CBA dla tych kont administratorów, możesz wymagać CBA zamiast FIDO2 tymczasowo.
Logowanie przy użyciu klucza dostępu w aplikacjach natywnych przy użyciu wtyczki logowania jednokrotnego wymaga systemu iOS 17.1 lub nowszego.
macOS
W systemie macOS wtyczka Microsoft Enterprise Single Sign On (SSO) jest wymagana do włączenia aplikacji Portal firmy jako brokera uwierzytelniania. Urządzenia z systemem macOS muszą spełniać wymagania dotyczące wtyczki logowania jednokrotnego (SSO), obejmujące również rejestrację w zarządzaniu urządzeniami przenośnymi (MDM).
Logowanie przy użyciu klucza dostępu w aplikacjach natywnych przy użyciu wtyczki logowania jednokrotnego wymaga systemu macOS 14.0 lub nowszego.
Android
Logowanie przy użyciu klucza zabezpieczeń FIDO2 do aplikacji natywnych wymaga systemu Android 13 lub nowszego.
Logowanie przy użyciu klucza dostępu w aplikacji Microsoft Authenticator do aplikacji natywnych wymaga systemu Android 14 lub nowszego.
Logowanie przy użyciu kluczy zabezpieczających FIDO2 wyprodukowanych przez firmę Yubico z włączoną obsługą yubiOTP może nie działać na urządzeniach Samsung Galaxy. Aby obejść ten problem, użytkownicy mogą wyłączyć protokół YubiOTP i spróbować zalogować się ponownie.
