Матрица аутентификации с помощью ключа доступа (FIDO2) в Microsoft Entra ID

В следующем разделе рассматривается поддержка проверки подлинности с помощью ключа доступа (FIDO2) в веб-браузерах с идентификатором Microsoft Entra.

Рекомендации по каждой платформе

Виндоус

• Для входа с помощью ключа безопасности требуется один из следующих элементов:
  • Windows 10 версии 1903 или более поздней
  • Microsoft Edge на основе Chromium
  • Chrome 76 или более поздней версии
  • Firefox 66 или более поздней версии

macOS

• Для входа с помощью секретного ключа требуется macOS Catalina 11.1 или более поздней версии с safari 14 или более поздней версии, так как идентификатор Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
• На macOS компанией Apple не поддерживаются ключи безопасности с использованием ближней бесконтактной связи (NFC) и Bluetooth Low Energy (BLE).
• Регистрация нового ключа безопасности не работает в этих браузерах macOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.
• См. Войдите в систему, если зарегистрировано более трех ключей доступа в Safari для macOS.

ChromeOS

• Ключи безопасности NFC и BLE не поддерживаются в ChromeOS Google.
• Регистрация ключа безопасности не поддерживается в браузере ChromeOS или Chrome.

Линукс

• Вход с помощью секретного ключа в Microsoft Authenticator не поддерживается в Firefox в Linux.

iOS

• Для входа с помощью секретного ключа требуется iOS 14.3 или более поздней версии, так как идентификатор Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
• Ключи безопасности BLE не поддерживаются в iOS Apple.
• NFC с сертифицированными ключами безопасности FIPS 140-3 не поддерживается в iOS Apple.
• Регистрация нового ключа безопасности не работает в браузерах iOS, так как они не запрашивают настройку биометрических данных или ПИН-кодов.
• См. вход в систему, если зарегистрировано более трёх ключей доступа.

Андроид

• Для входа с помощью секретного ключа требуется Служба Google Play 21 или более поздней версии, так как идентификатор Microsoft Entra ID требует проверки подлинности пользователей для многофакторной проверки подлинности.
• Ключи безопасности BLE не поддерживаются в Android Google.
• Регистрация ключа безопасности с помощью идентификатора Microsoft Entra еще не поддерживается в Android.
• Вход с помощью секретного ключа не поддерживается в Firefox на Android.

Известные проблемы

Войдите, когда зарегистрировано более трех ключей доступа

Если вы зарегистрировали более трех ключей доступа, вход с помощью секретного ключа может не работать в iOS или Safari в macOS. Если у вас более трех секретных ключей, в качестве обходного решения щелкните параметры входа и войдите без ввода имени пользователя.

В следующих разделах рассматривается поддержка аутентификации с использованием ключа доступа (FIDO2) в Microsoft Entra ID.

• Поддержка приложений Майкрософт с помощью брокера проверки подлинности
• Поддержка приложений Майкрософт без брокера проверки подлинности
• Поддержка сторонних приложений без брокера проверки подлинности
• Поддержка стороннего поставщика услуг идентификации (IdP)

Поддержка приложений Майкрософт с помощью брокера проверки подлинности

Приложения Майкрософт обеспечивают встроенную поддержку проверки подлинности секретного ключа для всех пользователей, у которых установлен брокер проверки подлинности для своей операционной системы. Проверка подлинности секретного ключа также поддерживается для сторонних приложений с помощью брокера проверки подлинности.

Если пользователь установил брокер проверки подлинности, он может войти с помощью секретного ключа при доступе к приложению, например Outlook. Они перенаправляются для входа с помощью секретного ключа и перенаправляются обратно в Outlook в качестве пользователя, выполнившего вход после успешной проверки подлинности.

В следующих таблицах перечислены брокеры проверки подлинности, поддерживаемые для разных операционных систем.

Поддержка приложений Майкрософт без брокера проверки подлинности

В следующей таблице перечислены варианты поддержки функции ключа доступа (FIDO2) в приложениях Майкрософт без использования брокера проверки подлинности. Обновите приложения до последней версии, чтобы убедиться, что они работают с ключами доступа.

Поддержка сторонних приложений без брокера проверки подлинности

Если пользователь еще не установлен брокер проверки подлинности, он по-прежнему может войти с помощью секретного ключа при доступе к приложениям с поддержкой MSAL. Дополнительные сведения о требованиях к приложениям с поддержкой MSAL см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в разрабатываемых приложениях.

Поддержка сторонних поставщиков услуг аутентификации

На устройствах iOS и Mac, находящихся под управлением системы управления мобильными устройствами (MDM), сторонние провайдеры удостоверений могут внедрять собственное расширение для единого входа. Расширяемая платформа единого входа Apple на устройствах, управляемых MDM, позволяет поставщикам удостоверений перехватывать сетевые запросы, направленные на их URL-адреса. Когда расширение единого входа идентификационного поставщика перехватывает сетевой запрос, оно может реализовать пользовательский процесс подтверждения проверки подлинности. Это позволяет им использовать системный браузер или собственные API Apple для аутентификации с помощью ключа доступа без необходимости изменений в приложениях Microsoft.

Дополнительные сведения см. в следующей документации Apple:

• Профиль управления устройствами ExtensibleSingleSignOn
• Коллекция API единого входа Enterprise

Рекомендации по каждой платформе

Виндоус

• Для входа с помощью ключа безопасности FIDO2 в собственных приложениях требуется Windows 10 версии 1903 или более поздней.
• Для входа с помощью секретного ключа в Microsoft Authenticator в собственные приложения требуется Windows 11 версии 22H2 или более поздней версии.
• Microsoft Graph PowerShell поддерживает ключ доступа (FIDO2). Некоторые модули PowerShell, использующие Internet Explorer вместо Edge, не могут выполнять проверку подлинности FIDO2. Например, модули PowerShell для SharePoint Online или Teams или любые скрипты PowerShell, требующие учетных данных администратора, не запрашивают FIDO2.
  • В качестве обходного решения большинство поставщиков могут помещать сертификаты в ключи безопасности FIDO2. Проверка подлинности на основе сертификатов (CBA) работает во всех браузерах. Если вы можете включить CBA для этих учетных записей администратора, можно требовать CBA вместо FIDO2 в промежуточном режиме.

iOS

• Для входа с помощью секретного ключа в родных приложениях без плагина единого входа (SSO) Microsoft Enterprise требуется iOS 16.0 или более поздней версии.
• Для входа с помощью секретного ключа в собственных приложениях с подключаемым модулем единого входа требуется iOS 17.1 или более поздней версии.

macOS

• На macOS подключаемый модуль Microsoft Enterprise Single Sign On (SSO) требуется для активации Company Portal в качестве брокера проверки подлинности. Устройства под управлением macOS должны соответствовать требованиям модуля SSO, включая регистрацию в системе управления мобильными устройствами.
• Для входа с помощью секретного ключа в собственных приложениях с подключаемым модулем единого входа требуется macOS 14.0 или более поздней версии.

Андроид

• Для входа с помощью ключа безопасности FIDO2 в собственных приложениях требуется Android 13 или более поздней версии.
• Для входа с помощью секретного ключа в Microsoft Authenticator в собственные приложения требуется Android 14 или более поздней версии.
• Вход с помощью ключей безопасности FIDO2 с поддержкой YubiOTP может не работать на устройствах Samsung Galaxy. В качестве обходного решения пользователи могут отключить YubiOTP и повторить вход. Дополнительные сведения см. в статье о проблемах FIDO на устройствах Samsung.