使用 Microsoft Entra ID 的 FIDO2 通行碼驗證矩陣

Microsoft Entra ID 可讓通行密鑰（FIDO2）用於無密碼的多因素身份驗證。 本文涵蓋哪些原生應用程式、網頁瀏覽器和操作系統支援使用具有 Microsoft Entra 識別碼的通行密鑰登入。

若要啟用 FIDO2 安全性金鑰以解除鎖定 Windows 裝置，請參閱 使用 Microsoft Entra ID啟用 WINDOWS 10 和 11 裝置的 FIDO2 安全性金鑰登入。

注意

Microsoft Entra ID 目前支援將裝置繫結通行金鑰儲存在 FIDO2 安全性金鑰和 Microsoft Authenticator 中。 Microsoft 致力於利用通行金鑰保護客戶和使用者。 我們正針對工作帳戶的同步和裝置綁定金鑰投入資源。

注意

Microsoft Entra ID 目前僅支持儲存在 FIDO2 安全性密鑰或 Microsoft Authenticator 上的裝置系結通行密鑰。 Microsoft致力於保護使用通行金鑰的客戶和使用者，並計劃支援Microsoft Entra ID的同步通行金鑰。

網頁瀏覽器

下一節涵蓋在網頁瀏覽器中使用 Microsoft Entra ID 的通行密鑰（FIDO2）驗證支援。

作業系統	Chrome	微軟 Edge	Firefox	Safari
Windows	✅	✅	✅	N/A
macOS	✅	✅	✅	✅
ChromeOS	✅	N/A	N/A	N/A
Linux	✅	✅	✅	N/A
iOS	✅	✅	✅	✅
Android	✅	✅	❌	N/A

每個平台的考慮事項

Windows

• 使用安全性金鑰登入需要下列其中之一的項目：
  • Windows 10 版本 1903 或更新版本
  • 以 Chromium 為基礎的 Microsoft Edge
  • Chrome 76 或更新版本
  • Firefox 66 或更新版本

macOS

• 使用 passkey 登入需要 macOS Catalina 11.1 版及更高版本與 Safari 14 或更高版本，因為 Microsoft Entra ID 需要使用者進行多重因素驗證。
• Apple 不支援在 macOS 上使用近距離通信（NFC）和藍牙低能（BLE）安全性鑰匙。
• 新的安全性金鑰註冊無法在這些 macOS 瀏覽器中運作，因為它們不會提示設定生物特徵辨識或 PIN。
• 請參閱 當註冊的通行金鑰超過三個時如何登入，適用於 macOS 上的 Safari。

ChromeOS

• Google 不支援 ChromeOS 上的 NFC 和 BLE 安全性密鑰。
• ChromeOS 或 Chrome 瀏覽器不支援安全性金鑰註冊。

Linux

• Linux 上的 Firefox 不支援使用 passkey 登入Microsoft Authenticator。

iOS

• 使用 passkey 登入需要 iOS 14.3 或更新版本，因為 Microsoft Entra ID 要求多重要素驗證時進行使用者驗證。
• Apple 不支援 iOS 上的 BLE 安全性金鑰。
• Apple 不支援在 iOS 上具有 FIPS 140-3 認證的 NFC 安全性密鑰。
• 新的安全性金鑰註冊無法在 iOS 瀏覽器上運作，因為它們不會提示設定生物特徵辨識或 PIN。
• 請參閱 超過三個通行密鑰已註冊時的登入流程。

Android

• 使用 passkey 登入需要 Google Play Services 21 或更新版本，因為 Microsoft Entra ID 需要使用者驗證以進行多因素驗證。
• Google 不支援 Android 上的 BLE 安全性金鑰。
• Android 尚不支援使用 Microsoft Entra 識別碼進行安全性密鑰註冊。
• Android 上的 Firefox 不支援使用 passkey 登入。

已知問題

當已有超過三個通行金鑰時，進行登入

如果您註冊了三個以上的通行密鑰，使用通行密鑰登入可能無法在 iOS 或 macOS 的 Safari 上運作。 如果您有三個以上的通行金鑰，因應措施是按兩下 [登入選項]，然後在不輸入使用者名稱的情況下登入。

