Autentiseringsmatris för lösenordslösning (FIDO2) med Microsoft Entra ID

Med Microsoft Entra-ID kan nyckelnycklar (FIDO2) användas för lösenordsfri autentisering med flera faktorer. Den här artikeln beskriver vilka inbyggda program, webbläsare och operativsystem som stöder inloggning med hjälp av nyckel med Microsoft Entra-ID.

Information om hur du aktiverar FIDO2-säkerhetsnycklar för att låsa upp en Windows-enhet finns i Aktivera inloggning med FIDO2-säkerhetsnyckel till Windows 10- och 11-enheter med Microsoft Entra-ID.

Kommentar

Microsoft Entra-ID stöder för närvarande enhetsbundna nycklar som lagras på FIDO2-säkerhetsnycklar och i Microsoft Authenticator. Microsoft har åtagit sig att skydda kunder och användare med nyckelnycklar. Vi investerar i både synkroniserade och enhetsbundna nyckelnycklar för arbetskonton.

webbläsare

I följande avsnitt beskrivs stöd för autentisering med nycklar (FIDO2) i webbläsare med Microsoft Entra-ID.

OS	Chrome	Edge	Firefox	Safari
Windows	✅	✅	✅	Ej tillämpligt
macOS	✅	✅	✅	✅
ChromeOS	✅	Ej tillämpligt	Ej tillämpligt	Ej tillämpligt
Linux	✅	✅	✅	Ej tillämpligt
iOS	✅	✅	✅	✅
Android	✅	✅	❌	Ej tillämpligt

Överväganden för varje plattform

Windows

• Inloggning med säkerhetsnyckel kräver något av följande:
  • Windows 10 version 1903 eller senare
  • Chromium-baserad Microsoft Edge
  • Chrome 76 eller senare
  • Firefox 66 eller senare

macOS

• Inloggning med nyckel kräver macOS Catalina 11.1 eller senare med Safari 14 eller senare eftersom Microsoft Entra-ID kräver användarverifiering för multifaktorautentisering.
• Säkerhetsnycklar för närfältskommunikation (NFC) och Bluetooth Low Energy (BLE) stöds inte på macOS av Apple.
• Ny registrering av säkerhetsnycklar fungerar inte i dessa macOS-webbläsare eftersom de inte uppmanas att konfigurera biometri eller PIN-kod.
• Se Logga in när fler än tre lösenordsnycklar har registrerats för Safari på macOS.

ChromeOS

• NFC- och BLE-säkerhetsnycklar stöds inte på ChromeOS av Google.
• Registrering av säkerhetsnycklar stöds inte i Webbläsaren ChromeOS eller Chrome.

Linux

• Inloggning med nyckel i Microsoft Authenticator stöds inte i Firefox på Linux.

iOS

• Inloggning med nyckel kräver iOS 14.3 eller senare eftersom Microsoft Entra-ID kräver användarverifiering för multifaktorautentisering.
• BLE-säkerhetsnycklar stöds inte på iOS av Apple.
• NFC med FIPS 140-3-certifierade säkerhetsnycklar stöds inte på iOS av Apple.
• Ny registrering av säkerhetsnycklar fungerar inte i iOS-webbläsare eftersom de inte uppmanas att konfigurera biometri eller PIN-kod.
• Se Logga in när mer än tre lösenordsnycklar är registrerade.

Android

• Inloggning med nyckel kräver Google Play Services 21 eller senare eftersom Microsoft Entra-ID kräver användarverifiering för multifaktorautentisering.
• BLE-säkerhetsnycklar stöds inte på Android av Google.
• Registrering av säkerhetsnycklar med Microsoft Entra-ID stöds ännu inte på Android.
• Inloggning med nyckel stöds inte i Firefox på Android.

Kända problem

Logga in när fler än tre nycklar har registrerats

Om du har registrerat fler än tre nycklar kanske inloggningen med en nyckel inte fungerar på iOS eller Safari på macOS. Om du har fler än tre nycklar klickar du på Inloggningsalternativ och loggar in utan att ange ett användarnamn.

Interna appar

I följande avsnitt beskrivs stöd för FIDO2-autentisering (lösenordsautentisering) i Microsoft och program från tredje part med Microsoft Entra-ID.

Kommentar

Nyckelautentisering med en identitetsprovider från tredje part (IDP) stöds inte i program från tredje part med hjälp av autentiseringskoordinator eller Microsoft-program på macOS, iOS eller Android just nu.

