使用 Microsoft Entra ID 的通行密钥 (FIDO2) 身份验证矩阵

Microsoft Entra ID 允许使用通行密钥 (FIDO2) 进行多重无密码身份验证。 本文介绍哪些本机应用程序、Web 浏览器和操作系统支持结合使用 Microsoft Entra ID 和通行密钥进行登录。

若要使 FIDO2 安全密钥能够解锁 Windows 设备，请参阅使用 Microsoft Entra ID 启用 WINDOWS 10 和 11 设备的 FIDO2 安全密钥登录。

注意

Microsoft Entra ID 目前支持存储在 FIDO2 安全密钥和 Microsoft Authenticator 中的设备绑定通行密钥。 Microsoft 致力于使用通行密钥保护客户和用户。 我们正在投资为工作帐户构建同步通行密钥和设备绑定通行密钥。

Web 浏览器

以下部分介绍在具有 Microsoft Entra ID 的 Web 浏览器中对 passkey （FIDO2） 身份验证的支持。

操作系统	Chrome	Edge	Firefox	Safari
Windows	✅	✅	✅	不适用
macOS	✅	✅	✅	✅
ChromeOS	✅	不适用	不适用	不适用
Linux	✅	✅	✅	不适用
iOS	✅	✅	✅	✅
Android	✅	✅	❌	不适用

每个平台的注意事项

Windows

• 使用安全密钥登录需要以下项之一：
  • Windows 10 版本 1903 或更高版本。
  • 基于 Chromium 的 Microsoft Edge
  • Chrome 76 或更高版本
  • Firefox 66 或更高版本

macOS

• 使用通行密钥登录需要 macOS Catalina 11.1 或更高版本以及 Safari 14 或更高版本，因为 Microsoft Entra ID 需要用户验证以进行多重身份验证。
• Apple 不支持在 macOS 上使用近场通信（NFC）和蓝牙低能（BLE）安全密钥技术。
• 新安全密钥注册在这些 macOS 浏览器上不起作用，因为它们不提示设置生物识别或 PIN。
• 对于 macOS 上的 Safari，请参阅在注册三个以上通行密钥时登录。

ChromeOS

• Google 不支持在 ChromeOS 上使用 NFC 和 BLE 安全密钥。
• ChromeOS 或 Chrome 浏览器不支持安全密钥注册。

Linux

• 在 Linux 上的 Firefox 中，尚不支持在 Microsoft Authenticator 中使用通行密钥登录。

iOS

• 使用通行密钥登录需要 iOS 14.3 或更高版本，因为 Microsoft Entra ID 需要用户验证以进行多重身份验证。
• Apple 在 iOS 上不支持 BLE 安全密钥。
• 在 iOS 系统中，Apple 不支持配备 FIPS 140-3 认证安全密钥的 NFC。
• 新安全密钥注册在 iOS 浏览器上不起作用，因为它们不提示设置生物识别或 PIN。
• 请参阅在注册三个以上通行密钥时登录。

Android

• 使用通行密钥登录需要 Google Play Services 21 或更高版本，因为 Microsoft Entra ID 需要用户验证以进行多重身份验证。
• Google 不支持在 Android 上使用 BLE 安全密钥。
• 在 Android 上，尚不支持使用 Microsoft Entra ID 注册安全密钥。
• Android 上的 Firefox 不支持使用通行密钥登录。

已知问题

在注册三个以上通行密钥时登录

如果注册了三个以上的通行密钥，则可能无法在 iOS 或者 macOS 上的 Safari 上使用通行密钥登录。 如果有三个以上的通行密钥，一种变通方法是单击“登录选项”，然后无需输入用户名即可登录。

本机应用

以下各节介绍了在 Microsoft 和使用 Microsoft Entra ID 的第三方应用程序中对通行密钥 (FIDO2) 身份验证的支持。

注意

目前，在使用身份验证代理的第三方应用程序中，以及在 macOS、iOS 或 Android 上的 Microsoft 应用程序中，不支持使用第三方标识提供者（IDP）的 Passkey 身份验证。

