支持使用 Microsoft Entra ID 进行 FIDO2 身份验证
Microsoft Entra ID 允许使用通行密钥进行无密码身份验证。 本文介绍哪些本机应用程序、Web 浏览器和操作系统支持结合使用 Microsoft Entra ID 和通行密钥进行无密码身份验证。
注意
Microsoft Entra ID 目前支持存储在 FIDO2 安全密钥和 Microsoft Authenticator 中的设备绑定通行密钥。 Microsoft 致力于使用通行密钥保护客户和用户。 我们正在投资为工作帐户构建同步通行密钥和设备绑定通行密钥。
本机应用程序支持
使用身份验证代理的本机应用程序支持(预览版)
针对所有操作系统装有身份验证代理的用户,Microsoft 应用程序在预览版中提供对 FIDO2 身份验证的本机支持。 使用身份验证代理的第三方应用程序也支持 FIDO2 身份验证预览版。
下表列出了不同操作系统所支持的身份验证代理。
| 操作系统 | 身份验证代理 | 支持 FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune 公司门户 1 | ✅ |
| Android2 | Authenticator 或公司门户 | ❌ |
1在 macOS 上,需要 Microsoft Enterprise 单一登录 (SSO) 插件才能使用公司门户作为身份验证代理。 运行 macOS 的设备必须满足 SSO 插件要求,包括注册移动设备管理。 对于 FIDO2 身份验证,请确保运行最新版本的本机应用程序。
2Android 上的 FIDO2 本机应用程序支持正在开发中。
如果用户安装了身份验证代理,则可以选择在访问 Outlook 等应用程序时使用安全密钥登录。 用户会重定向到使用 FIDO2 登录,并在身份验证成功后重定向回 Outlook 作为登录用户。
没有身份验证代理的 Microsoft 应用程序支持
目前不支持在 iOS、macOS 和 Android 上没有身份验证代理时使用 FIDO2 身份验证登录到 Microsoft 本机应用程序。
没有身份验证代理的第三方应用程序支持
如果用户尚未安装身份验证代理,则当他们访问启用了 MSAL 的应用程序时,仍然可以使用安全密钥登录。 有关启用了 MSAL 的应用程序的要求的详细信息,请参阅在你开发的应用中使用 FIDO2 密钥支持无密码身份验证。
Web 浏览器支持
此表显示浏览器使用 FIDO2 对 Microsoft Entra ID 和 Microsoft 帐户进行身份验证的支持。 客户为 Xbox、Skype 或 Outlook.com 等服务创建 Microsoft 帐户。
| (OS) | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | 不适用 |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | 空值 | 不可用 | 空值 |
| Linux | ✅ | ❌ | ❌ | 空值 |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | 空值 |
注意
在 Android 设备上,Authenticator 中的通行密钥不适用于 Google Chrome 或 Microsoft Edge 等浏览器。 是否支持从浏览器创建 Authenticator 通行密钥以及使用它们进行登录取决于 Android 平台将提供的 API 更新。
每个平台的 Web 浏览器支持
下表显示了每个平台支持的传输。 支持的设备类型包括 USB、近场通信 (NFC) 和蓝牙低功耗 (BLE) 。
Windows
| 浏览者 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
最低浏览器版本
以下是 Windows 上的最低浏览器版本要求。
| 浏览器 | 最低版本 |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 版本 19031 |
| Firefox | 66 |
1基于新 Chromium 的 Microsoft Edge 的所有版本均支持 FIDO2。 1903 版中添加了对 Microsoft Edge 旧版的支持。
macOS
| 浏览者 | USB | NFC1 | BLE1 |
|---|---|---|---|
| Microsoft Edge | ✅ | 空值 | 空值 |
| Chrome | ✅ | 空值 | 空值 |
| Firefox2 | ✅ | 空值 | 空值 |
| Safari2 | ✅ | 空值 | 空值 |
1Apple 不支持在 macOS 上使用 NFC 和 BLE 安全密钥。
2新安全密钥注册在这些 macOS 浏览器上不起作用,因为它们不提示设置生物识别或 PIN。
ChromeOS
| Browser1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1ChromeOS 或 Chrome 浏览器不支持安全密钥注册。
Linux
| 浏览者 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Browser1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Microsoft Edge | ✅ | ✅ | 空值 |
| Chrome | ✅ | ✅ | 空值 |
| Firefox | ✅ | ✅ | 空值 |
| Safari | ✅ | ✅ | 空值 |
1新安全密钥注册在 iOS 浏览器上不起作用,因为它们不提示设置生物识别或 PIN。
2Apple 不支持在 iOS 上使用 BLE 安全密钥。
Android
| Browser1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1在 Android 上,尚不支持使用 Microsoft Entra ID 注册安全密钥。
2Google 不支持在 Android 上使用 BLE 安全密钥。
已知问题
PowerShell 支持
Microsoft Graph PowerShell 支持 FIDO2。 某些使用 Internet Explorer(而非 Microsoft Edge)的 PowerShell 模块无法执行 FIDO2 身份验证。 例如,适用于 SharePoint Online 或 Teams 的 PowerShell 模块或任何需要管理员凭据的 PowerShell 脚本都不会提示 FIDO2。
一种解决方法是,大多数供应商可以将证书放在 FIDO2 安全密钥上。 基于证书的身份验证 (CBA) 适合所有浏览器。 如果可以为这些管理员帐户启用 CBA,可在此期间要求进行 CBA 而不是 FIDO2。