Поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra
Идентификатор Microsoft Entra позволяет использовать секретные ключи для проверки подлинности без пароля. В этой статье описывается, какие собственные приложения, веб-браузеры и операционные системы поддерживают проверку подлинности без пароля с помощью секретных ключей с идентификатором Microsoft Entra.
Примечание.
Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.
Поддержка собственных приложений
В следующих разделах описана поддержка приложений Майкрософт и сторонних разработчиков. Сквозная проверка подлинности (FIDO2) со сторонним поставщиком удостоверений (IDP) не поддерживается в сторонних приложениях с помощью брокера проверки подлинности или приложений Майкрософт в macOS, iOS или Android в настоящее время.
Поддержка собственного приложения с помощью брокера проверки подлинности (предварительная версия)
Приложения Майкрософт предоставляют встроенную поддержку проверки подлинности FIDO2 в предварительной версии для всех пользователей, у которых установлен брокер проверки подлинности для своей операционной системы. Проверка подлинности FIDO2 также поддерживается в предварительной версии для сторонних приложений с помощью брокера проверки подлинности.
В следующих таблицах перечислены брокеры проверки подлинности, поддерживаемые для разных операционных систем.
| ОС | Брокер проверки подлинности | Поддерживает FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Корпоративный портал Intune 1 | ✅ |
| Android2 | Приложение Authenticator, Корпоративный портал или Связь с Windows | ✅ |
1В macOS подключаемый модуль Microsoft Enterprise Единый вход (SSO) требуется для включения Корпоративный портал в качестве брокера проверки подлинности. Устройства под управлением macOS должны соответствовать требованиям подключаемого модуля единого входа, включая регистрацию в управлении мобильными устройствами. Для проверки подлинности FIDO2 убедитесь, что вы запускаете последнюю версию собственных приложений.
Поддержка собственных приложений для ключей безопасности FIDO2 в Android версии 13 и ниже находится в разработке.
Если пользователь установил брокер проверки подлинности, он может войти с помощью ключа безопасности при доступе к приложению, например Outlook. Они перенаправляются на вход с помощью FIDO2 и перенаправляются обратно в Outlook в качестве пользователя, выполнившего вход после успешной проверки подлинности.
Поддержка приложений Майкрософт без брокера проверки подлинности (предварительная версия)
В следующей таблице перечислены возможности поддержки приложений Майкрософт для секретного ключа (FIDO2) без брокера проверки подлинности.
| Приложение | macOS | iOS | Android |
|---|---|---|---|
| Удаленный рабочий стол | ✅ | ✅ | ❌ |
| Приложение Для Windows | ✅ | ✅ | ❌ |
Поддержка сторонних приложений без брокера проверки подлинности
Если пользователь еще не установлен брокер проверки подлинности, он по-прежнему может войти с помощью секретного ключа при доступе к приложениям с поддержкой MSAL. Дополнительные сведения о требованиях для приложений с поддержкой MSAL см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в разрабатываемых приложениях.
Поддержка веб-браузеров
В этой таблице показана поддержка браузера для проверки подлинности идентификатора Microsoft Entra и учетных записей Майкрософт с помощью FIDO2. Потребители создают учетные записи Майкрософт для таких служб, как Xbox, Skype или Outlook.com.
| ОС | Chrome | Microsoft Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | Н/П |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | Неприменимо | Н/Д | Неприменимо |
| Linux | ✅ | ❌ | ❌ | Н/П |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅1 | ❌ | Н/П |
1Поддержка секретных ключей в Authenticator с помощью Edge на устройствах Android скоро.
Поддержка веб-браузера для каждой платформы
В следующих таблицах показано, какие транспорты поддерживаются для каждой платформы. Поддерживаются следующие типы устройств: USB, коммуникация ближнего поля (NFC) и Bluetooth с низким энергопотреблением (BLE).
Windows
| Браузер | USB | NFC | BLE |
|---|---|---|---|
| Microsoft Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Минимальная версия браузера
Ниже приведены минимальные требования к версии браузера в Windows.
| Браузер | Минимальная версия |
|---|---|
| Chrome | 76 |
| Microsoft Edge | Windows 10 версия 19031 |
| Firefox | 66 |
1Все версии новой версии Microsoft Edge на основе Chromium поддерживают FIDO2. Поддержка прежних версий Microsoft Edge была добавлена в 1903.
macOS
| Браузер | USB | NFC1 | BLE1 |
|---|---|---|---|
| Microsoft Edge | ✅ | Неприменимо | Неприменимо |
| Chrome | ✅ | Неприменимо | Неприменимо |
| Firefox2 | ✅ | Неприменимо | Неприменимо |
| Safari2,3 | ✅ | Неприменимо | Неприменимо |
1NFC и BLE ключи безопасности не поддерживаются в macOS Apple.
2Новая регистрация ключа безопасности не работает в этих браузерах macOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.
3См . вход при регистрации более трех секретных ключей.
ChromeOS
| Браузер1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
Регистрация ключа безопасности 1не поддерживается в браузере ChromeOS или Chrome.
Linux
| Браузер | USB | NFC | BLE |
|---|---|---|---|
| Microsoft Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Браузер1,3 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Microsoft Edge | ✅ | ✅ | Н/П |
| Chrome | ✅ | ✅ | Н/П |
| Firefox | ✅ | ✅ | Н/П |
| Safari | ✅ | ✅ | Н/П |
1Новая регистрация ключа безопасности не работает в браузерах iOS, так как они не запрашивают настройку биометрических данных или ПИН-кода.
2ключи безопасности BLE не поддерживаются в iOS Apple.
3См . вход при регистрации более трех секретных ключей.
Android
| Браузер1 | USB | NFC | BLE2 |
|---|---|---|---|
| Microsoft Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
Регистрация ключа безопасности с помощью идентификатора Microsoft Entra еще не поддерживается в Android.
2ключи безопасности BLE не поддерживаются в Android Google.
Известные проблемы
Войдите, когда зарегистрировано более трех ключей доступа
Если вы зарегистрировали более трех ключей доступа, войдите с помощью секретного ключа, возможно, не работает. Если у вас более трех секретных ключей, в качестве обходного решения щелкните параметры входа и войдите без ввода имени пользователя.
Поддержка PowerShell
Microsoft Graph PowerShell поддерживает FIDO2. Некоторые модули PowerShell, использующие Internet Explorer вместо Edge, не могут выполнять проверку подлинности FIDO2. Например, модули PowerShell для SharePoint Online или Teams или любые скрипты PowerShell, требующие учетных данных администратора, не запрашивают FIDO2.
В качестве обходного решения большинство поставщиков могут помещать сертификаты в ключи безопасности FIDO2. Проверка подлинности на основе сертификатов (CBA) работает во всех браузерах. Если вы можете включить CBA для этих учетных записей администратора, можно требовать CBA вместо FIDO2 в промежуточном режиме.