Podpora ověřování FIDO2 s ID Microsoft Entra
Id Microsoft Entra umožňuje použití přístupových klíčů pro ověřování bez hesla. Tento článek se zabývá nativními aplikacemi, webovými prohlížeči a operačními systémy, které podporují ověřování bez hesla pomocí přístupových klíčů s ID Microsoft Entra.
Poznámka:
Id Microsoft Entra v současné době podporuje klíče vázané na zařízení uložené na klíčích zabezpečení FIDO2 a v aplikaci Microsoft Authenticator. Microsoft se zavazuje zabezpečit zákazníky a uživatele pomocí přístupových klíčů. Investovali jsme do synchronizovaných i zařízení vázaných přístupových klíčů pro pracovní účty.
Podpora nativních aplikací
Podpora nativní aplikace s využitím zprostředkovatele ověřování (Preview)
Aplikace Microsoftu poskytují nativní podporu ověřování FIDO2 ve verzi Preview pro všechny uživatele, kteří mají nainstalovaného zprostředkovatele ověřování pro svůj operační systém. Ověřování FIDO2 je také podporováno ve verzi Preview pro aplikace třetích stran pomocí zprostředkovatele ověřování.
Následující tabulky uvádí, které zprostředkovatelé ověřování jsou podporovány pro různé operační systémy.
| Operační systém | Zprostředkovatel ověřování | Podporuje FIDO2. |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Portál společnosti Intune 1 | ✅ |
| Android2 | Authenticator nebo Portál společnosti | ❌ |
1V systému macOS je modul plug-in Microsoft Enterprise Jednotné přihlašování (SSO) nutný k povolení Portál společnosti jako zprostředkovatele ověřování. Zařízení s macOS musí splňovat požadavky modulu plug-in jednotného přihlašování, včetně registrace ve správě mobilních zařízení. V případě ověřování FIDO2 se ujistěte, že používáte nejnovější verzi nativních aplikací.
2Podpora nativních aplikací pro FIDO2 v Androidu je ve vývoji.
Pokud uživatel nainstaloval zprostředkovatele ověřování, může se při přístupu k aplikaci, jako je Outlook, přihlásit pomocí klíče zabezpečení. Přesměrují se na přihlášení pomocí FIDO2 a po úspěšném ověření se přesměrují zpátky do Outlooku jako přihlášený uživatel.
Podpora aplikací Microsoftu bez zprostředkovatele ověřování
Přihlášení k nativním aplikacím Microsoftu s ověřováním FIDO2, když uživatel nemá zprostředkovatele ověřování v iOSu, macOS a Androidu, se v tuto chvíli nepodporuje.
Podpora aplikací třetích stran bez zprostředkovatele ověřování
Pokud uživatel ještě musí nainstalovat zprostředkovatele ověřování, může se při přístupu k aplikacím s podporou MSAL přihlásit pomocí klíče zabezpečení. Další informace o požadavcích pro aplikace s podporou MSAL najdete v tématu Podpora ověřování bez hesla pomocí klíčů FIDO2 v aplikacích, které vyvíjíte.
Podpora webového prohlížeče
Tato tabulka ukazuje podporu prohlížeče pro ověřování účtů Microsoft Entra a Microsoft pomocí FIDO2. Uživatelé vytvářejí účty Microsoft pro služby, jako je Xbox, Skype nebo Outlook.com.
| Operační systém | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | – |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | – | – | N/A |
| Linux | ✅ | ❌ | ❌ | – |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | – |
Poznámka:
Klíče v Authenticatoru nefungují s prohlížeči, jako je Google Chrome nebo Microsoft Edge na zařízeních s Androidem. Podpora vytváření a přihlašování pomocí přístupových klíčů Authenticatoru z prohlížečů závisí na aktualizacích rozhraní API, které má platforma Android zpřístupnit.
Podpora webového prohlížeče pro každou platformu
Následující tabulky ukazují, které přenosy jsou podporovány pro každou platformu. Mezi podporované typy zařízení patří USB, bezkontaktní komunikace (NFC) a nízká energie bluetooth (BLE).
Windows
| Prohlížeč | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Minimální verze prohlížeče
Níže jsou uvedené minimální požadavky na verzi prohlížeče ve Windows.
| Prohlížeč | Minimální verze |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 verze 19031 |
| Firefox | 66 |
1Všechny verze nového Chromium-based Microsoft Edge podporují FIDO2. Podpora starší verze Microsoft Edge byla přidána v roce 1903.
macOS
| Prohlížeč | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | – | N/A |
| Chrome | ✅ | – | N/A |
| Firefox2 | ✅ | – | N/A |
| Safari2 | ✅ | – | N/A |
Apple nepodporuje 1bezpečnostní klíče NFC a BLE.
2Registrace nového bezpečnostního klíče nefunguje v těchto prohlížečích s macOS, protože se nezobrazí výzva k nastavení biometrických údajů nebo PIN kódu.
ChromeOS
| Prohlížeč1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Registrace bezpečnostního klíče není podporována v prohlížeči ChromeOS nebo Chrome.
Linux
| Prohlížeč | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Prohlížeč1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | – |
| Chrome | ✅ | ✅ | – |
| Firefox | ✅ | ✅ | – |
| Safari | ✅ | ✅ | – |
1Nová registrace bezpečnostního klíče nefunguje v prohlížečích s iOSem, protože se nezobrazují výzva k nastavení biometrických údajů nebo PIN kódu.
Apple nepodporuje 2bezpečnostní klíče BLE.
Android
| Prohlížeč1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Registrace bezpečnostního klíče s ID Microsoft Entra zatím není v Androidu podporovaná.
Google nepodporuje 2bezpečnostní klíče BLE v Androidu.
Známé problémy
Podpora prostředí PowerShell
Microsoft Graph PowerShell podporuje FIDO2. Některé moduly PowerShellu, které místo Edge používají Internet Explorer, nemůžou provádět ověřování FIDO2. Například moduly PowerShellu pro SharePoint Online nebo Teams nebo skripty PowerShellu, které vyžadují přihlašovací údaje správce, nevyžadují výzvu k zadání fiDO2.
Jako alternativní řešení může většina dodavatelů umístit certifikáty na klíče zabezpečení FIDO2. Ověřování na základě certifikátů (CBA) funguje ve všech prohlížečích. Pokud pro tyto účty správců můžete povolit CBA, můžete v přechodném období vyžadovat CBA místo FIDO2.