Internt programstöd med autentiseringskoordinator

Microsoft-program ger internt stöd för nyckelautentisering för alla användare som har en autentiseringskoordinator installerad för sitt operativsystem. Nyckelautentisering stöds också för program från tredje part med hjälp av autentiseringskoordinatorn.

Om en användare har installerat en autentiseringskoordinator kan de välja att logga in med en nyckel när de kommer åt ett program som Outlook. De omdirigeras för att logga in med nyckel och omdirigeras tillbaka till Outlook som inloggad användare efter lyckad autentisering.

I följande tabeller visas vilka autentiseringskoordinatorer som stöds för olika operativsystem.

OS	Autentiseringskoordinator
iOS	Microsoft Authenticator
macOS	Microsoft Intune-företagsportalen
Android	Authenticator, Företagsportal eller Länk till Windows app

Stöd för Microsoft-program utan autentiseringskoordinator

I följande tabell visas Microsoft-programstöd för nyckel (FIDO2) utan asynkron autentiseringskoordinator. Uppdatera dina appar till den senaste versionen av appen för att se till att de fungerar med nycklar för lösenordslösa inloggningar.

Program	macOS	iOS	Android
Fjärrskrivbord	✅	✅	❌
Windows-app	✅	✅	❌
Microsoft 365 Copilot (Office)	Ej tillämpligt	✅	❌
Ord	✅	✅	❌
PowerPoint	✅	✅	❌
Excel	✅	✅	❌
OneNote	✅	✅	❌
Loop	Ej tillämpligt	✅	❌
OneDrive	✅	✅	❌
Framtidsutsikt	✅	✅	❌
Lag	✅	✅	❌
Edge	✅	✅	❌

Stöd för program från tredje part utan autentiseringskoordinator

Om användaren ännu inte har installerat en autentiseringskoordinator kan de fortfarande logga in med en nyckel när de får åtkomst till MSAL-aktiverade program. Mer information om kraven för MSAL-aktiverade program finns i Stöd för lösenordslös autentisering med FIDO2-nycklar i appar som du utvecklar.

Överväganden för varje plattform

Windows

• Inloggning med FIDO2-säkerhetsnyckel till interna appar kräver Windows 10 version 1903 eller senare.
• Inloggning med nyckel i Microsoft Authenticator till interna appar kräver Windows 11 version 22H2 eller senare.
• Microsoft Graph PowerShell stöder nyckel (FIDO2). Vissa PowerShell-moduler som använder Internet Explorer i stället för Edge kan inte utföra FIDO2-autentisering. PowerShell-moduler för SharePoint Online eller Teams, eller powershell-skript som kräver administratörsautentiseringsuppgifter, frågar till exempel inte efter FIDO2.
  • Som en lösning kan de flesta leverantörer placera certifikat på FIDO2-säkerhetsnycklarna. Certifikatbaserad autentisering (CBA) fungerar i alla webbläsare. Om du kan aktivera CBA för dessa administratörskonton kan du kräva CBA i stället för FIDO2 under tiden.

iOS

• Inloggning med lösenordskod i inbyggda appar utan insticksprogram för Microsoft Enterprise Enkel inloggning (SSO) kräver iOS 16.0 eller senare.
• Inloggning med nyckel i interna appar med SSO-plugin-programmet kräver iOS 17.1 eller senare.

macOS

• I macOS krävs plugin-programmet Microsoft Enterprise Single Sign On (SSO) för att aktivera företagsportalen som autentiseringskoordinator. Enheter som kör macOS måste uppfylla kraven för SSO-plugin-program, inklusive registrering i hantering av mobila enheter.
• Inloggning med nyckel i interna appar med SSO-plugin-programmet kräver macOS 14.0 eller senare.

Android

• Inloggning med FIDO2-säkerhetsnyckel till interna appar kräver Android 13 eller senare.
• Inloggning med nyckel i Microsoft Authenticator till interna appar kräver Android 14 eller senare.
• Inloggning med Yubico-tillverkade FIDO2-säkerhetsnycklar med YubiOTP aktiverat kanske inte fungerar på Samsung Galaxy-enheter. Som en lösning kan användare inaktivera YubiOTP och försöka logga in igen.

Nästa steg

Aktivera inloggning med lösenordslös säkerhetsnyckel