支持使用 Microsoft Entra ID 进行 FIDO2 身份验证
Microsoft Entra ID 允许使用通行密钥进行无密码身份验证。 本文介绍哪些本机应用程序、Web 浏览器和操作系统支持结合使用 Microsoft Entra ID 和通行密钥进行无密码身份验证。
注意
Microsoft Entra ID 目前支持存储在 FIDO2 安全密钥和 Microsoft Authenticator 中的设备绑定通行密钥。 Microsoft 致力于使用通行密钥保护客户和用户。 我们正在投资为工作帐户构建同步通行密钥和设备绑定通行密钥。
本机应用程序支持
以下各部分介绍了对 Microsoft 和第三方应用程序的支持。 目前,使用身份验证代理的第三方应用程序或 macOS、iOS 或 Android 上的 Microsoft 应用程序不支持使用第三方标识提供者 (IDP) 进行通行密钥 (FIDO2) 身份验证。
使用身份验证代理的本机应用程序支持
针对所有操作系统装有身份验证代理的用户,Microsoft 应用程序提供对 FIDO2 身份验证的本机支持。 使用身份验证代理的第三方应用程序也支持 FIDO2 身份验证。
下表列出了不同操作系统所支持的身份验证代理。
操作系统 | 身份验证代理 | 支持 FIDO2 |
---|---|---|
iOS | Microsoft Authenticator | ✅ |
macOS | Microsoft Intune 公司门户1 | ✅ |
Android2 | 验证器、公司门户或连接至 Windows 应用 | ✅ |
1在 macOS 上,需要 Microsoft Enterprise 单一登录 (SSO) 插件才能使用公司门户作为身份验证代理。 运行 macOS 的设备必须满足 SSO 插件要求,包括注册移动设备管理。 对于 FIDO2 身份验证,请确保运行最新版本的本机应用程序。
2Android 版本 13 及更低版本上对 FIDO2 安全密钥的本机应用程序支持正在开发中。
如果用户安装了身份验证代理,则可以选择在访问 Outlook 等应用程序时使用安全密钥登录。 用户会重定向到使用 FIDO2 登录,并在身份验证成功后重定向回 Outlook 作为登录用户。
没有身份验证代理的 Microsoft 应用程序支持
下表列出了在没有身份验证代理的情况下 Microsoft 应用程序对通行密钥 (FIDO2) 的支持。
应用程序 | macOS | iOS | Android |
---|---|---|---|
远程桌面 | ✅ | ✅ | ❌ |
Windows 应用 | ✅ | ✅ | ❌ |
没有身份验证代理的第三方应用程序支持
如果用户尚未安装身份验证代理,则当他们访问启用了 MSAL 的应用程序时,仍然可以使用通行密钥登录。 有关启用了 MSAL 的应用程序的要求的详细信息,请参阅在你开发的应用中使用 FIDO2 密钥支持无密码身份验证。
Web 浏览器支持
此表显示浏览器使用 FIDO2 对 Microsoft Entra ID 和 Microsoft 帐户进行身份验证的支持。 客户为 Xbox、Skype 或 Outlook.com 等服务创建 Microsoft 帐户。
(OS) | Chrome | Edge | Firefox | Safari |
---|---|---|---|---|
Windows | ✅ | ✅ | ✅ | 不适用 |
macOS | ✅ | ✅ | ✅ | ✅ |
ChromeOS | ✅ | 空值 | 不可用 | 空值 |
Linux | ✅ | ❌ | ❌ | 空值 |
iOS | ✅ | ✅ | ✅ | ✅ |
Android | ✅ | ✅1 | ❌ | 空值 |
1Android 设备上使用 Edge 对验证器中传递密钥的支持即将推出。
每个平台的 Web 浏览器支持
下表显示了每个平台支持的传输。 支持的设备类型包括 USB、近场通信 (NFC) 和蓝牙低功耗 (BLE) 。
Windows
浏览者 | USB | NFC | BLE |
---|---|---|---|
Edge | ✅ | ✅ | ✅ |
Chrome | ✅ | ✅ | ✅ |
Firefox | ✅ | ✅ | ✅ |
最低浏览器版本
以下是 Windows 上的最低浏览器版本要求。
浏览器 | 最低版本 |
---|---|
Chrome | 76 |
Edge | Windows 10 版本 19031 |
Firefox | 66 |
1基于新 Chromium 的 Microsoft Edge 的所有版本均支持 FIDO2。 1903 版中添加了对 Microsoft Edge 旧版的支持。
macOS
浏览者 | USB | NFC1 | BLE1 |
---|---|---|---|
Microsoft Edge | ✅ | 空值 | 空值 |
Chrome | ✅ | 空值 | 空值 |
Firefox2 | ✅ | 空值 | 空值 |
Safari2、3 | ✅ | 空值 | 空值 |
1Apple 不支持在 macOS 上使用 NFC 和 BLE 安全密钥。
2新安全密钥注册在这些 macOS 浏览器上不起作用,因为它们不提示设置生物识别或 PIN。
3请参阅在注册三个以上通行密钥时登录。
ChromeOS
Browser1 | USB | NFC | BLE |
---|---|---|---|
Chrome | ✅ | ❌ | ❌ |
1ChromeOS 或 Chrome 浏览器不支持安全密钥注册。
Linux
浏览者 | USB | NFC | BLE |
---|---|---|---|
Edge | ❌ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
iOS
浏览器1、3 | Lightning | NFC | BLE2 |
---|---|---|---|
Microsoft Edge | ✅ | ✅ | 空值 |
Chrome | ✅ | ✅ | 空值 |
Firefox | ✅ | ✅ | 空值 |
Safari | ✅ | ✅ | 空值 |
1新安全密钥注册在 iOS 浏览器上不起作用,因为它们不提示设置生物识别或 PIN。
2Apple 不支持在 iOS 上使用 BLE 安全密钥。
3请参阅在注册三个以上通行密钥时登录。
Android
Browser1 | USB | NFC | BLE2 |
---|---|---|---|
Edge | ✅ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
1在 Android 上,尚不支持使用 Microsoft Entra ID 注册安全密钥。
2Google 不支持在 Android 上使用 BLE 安全密钥。
已知问题
在注册三个以上通行密钥时登录
如果注册了三个以上的通行密钥,则可能无法使用通行密钥登录。 如果有三个以上的通行密钥,一种变通方法是单击“登录选项”,然后无需输入用户名即可登录。
PowerShell 支持
Microsoft Graph PowerShell 支持 FIDO2。 某些使用 Internet Explorer(而非 Microsoft Edge)的 PowerShell 模块无法执行 FIDO2 身份验证。 例如,适用于 SharePoint Online 或 Teams 的 PowerShell 模块或任何需要管理员凭据的 PowerShell 脚本都不会提示 FIDO2。
一种解决方法是,大多数供应商可以将证书放在 FIDO2 安全密钥上。 基于证书的身份验证 (CBA) 适合所有浏览器。 如果可以为这些管理员帐户启用 CBA,可在此期间要求进行 CBA 而不是 FIDO2。