具有 Microsoft Entra ID 的通行密碼(FIDO2)驗證矩陣
Microsoft Entra ID 可讓通行密鑰(FIDO2)用於無密碼的多因素身份驗證。 本文涵蓋哪些原生應用程式、網頁瀏覽器和操作系統支援使用具有 Microsoft Entra 識別碼的通行密鑰登入。
若要啟用 FIDO2 安全性金鑰以解除鎖定 Windows 裝置,請參閱 使用 Microsoft Entra ID啟用 WINDOWS 10 和 11 裝置的 FIDO2 安全性金鑰登入。
注意
Microsoft Entra ID 目前支援將裝置繫結通行金鑰儲存於 FIDO2 安全性金鑰和 Microsoft Authenticator。 Microsoft 致力於利用通行金鑰保護客戶和使用者。 我們正針對工作帳戶的同步處理和裝置繫結通行金鑰投入心力。
概述
| OS | Chrome | Edge | Firefox | Safari | 原生應用程式 |
|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/A | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ 1 |
| ChromeOS | ✅ | N/A | N/A | N/A | N/A |
| Linux | ✅ | ✅ | ✅ | N/A | ❌ |
| iOS | ✅ | ✅ | ✅ | ✅ | ✅ 1 |
| Android | ✅ | ✅ | ❌ | N/A | ✅ 1 |
1要求在使用者的裝置上安裝驗證代理程式。 有些 Microsoft 應用程式支援不需要驗證代理程式的通行密鑰驗證。 如需詳細資訊,請參閱 原生應用程式支援。
每個平台的考慮事項
Windows
- 最好的 Passkey 登入體驗是在 Windows 11 版本 22H2 或更新的版本上。
- 使用安全性金鑰登入需要下列其中之一的項目:
- Windows 10 版本 1903 或更新版本
- 以 Chromium 為基礎的 Microsoft Edge
- Chrome 76 或更新版本
- Firefox 66 或更新版本
-
Microsoft Graph PowerShell 支援通行金鑰(FIDO2)。 某些使用 Internet Explorer 而非 Edge 的 PowerShell 模組無法執行 FIDO2 驗證。 例如,適用於 SharePoint Online 或 Teams 的 PowerShell 模組,或任何需要系統管理員認證的 PowerShell 指令碼,請勿提示 FIDO2。
- 因應措施是,大部分廠商都可以將憑證放在 FIDO2 安全性密鑰上。 憑證式驗證 (CBA) 適用於所有瀏覽器。 如果您可以針對這些系統管理員帳戶啟用 CBA,便可在過渡期間要求 CBA 而非 FIDO2。
macOS
- 使用 passkey 登入需要 macOS Catalina 11.1 版及更高版本與 Safari 14 或更高版本,因為 Microsoft Entra ID 需要使用者進行多重因素驗證。
- Apple 不支援在 macOS 上使用近距離通信(NFC)和藍牙低能(BLE)安全性鑰匙。
- 新的安全性金鑰註冊無法在這些 macOS 瀏覽器中運作,因為它們不會提示設定生物特徵辨識或 PIN。
- 當 macOS 上的 Safari 註冊超過三個通行金鑰時,請參閱 以登入。
ChromeOS
- Google 不支援 ChromeOS 上的 NFC 和 BLE 安全性密鑰。
- ChromeOS 或 Chrome 瀏覽器不支援安全性金鑰註冊。
Linux
- Linux 上的 Firefox 不支援使用 passkey 登入Microsoft Authenticator。
iOS
- 使用 passkey 登入需要 iOS 14.3 或更新版本,因為 Microsoft Entra ID 要求多重要素驗證時進行使用者驗證。
- Apple 不支援 iOS 上的 BLE 安全性金鑰。
- 新的安全性金鑰註冊無法在 iOS 瀏覽器上運作,因為它們不會提示設定生物特徵辨識或 PIN。
- 請參閱 當註冊超過三個通行密鑰時登入。
Android
- 使用 passkey 登入需要 Google Play Services 21 或更新版本,因為 Microsoft Entra ID 需要使用者驗證以進行多因素驗證。
- Google 不支援 Android 上的 BLE 安全性金鑰。
- Android 尚不支援使用 Microsoft Entra 識別碼進行安全性密鑰註冊。
- Android 上的 Firefox 不支援使用 passkey 登入。
原生應用程式支援
下列各節介紹在 Microsoft 和第三方應用程式中使用 Microsoft Entra ID 的通行密钥(FIDO2)驗證支援。
注意
目前,使用第三方識別提供者(IDP)的通行碼驗證不支援使用驗證代理的第三方應用程式,也不支援 MacOS、iOS 或 Android 上的 Microsoft 應用程式。
驗證代理程式的原生應用程式支援
Microsoft應用程式為已安裝其作業系統之驗證代理程式的所有使用者提供傳遞密鑰驗證的原生支援。 使用驗證代理的第三方應用程式也支援通行金鑰驗證。
如果使用者安裝了驗證代理程式,他們可以選擇在存取 Outlook 之類的應用程式時使用複雜金鑰登入。 系統會將他們重新導向至使用通行密鑰登入,並在成功驗證之後重新導向回 Outlook 作為已登入的使用者。
下表列出不同作業系統支援哪些驗證代理程式。
| OS | 驗證代理程式 |
|---|---|
| iOS | Microsoft 驗證器 |
| macOS | Microsoft Intune 公司入口網站 |
| Android | 驗證器、公司入口網站 或 連結至 Windows 應用程式 |
iOS
- 在原生應用程式中使用 passkey 登入,而不使用 Microsoft Enterprise 單一登錄 SSO 外掛程式, 需要 iOS 16.0 或更新版本。
- 使用 SSO 外掛程式,在原生應用程式中使用 passkey 登入需 iOS 17.1 或以上版本。
macOS
- 在macOS上,需要 Microsoft Enterprise 單一登入 (SSO) 外掛程式,才能將公司入口網站啟用為驗證代理程式。 執行 macOS 的裝置必須符合 SSO 外掛程式需求,包括行動裝置管理的註冊。
- 使用 SSO 外掛程式在原生應用程式中使用 passkey 登入需要 macOS 14.0 或更新版本。
Android
- 使用 FIDO2 安全性金鑰登入原生應用程式需要 Android 13 或更新版本。
- 使用通行密鑰透過 Microsoft Authenticator 進行原生應用程式的登入需要 Android 14 或更新版本。
沒有驗證代理程式的 Microsoft 應用程式支援
下表列出了 Microsoft 應用程式對沒有驗證代理程式之密鑰 (FIDO2) 的支援。
| 申請 | macOS | iOS | Android |
|---|---|---|---|
| 遠端桌面 | ✅ | ✅ | ❌ |
| Windows 應用程式 | ✅ | ✅ | ❌ |
沒有驗證代理程式的協力廠商應用程式支援
如果使用者尚未安裝驗證代理程式,他們仍然可以在存取已啟用 MSAL 的應用程式時使用通行金鑰登入。 如需 MSAL 啟用應用程式需求的詳細資訊,請參閱 在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證。
已知問題
註冊超過三個通行金鑰時登入
如果您註冊了三個以上的通行密鑰,使用通行密鑰登入可能無法在 iOS 或 macOS 的 Safari 上運作。 如果您有三個以上的通行金鑰,因應措施是按兩下 [登入選項],然後在不輸入使用者名稱的情況下登入。
