Матрица проверки подлинности passkey (FIDO2) с Microsoft Entra ID

В следующем разделе рассматривается поддержка проверки подлинности на основе ключа доступа (FIDO2) в веб-браузерах с Microsoft Entra ID.

Рекомендации по каждой платформе

Windows

• Для входа с помощью ключа безопасности требуется один из следующих элементов:
  • Windows 10 версии 1903 или более поздней
  • Microsoft Edge на основе Chromium
  • Chrome 76 или более поздней версии
  • Firefox 66 или более поздней версии

macOS

• Для входа с помощью секретного ключа требуется macOS Catalina 11.1 или более поздней версии с safari 14 или более поздней версии, так как Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
• На macOS компанией Apple не поддерживаются ключи безопасности с использованием ближней бесконтактной связи (NFC) и Bluetooth Low Energy (BLE).
• Регистрация нового ключа безопасности не работает в этих браузерах macOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.

ChromeOS

• Ключи безопасности NFC и BLE не поддерживаются в ChromeOS Google.
• Регистрация ключа безопасности не поддерживается в браузере ChromeOS или Chrome.

Линукс

• Вход с помощью секретного ключа в Microsoft Authenticator не поддерживается в Firefox в Linux.

iOS

• Для входа с помощью секретного ключа требуется iOS 14.3 или более поздней версии, так как Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
• Ключи безопасности BLE не поддерживаются в iOS Apple.
• NFC с сертифицированными ключами безопасности FIPS 140-3 не поддерживается в iOS Apple.
• Регистрация нового ключа безопасности не работает в браузерах iOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.

Андроид

• Для входа с помощью секретного ключа требуется Google Play Services 21 или более поздней версии, так как Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
• Ключи безопасности BLE и NFC не поддерживаются в Android Google.
• Вход с помощью секретного ключа не поддерживается в Firefox на Android.

В следующих разделах описана поддержка проверки подлинности с ключом доступа (FIDO2) в Microsoft Entra ID для следующих разделов:

• Майкрософт поддержка приложений с помощью брокера проверки подлинности
• Майкрософт поддержка приложений без брокера проверки подлинности
• Поддержка сторонних приложений без брокера проверки подлинности
• Поддержка стороннего поставщика услуг идентификации (IdP)

поддержка приложений Майкрософт с помощью брокера проверки подлинности

Майкрософт приложения предоставляют встроенную поддержку проверки подлинности секретного ключа для всех пользователей, у которых установлен брокер проверки подлинности для своей операционной системы. Проверка подлинности секретного ключа также поддерживается для сторонних приложений с помощью брокера проверки подлинности.

Если пользователь установил брокер проверки подлинности, он может войти с помощью секретного ключа при доступе к приложению, например Outlook. Они перенаправляются для входа с помощью секретного ключа и перенаправляются обратно в Outlook в качестве пользователя, выполнившего вход после успешной проверки подлинности.

В следующих таблицах перечислены брокеры проверки подлинности, поддерживаемые для разных операционных систем.

поддержка приложений Майкрософт без брокера проверки подлинности

В следующей таблице перечислены Майкрософт поддержка приложений для секретного ключа (FIDO2) без брокера проверки подлинности. Обновите приложения до последней версии, чтобы убедиться, что они работают с ключами доступа.

Поддержка сторонних приложений без брокера проверки подлинности

Если пользователь еще не установлен брокер проверки подлинности, он по-прежнему может войти с помощью секретного ключа при доступе к приложениям с поддержкой MSAL. Дополнительные сведения о требованиях к приложениям с поддержкой MSAL см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в разрабатываемых приложениях.

Поддержка сторонних поставщиков услуг аутентификации

Microsoft Entra ID не поддерживает сквозную проверку подлинности с сторонним поставщиком удостоверений в iOS или macOS. В качестве обходного решения сторонние поставщики удостоверений могут реализовать собственное расширение единого входа на устройствах iOS/macOS, если они управляются мобильными Управление устройствами (MDM).

Расширяемая платформа единого входа Apple на устройствах, управляемых MDM, позволяет поставщикам удостоверений перехватывать сетевые запросы, направленные на их URL-адреса. Когда расширение единого входа идентификационного поставщика перехватывает сетевой запрос, оно может реализовать пользовательский процесс подтверждения проверки подлинности. Это позволяет им использовать системный браузер или собственные API Apple для сквозной проверки подлинности без изменений в приложениях Майкрософт.

Дополнительные сведения см. в следующей документации Apple:

• ExtensibleSingleSignOn Управление устройствами Profile
• Коллекция API единого входа Enterprise

Рекомендации по каждой платформе

Windows

• Для входа с помощью ключа безопасности FIDO2 в собственных приложениях требуется Windows 10 версии 1903 или более поздней.
• Для входа с помощью секретного ключа в Microsoft Authenticator для собственных приложений требуется Windows 11 версии 22H2 или более поздней.
• Microsoft Graph PowerShell поддерживает секретный ключ (FIDO2). Некоторые модули PowerShell, использующие Internet Explorer вместо Edge, не могут выполнять проверку подлинности FIDO2. Например, модули PowerShell для SharePoint Online или Teams или любые скрипты PowerShell, требующие учетных данных администратора, не запрашивают FIDO2.
  • В качестве обходного решения большинство поставщиков могут помещать сертификаты в ключи безопасности FIDO2. Проверка подлинности на основе сертификатов (CBA) работает во всех браузерах. Если вы можете включить CBA для этих учетных записей администратора, можно требовать CBA вместо FIDO2 в промежуточном режиме.

iOS

• Для входа с помощью секретного ключа в собственных приложениях без Майкрософт подключаемый модуль единого входа Enterprise требуется iOS 16.0 или более поздней версии.
• Для входа с помощью секретного ключа в собственных приложениях с подключаемым модулем единого входа требуется iOS 17.1 или более поздней версии.

macOS

• В macOS подключаемый модуль Майкрософт Корпоративный единый вход требуется для включения Корпоративный портал в качестве брокера проверки подлинности. Устройства под управлением macOS должны соответствовать требованиям модуля SSO, включая регистрацию в системе управления мобильными устройствами.
• Для входа с помощью секретного ключа в собственных приложениях с подключаемым модулем единого входа требуется macOS 14.0 или более поздней версии.

Андроид

• Для входа с помощью ключа безопасности FIDO2 в собственных приложениях требуется Android 13 или более поздней версии.
• Для входа с помощью секретного ключа в Microsoft Authenticator для собственных приложений требуется Android 14 или более поздней версии.
• Вход с помощью ключей безопасности FIDO2 с поддержкой YubiOTP может не работать на старых устройствах Android. В качестве обходного решения пользователи могут отключить YubiOTP и повторить вход. Дополнительные сведения см. в статье об известных проблемах с устройствами OEM Android FIDO.