原生應用程式

接下來的部分涵蓋 Microsoft 和第三方應用程式中使用 Microsoft Entra ID 的通行密鑰（FIDO2）驗證支援。

注意

目前，使用第三方識別提供者（IDP）的通行碼驗證不支援使用驗證代理的第三方應用程式，也不支援 MacOS、iOS 或 Android 上的 Microsoft 應用程式。

原生應用程式支援，搭配驗證代理程式

Microsoft應用程式為已安裝其作業系統之驗證代理程式的所有使用者提供傳遞密鑰驗證的原生支援。 使用驗證代理的第三方應用程式也支援通行金鑰驗證。

如果使用者安裝了驗證代理程式，他們可以選擇在存取 Outlook 之類的應用程式時使用複雜金鑰登入。 系統會將他們重新導向至使用通行密鑰登入，並在成功驗證之後重新導向回 Outlook 作為已登入的使用者。

下表列出不同作業系統支援哪些驗證代理程式。

作業系統	驗證代理程式
iOS	Microsoft 驗證器
macOS	Microsoft Intune 公司入口網站
Android	驗證器、公司入口網站 或 連結至 Windows 應用程式

沒有驗證代理程式的 Microsoft 應用程式支援

下表列出了 Microsoft 應用程式對沒有驗證代理程式之密鑰 (FIDO2) 的支援。 請將您的應用程式更新至最新版本，以確保它們能與通行金鑰兼容。

申請	macOS	iOS	Android
遠端桌面	✅	✅	✅
Windows 應用程式	✅	✅	✅
Microsoft 365 Copilot（Office）	N/A	✅	❌
詞	✅	✅	❌
簡報軟體	✅	✅	❌
Excel	✅	✅	❌
OneNote	✅	✅	❌
迴圈	N/A	✅	❌
OneDrive	✅	✅	❌
展望	✅	✅	❌
團隊	✅	✅	❌
微軟 Edge	✅	✅	❌

支援協力廠商應用程式而不需要驗證代理程式

如果使用者尚未安裝驗證代理程式，他們仍然可以在存取已啟用 MSAL 的應用程式時使用通行金鑰登入。 如需 MSAL 啟用應用程式需求的詳細資訊，請參閱 在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證。

每個平台的考慮事項

Windows

• 使用 FIDO2 安全性金鑰登入原生應用程式需要 Windows 10 版本 1903 或更新版本。
• 要在 Microsoft Authenticator 中使用通行密鑰登入原生應用程式，需使用 Windows 11 版本 22H2 或更新版本。
• Microsoft Graph PowerShell 支援通行金鑰（FIDO2）。 某些使用 Internet Explorer 而非 Edge 的 PowerShell 模組無法執行 FIDO2 驗證。 例如，適用於 SharePoint Online 或 Teams 的 PowerShell 模組，或任何需要系統管理員認證的 PowerShell 指令碼，請勿提示 FIDO2。
  • 因應措施是，大部分廠商都可以將憑證放在 FIDO2 安全性密鑰上。 憑證式驗證 (CBA) 適用於所有瀏覽器。 如果您可以針對這些系統管理員帳戶啟用 CBA，便可在過渡期間要求 CBA 而非 FIDO2。

iOS

• 在原生應用程式中使用 passkey 登入，而不使用 Microsoft Enterprise 單一登錄 SSO 外掛程式， 需要 iOS 16.0 或更新版本。
• 使用 SSO 外掛程式，在原生應用程式中使用 passkey 登入需 iOS 17.1 或以上版本。

macOS

• 在macOS上，需要 Microsoft Enterprise 單一登入 （SSO） 外掛程式，才能將公司入口網站啟用為驗證代理程式。 執行 macOS 的裝置必須符合 SSO 外掛程式需求，包括行動裝置管理的註冊。
• 要在原生應用程式中透過 SSO 外掛程式使用 passkey 登入，需 macOS 14.0 或更高版本。

Android

• 使用 FIDO2 安全性金鑰登入原生應用程式需要 Android 13 或更新版本。
• 使用通行密鑰透過 Microsoft Authenticator 進行原生應用程式的登入需要 Android 14 或更新版本。
• 使用已啟用 YubiOTP 的 Yubico 製造 FIDO2 安全性密鑰登入可能無法在 Samsung Galaxy 裝置上運作。 因應措施是，使用者可以停用 YubiOTP 並嘗試再次登入。

下一步

啟用無密碼安全性金鑰登入