使用身份验证代理的本机应用程序支持

针对所有操作系统装有身份验证代理的用户，Microsoft 应用程序提供对通行密钥身份验证的原生支持。 使用身份验证代理的第三方应用程序也支持通行密钥身份验证。

如果用户安装了身份验证代理，则可以选择在访问 Outlook 等应用程序时使用通行密钥登录。 他们被重定向以使用通行密钥登录，并在身份验证成功后作为已登录用户被重定向回 Outlook。

下表列出了不同操作系统所支持的身份验证代理。

操作系统	身份验证代理
iOS	Microsoft Authenticator
macOS	Microsoft Intune 公司门户
Android	验证器、公司门户或连接至 Windows 应用

没有身份验证代理的 Microsoft 应用程序支持

下表列出了在没有身份验证代理的情况下 Microsoft 应用程序对通行密钥 (FIDO2) 的支持。 将应用更新到最新版本，以确保它们可与通行密钥一起工作。

应用程序	macOS	iOS	Android
远程桌面	✅	✅	❌
Windows 应用	✅	✅	❌
Microsoft 365 Copilot （Office）	不适用	✅	❌
Word	✅	✅	❌
PowerPoint	✅	✅	❌
Excel	✅	✅	❌
OneNote	✅	✅	❌
Loop	不适用	✅	❌
OneDrive	✅	✅	❌
Outlook	✅	✅	❌
Teams	✅	✅	❌
Edge	✅	✅	❌

没有身份验证代理的第三方应用程序支持

如果用户尚未安装身份验证代理，则当他们访问启用了 MSAL 的应用程序时，仍然可以使用通行密钥登录。 有关启用了 MSAL 的应用程序的要求的详细信息，请参阅在你开发的应用中使用 FIDO2 密钥支持无密码身份验证。

每个平台的注意事项

Windows

• 使用 FIDO2 安全密钥登录到本机应用需要 Windows 10 版本 1903 或更高版本。
• 使用 Microsoft Authenticator 的 passkey 登录本地应用程序需要 Windows 11 版本 22H2 或更高版本。
• Microsoft Graph PowerShell 支持通行密钥 (FIDO2)。 某些使用 Internet Explorer（而非 Microsoft Edge）的 PowerShell 模块无法执行 FIDO2 身份验证。 例如，适用于 SharePoint Online 或 Teams 的 PowerShell 模块或任何需要管理员凭据的 PowerShell 脚本都不会提示 FIDO2。
  • 一种解决方法是，大多数供应商可以将证书放在 FIDO2 安全密钥上。 基于证书的身份验证 (CBA) 适合所有浏览器。 如果可以为这些管理员帐户启用 CBA，可在此期间要求进行 CBA 而不是 FIDO2。

iOS

• 在没有 Microsoft Enterprise 单一登录（SSO）插件 的本地应用程序中使用密码钥登录需要 iOS 16.0 或更高版本。
• 使用带有 SSO 插件的原生应用中的密码钥匙登录需要 iOS 17.1 或更高版本。

macOS

• 在 macOS 上，需要 Microsoft Enterprise 单一登录 (SSO) 插件才能使用公司门户作为身份验证代理。 运行 macOS 的设备必须满足 SSO 插件要求，包括注册移动设备管理。
• 使用 SSO 插件的本机应用中通过密码密钥登录需要 macOS 14.0 或更高版本。

Android

• 使用 FIDO2 安全密钥登录到原生应用需要 Android 13 或更高版本。
• 在 Microsoft Authenticator 中使用通行密钥登录到本地应用需要 Android 14 或更高版本。
• 使用已启用 YubiOTP 的 Yubico 制造 FIDO2 安全密钥登录可能无法在 Samsung Galaxy 设备上正常工作。 解决方法是，用户可以禁用 YubiOTP 并尝试再次登录。

后续步骤

启用无密码安全密钥登录