Поделиться через


Поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra

Идентификатор Microsoft Entra позволяет использовать секретные ключи для проверки подлинности без пароля. В этой статье описывается, какие собственные приложения, веб-браузеры и операционные системы поддерживают проверку подлинности без пароля с помощью секретных ключей с идентификатором Microsoft Entra.

Примечание.

Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.

Поддержка собственных приложений

В следующих разделах описана поддержка приложений Майкрософт и сторонних разработчиков. Сквозная проверка подлинности (FIDO2) со сторонним поставщиком удостоверений (IDP) не поддерживается в сторонних приложениях с помощью брокера проверки подлинности или приложений Майкрософт в macOS, iOS или Android в настоящее время.

Поддержка собственных приложений с помощью брокера проверки подлинности

Приложения Майкрософт обеспечивают встроенную поддержку проверки подлинности FIDO2 для всех пользователей, у которых установлен брокер проверки подлинности для своей операционной системы. Проверка подлинности FIDO2 также поддерживается для сторонних приложений с помощью брокера проверки подлинности.

В следующих таблицах перечислены брокеры проверки подлинности, поддерживаемые для разных операционных систем.

ОС Брокер проверки подлинности Поддерживает FIDO2
iOS Microsoft Authenticator
macOS Microsoft Корпоративный портал Intune 1
Android2 Приложение Authenticator, Корпоративный портал или Связь с Windows

1В macOS подключаемый модуль Microsoft Enterprise Единый вход (SSO) требуется для включения Корпоративный портал в качестве брокера проверки подлинности. Устройства под управлением macOS должны соответствовать требованиям подключаемого модуля единого входа, включая регистрацию в управлении мобильными устройствами. Для проверки подлинности FIDO2 убедитесь, что вы запускаете последнюю версию собственных приложений.

Поддержка собственных приложений для ключей безопасности FIDO2 в Android версии 13 и ниже находится в разработке.

Если пользователь установил брокер проверки подлинности, он может войти с помощью ключа безопасности при доступе к приложению, например Outlook. Они перенаправляются на вход с помощью FIDO2 и перенаправляются обратно в Outlook в качестве пользователя, выполнившего вход после успешной проверки подлинности.

Поддержка приложений Майкрософт без брокера проверки подлинности

В следующей таблице перечислены возможности поддержки приложений Майкрософт для секретного ключа (FIDO2) без брокера проверки подлинности.

Приложение macOS iOS Android
Удаленный рабочий стол
Приложение Для Windows

Поддержка сторонних приложений без брокера проверки подлинности

Если пользователь еще не установлен брокер проверки подлинности, он по-прежнему может войти с помощью секретного ключа при доступе к приложениям с поддержкой MSAL. Дополнительные сведения о требованиях для приложений с поддержкой MSAL см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в разрабатываемых приложениях.

Поддержка веб-браузеров

В этой таблице показана поддержка браузера для проверки подлинности идентификатора Microsoft Entra и учетных записей Майкрософт с помощью FIDO2. Потребители создают учетные записи Майкрософт для таких служб, как Xbox, Skype или Outlook.com.

ОС Chrome Microsoft Edge Firefox Safari
Windows Н/П
macOS
ChromeOS Неприменимо Н/Д Неприменимо
Linux Н/П
iOS
Android 1 Н/П

1Поддержка секретных ключей в Authenticator с помощью Edge на устройствах Android скоро.

Поддержка веб-браузера для каждой платформы

В следующих таблицах показано, какие транспорты поддерживаются для каждой платформы. Поддерживаются следующие типы устройств: USB, коммуникация ближнего поля (NFC) и Bluetooth с низким энергопотреблением (BLE).

Windows

Браузер USB NFC BLE
Microsoft Edge
Chrome
Firefox

Минимальная версия браузера

Ниже приведены минимальные требования к версии браузера в Windows.

Браузер Минимальная версия
Chrome 76
Microsoft Edge Windows 10 версия 19031
Firefox 66

1Все версии новой версии Microsoft Edge на основе Chromium поддерживают FIDO2. Поддержка прежних версий Microsoft Edge была добавлена в 1903.

macOS

Браузер USB NFC1 BLE1
Microsoft Edge Неприменимо Неприменимо
Chrome Неприменимо Неприменимо
Firefox2 Неприменимо Неприменимо
Safari2,3 Неприменимо Неприменимо

1NFC и BLE ключи безопасности не поддерживаются в macOS Apple.

2Новая регистрация ключа безопасности не работает в этих браузерах macOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.

3См . вход при регистрации более трех секретных ключей.

ChromeOS

Браузер1 USB NFC BLE
Chrome

Регистрация ключа безопасности 1не поддерживается в браузере ChromeOS или Chrome.

Linux

Браузер USB NFC BLE
Microsoft Edge
Chrome
Firefox

iOS

Браузер1,3 Lightning NFC BLE2
Microsoft Edge Н/П
Chrome Н/П
Firefox Н/П
Safari Н/П

1Новая регистрация ключа безопасности не работает в браузерах iOS, так как они не запрашивают настройку биометрических данных или ПИН-кода.

2ключи безопасности BLE не поддерживаются в iOS Apple.

3См . вход при регистрации более трех секретных ключей.

Android

Браузер1 USB NFC BLE2
Microsoft Edge
Chrome
Firefox

Регистрация ключа безопасности с помощью идентификатора Microsoft Entra еще не поддерживается в Android.

2ключи безопасности BLE не поддерживаются в Android Google.

Известные проблемы

Войдите, когда зарегистрировано более трех ключей доступа

Если вы зарегистрировали более трех ключей доступа, войдите с помощью секретного ключа, возможно, не работает. Если у вас более трех секретных ключей, в качестве обходного решения щелкните параметры входа и войдите без ввода имени пользователя.

Снимок экрана: параметры входа.

Поддержка PowerShell

Microsoft Graph PowerShell поддерживает FIDO2. Некоторые модули PowerShell, использующие Internet Explorer вместо Edge, не могут выполнять проверку подлинности FIDO2. Например, модули PowerShell для SharePoint Online или Teams или любые скрипты PowerShell, требующие учетных данных администратора, не запрашивают FIDO2.

В качестве обходного решения большинство поставщиков могут помещать сертификаты в ключи безопасности FIDO2. Проверка подлинности на основе сертификатов (CBA) работает во всех браузерах. Если вы можете включить CBA для этих учетных записей администратора, можно требовать CBA вместо FIDO2 в промежуточном режиме.

Следующие шаги

Включить вход с помощью ключа безопасности без пароля