Матрица аутентификации с помощью ключа доступа (FIDO2) в Microsoft Entra ID
Статья
Идентификатор Microsoft Entra позволяет использовать ключи доступа (FIDO2) для многофакторной проверки подлинности без пароля. В этой статье описывается, какие собственные приложения, веб-браузеры и операционные системы поддерживают вход с помощью секретного ключа с идентификатором Microsoft Entra.
Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.
В следующем разделе рассматривается поддержка проверки подлинности с помощью ключа доступа (FIDO2) в веб-браузерах с идентификатором Microsoft Entra.
ОС
Chrome
Microsoft Edge
Firefox
Safari
Windows
✅
✅
✅
Н/П
macOS
✅
✅
✅
✅
ChromeOS
✅
Н/П
Н/П
Н/П
Linux
✅
✅
✅
Н/П
iOS
✅
✅
✅
✅
Android
✅
✅
❌
Н/П
Рекомендации по каждой платформе
Windows
Для входа с помощью ключа безопасности требуется один из следующих элементов:
Windows 10 версии 1903 или более поздней
Microsoft Edge на основе Chromium
Chrome 76 или более поздней версии
Firefox 66 или более поздней версии
macOS
Для входа с помощью секретного ключа требуется macOS Catalina 11.1 или более поздней версии с safari 14 или более поздней версии, так как идентификатор Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
В macOS Apple не поддерживаются ключи безопасности с ближней бесконтактной связью (NFC) и Bluetooth Low Energy (BLE).
Регистрация нового ключа безопасности не работает в этих браузерах macOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.
Ключи безопасности NFC и BLE не поддерживаются в ChromeOS Google.
Регистрация ключа безопасности не поддерживается в браузере ChromeOS или Chrome.
Linux
Вход с помощью секретного ключа в Microsoft Authenticator не поддерживается в Firefox в Linux.
iOS
Для входа с помощью секретного ключа требуется iOS 14.3 или более поздней версии, так как идентификатор Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
Ключи безопасности BLE не поддерживаются в iOS Apple.
NFC с сертифицированными ключами безопасности FIPS 140-3 не поддерживается в iOS Apple.
Регистрация нового ключа безопасности не работает в браузерах iOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.
Для входа с помощью секретного ключа требуется Служба Google Play 21 или более поздней версии, так как идентификатор Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
Ключи безопасности BLE не поддерживаются в Android Google.
Регистрация ключа безопасности с помощью идентификатора Microsoft Entra еще не поддерживается в Android.
Вход с помощью секретного ключа не поддерживается в Firefox на Android.
Известные проблемы
Войдите, когда зарегистрировано более трех ключей доступа
Если вы зарегистрировали более трех ключей доступа, вход с помощью секретного ключа может не работать в iOS или Safari в macOS. Если у вас более трех секретных ключей, в качестве обходного решения щелкните параметры входа и войдите без ввода имени пользователя.
В следующем разделе рассматривается поддержка проверки подлинности с помощью ключа доступа (FIDO2) в приложениях Майкрософт и сторонних разработчиков с идентификатором Microsoft Entra.
Примечание.
Аутентификация с использованием ключей доступа со сторонним поставщиком удостоверений (IDP) не поддерживается в сторонних приложениях, использующих брокер аутентификации, или в приложениях Microsoft на macOS, iOS или Android на данный момент.
Поддержка собственных приложений с помощью брокера проверки подлинности
Приложения Майкрософт обеспечивают встроенную поддержку проверки подлинности секретного ключа для всех пользователей, у которых установлен брокер проверки подлинности для своей операционной системы. Аутентификация с помощью ключа доступа также поддерживается для сторонних приложений через посредника аутентификации.
Если пользователь установил брокер проверки подлинности, он может войти с помощью секретного ключа при доступе к приложению, например Outlook. Они перенаправляются для входа с помощью секретного ключа и перенаправляются обратно в Outlook в качестве пользователя, выполнившего вход после успешной проверки подлинности.
В следующих таблицах перечислены брокеры проверки подлинности, поддерживаемые для разных операционных систем.
ОС
Брокер проверки подлинности
iOS
Microsoft Authenticator
macOS
Корпоративный портал Microsoft Intune
Android
Приложение Authenticator, Корпоративный портал или Связь с Windows
Поддержка приложений Майкрософт без брокера проверки подлинности
В следующей таблице перечислены возможности поддержки приложений Майкрософт для секретного ключа (FIDO2) без брокера проверки подлинности. Обновите приложения до последней версии, чтобы убедиться, что они работают с ключами доступа.
Поддержка сторонних приложений без брокера проверки подлинности
Если пользователь еще не установлен брокер проверки подлинности, он по-прежнему может войти с помощью секретного ключа при доступе к приложениям с поддержкой MSAL. Дополнительные сведения о требованиях для приложений с поддержкой MSAL см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в разрабатываемых приложениях.
Рекомендации по каждой платформе
Windows
Для входа с помощью ключа безопасности FIDO2 в собственных приложениях требуется Windows 10 версии 1903 или более поздней.
Для входа с помощью секретного ключа в Microsoft Authenticator в собственные приложения требуется Windows 11 версии 22H2 или более поздней версии.
Microsoft Graph PowerShell поддерживает ключ доступа (FIDO2). Некоторые модули PowerShell, использующие Internet Explorer вместо Edge, не могут выполнять проверку подлинности FIDO2. Например, модули PowerShell для SharePoint Online или Teams или любые скрипты PowerShell, требующие учетных данных администратора, не запрашивают FIDO2.
В качестве обходного решения большинство поставщиков могут помещать сертификаты в ключи безопасности FIDO2. Проверка подлинности на основе сертификатов (CBA) работает во всех браузерах. Если вы можете включить CBA для этих учетных записей администратора, можно требовать CBA вместо FIDO2 в промежуточном режиме.
Для входа с помощью секретного ключа в собственных приложениях с подключаемым модулем единого входа требуется iOS 17.1 или более поздней версии.
macOS
В macOS подключаемый модуль единого входа (SSO) Microsoft Enterprise требуется для включения корпоративного портала в качестве брокера проверки подлинности. Устройства под управлением macOS должны соответствовать требованиям подключаемого модуля единого входа, включая регистрацию в управлении мобильными устройствами.
Для входа с помощью секретного ключа в собственных приложениях с подключаемым модулем единого входа требуется macOS 14.0 или более поздней версии.
Android
Для входа с помощью ключа безопасности FIDO2 в собственных приложениях требуется Android 13 или более поздней версии.
Для входа с помощью секретного ключа в Microsoft Authenticator в собственные приложения требуется Android 14 или более поздней версии.
Вход с помощью ключей безопасности FIDO2 с поддержкой YubiOTP может не работать на устройствах Samsung Galaxy. В качестве обходного решения пользователи могут отключить YubiOTP и повторить вход.