使用 Microsoft Entra ID 的通行密钥 (FIDO2) 身份验证矩阵
Microsoft Entra ID 允许将密钥(FIDO2)用于多重无密码身份验证。 本文介绍哪些本机应用程序、Web 浏览器和操作系统支持使用具有 Microsoft Entra ID 的 passkey 登录。
若要启用 FIDO2 安全密钥以解锁 Windows 设备,请参阅 启用 WINDOWS 10 和 11 设备(Microsoft Entra ID)的 FIDO2 安全密钥登录。
注意
Microsoft Entra ID 目前支持存储在 FIDO2 安全密钥和 Microsoft Authenticator 中的设备绑定通行密钥。 Microsoft 致力于使用通行密钥保护客户和用户。 我们正在投资为工作帐户构建同步通行密钥和设备绑定通行密钥。
概述
| 操作系统 | Chrome | Edge | Firefox | Safari | 本机应用 |
|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | 不适用 | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅2 |
| ChromeOS | ✅ | 不适用 | 不适用 | 不适用 | 不适用 |
| Linux | ✅ | ✅ | ✅1 | 不适用 | ❌ |
| iOS | ✅ | ✅ | ✅ | ✅ | ✅2 |
| Android | ✅ | ✅1 | ❌ | 不适用 | ✅2 |
1在此场景中,尚不支持在 Microsoft Authenticator 中使用通行密钥登录。
2要求在用户的设备上安装身份验证代理。 某些Microsoft应用支持不使用身份验证代理的密钥身份验证。 有关详细信息,请参阅 原生应用程序支持。
每个平台的注意事项
Windows
- 最佳通行密钥登录体验位于 Windows 11 版本 22H2 或更高版本上。
- 使用安全密钥登录需要以下项之一:
- Windows 10 版本 1903 或更高版本
- 基于 Chromium 的 Microsoft Edge
- Chrome 76 或更高版本
- Firefox 66 或更高版本
- Microsoft Graph PowerShell 支持通行密钥(FIDO2)。 某些使用 Internet Explorer(而非 Microsoft Edge)的 PowerShell 模块无法执行 FIDO2 身份验证。 例如,适用于 SharePoint Online 或 Teams 的 PowerShell 模块或任何需要管理员凭据的 PowerShell 脚本都不会提示 FIDO2。
- 一种解决方法是,大多数供应商可以将证书放在 FIDO2 安全密钥上。 基于证书的身份验证 (CBA) 适合所有浏览器。 如果可以为这些管理员帐户启用 CBA,可在此期间要求进行 CBA 而不是 FIDO2。
macOS
- 使用 passkey 登录需要 macOS Catalina 11.1 或更高版本和 Safari 14 或更高版本,因为Microsoft Entra ID 要求用户验证多重身份验证。
- Apple 不支持在 macOS 上使用近场通信(NFC)和蓝牙低能(BLE)安全密钥技术。
- 新的安全密钥注册在这些 macOS 浏览器中不起作用,因为它们不会提示设置生物识别或 PIN。
- 对于 macOS 上的 Safari,请参阅在注册三个以上通行密钥时登录。
ChromeOS
- Google 在 ChromeOS 上不支持 NFC 和 BLE 安全密钥。
- ChromeOS 或 Chrome 浏览器不支持安全密钥注册。
Linux
- Linux 上的 Firefox 不支持在 Microsoft Authenticator 中使用 passkey 登录。
iOS
- 使用 passkey 登录需要 iOS 14.3 或更高版本,因为Microsoft Entra ID 需要用户验证多重身份验证。
- Apple 在 iOS 上不支持 BLE 安全密钥。
- 新的安全密钥注册不适用于 iOS 浏览器,因为它们不会提示设置生物识别或 PIN。
- 请参阅在注册三个以上通行密钥时登录。
Android
- 使用通行密钥登录需要 Google Play Services 21 或更高版本,因为 Microsoft Entra ID 需要用户验证以进行多重身份验证。
- Google 不支持 Android 上的 BLE 安全密钥。
- Android 尚不支持使用 Microsoft Entra ID 进行安全密钥注册。
- Android 上的 Firefox 不支持使用 passkey 登录。
本机应用程序支持
以下各节介绍了在 Microsoft 和使用 Microsoft Entra ID 的第三方应用程序中对通行密钥 (FIDO2) 身份验证的支持。
注意
目前,在使用身份验证代理的第三方应用程序中,以及在 macOS、iOS 或 Android 上的 Microsoft 应用程序中,不支持使用第三方标识提供者(IDP)的 Passkey 身份验证。
使用身份验证代理的本机应用程序支持
Microsoft应用程序为为其操作系统安装了身份验证代理的所有用户提供密钥身份验证的本机支持。 使用身份验证代理的第三方应用程序也支持密码身份验证。
如果用户安装了身份验证代理,则可以选择在访问 Outlook 等应用程序时使用密钥登录。 他们被重定向以使用通行密钥登录,并在身份验证成功后作为已登录用户被重定向回 Outlook。
下表列出了不同操作系统所支持的身份验证代理。
| 操作系统 | 身份验证代理 |
|---|---|
| iOS | Microsoft Authenticator |
| macOS | Microsoft Intune 公司门户 |
| Android | 验证器、公司门户或连接至 Windows 应用 |
iOS
- 在没有 Microsoft Enterprise 单一登录(SSO)插件 的本地应用程序中使用密码钥登录需要 iOS 16.0 或更高版本。
- 使用带有 SSO 插件的原生应用中的密码钥匙登录需要 iOS 17.1 或更高版本。
macOS
- 在 macOS 上,需要 Microsoft Enterprise 单一登录 (SSO) 插件才能使用公司门户作为身份验证代理。 运行 macOS 的设备必须满足 SSO 插件要求,包括注册移动设备管理。
- 使用 SSO 插件的本机应用中通过密码密钥登录需要 macOS 14.0 或更高版本。
Android
- 使用 FIDO2 安全密钥登录到本机应用需要 Android 13 或更高版本。
- 在 Microsoft Authenticator 中使用通行密钥登录到本地应用需要 Android 14 或更高版本。
没有身份验证代理的 Microsoft 应用程序支持
下表列出了在没有身份验证代理的情况下 Microsoft 应用程序对通行密钥 (FIDO2) 的支持。
| 应用程序 | macOS | iOS | Android |
|---|---|---|---|
| 远程桌面 | ✅ | ✅ | ❌ |
| Windows 应用 | ✅ | ✅ | ❌ |
没有身份验证代理的第三方应用程序支持
如果用户尚未安装身份验证代理,则当他们访问启用了 MSAL 的应用程序时,仍然可以使用通行密钥登录。 有关启用了 MSAL 的应用程序的要求的详细信息,请参阅在你开发的应用中使用 FIDO2 密钥支持无密码身份验证。
已知问题
在注册三个以上通行密钥时登录
如果注册了三个以上的密钥,则使用 passkey 登录可能无法在 iOS 或 macOS 上的 Safari 上运行。 如果有三个以上的通行密钥,一种变通方法是单击“登录选项”,然后无需输入用户名即可登录。
