使用 Microsoft Entra ID 支援 FIDO2 驗證
Microsoft Entra ID 允許將複雜金鑰用於無密碼驗證。 本文涵蓋哪些原生應用程式、網頁瀏覽器和操作系統支援使用具有 Microsoft Entra ID 的通行密鑰進行無密碼驗證。
注意
Microsoft Entra ID 目前支持儲存在 FIDO2 安全性密鑰和 Microsoft Authenticator 上的裝置系結通行密鑰。 Microsoft 致力於使用複雜金鑰保護客戶和使用者。 我們正在為工作帳戶投資同步處理和裝置系結的通行密鑰。
Microsoft 應用程式支援 (預覽)
Microsoft 應用程式為已為其作業系統安裝驗證代理程式的所有使用者,提供預覽版 FIDO2 驗證的原生支援。 下表列出不同作業系統支援哪些驗證代理程式。
作業系統 | 驗證代理人 | 支援 FIDO2 |
---|---|---|
iOS | Microsoft 驗證器 | ✅ |
macOS | Microsoft Intune 公司入口網站 1 | ✅ |
Android2 | 驗證器或 公司入口網站 | ❌ |
1在macOS上,需要 Microsoft Enterprise 單一登入 (SSO) 外掛程式,才能將 公司入口網站 啟用為驗證代理程式。 執行macOS的裝置必須符合 SSO 外掛程式需求,包括行動裝置管理的註冊。 針對 FIDO2 驗證,請確定您執行的是最新版本的原生應用程式。
2Android 上的 FIDO2 原生應用程式支援正在開發中。
如果使用者安裝了驗證代理程式,他們可以在存取 Outlook 之類的應用程式時,選擇使用安全性密鑰登入。 系統會將他們重新導向至使用 FIDO2 登入,並在成功驗證之後重新導向回 Outlook 作為登入的使用者。
如果使用者尚未安裝驗證代理程式,當他們存取已啟用 MSAL 的應用程式時,他們仍然可以使用安全性密鑰登入,這些應用程式符合 FIDO2 驗證支援中所述的需求。
Web 瀏覽器支援
下表顯示使用 FIDO2 驗證 Microsoft Entra ID 和 Microsoft 帳戶的瀏覽器支援。 取用者會為 Xbox、Skype 或 Outlook.com 等服務建立 Microsoft 帳戶。
OS | Chrome | Edge | Firefox | Safari |
---|---|---|---|---|
Windows | ✅ | ✅ | ✅ | N/A |
macOS | ✅ | ✅ | ✅ | ✅ |
ChromeOS | ✅ | N/A | N/A | N/A |
Linux | ✅ | ❌ | ❌ | N/A |
iOS | ✅ | ✅ | ✅ | ✅ |
Android | ✅ | ✅ | ❌ | N/A |
注意
您無法從 Android 裝置上的瀏覽器建立和驗證複雜金鑰,包括 Google Chrome 和 Microsoft Edge。 Microsoft 正努力在平臺更新 API 並使其可供使用時,立即支援這些瀏覽器案例。
每個平臺的網頁瀏覽器支援
下表顯示每個平台都支援哪些傳輸。 支援的裝置類型包括 USB、近距離通信(NFC)和藍牙低能(BLE)。
Windows
瀏覽器 | USB | NFC | BLE |
---|---|---|---|
Edge | ✅ | ✅ | ✅ |
Chrome | ✅ | ✅ | ✅ |
Firefox | ✅ | ✅ | ✅ |
瀏覽器版本下限
以下是 Windows 的最低瀏覽器版本需求。
瀏覽器 | 最小版本 |
---|---|
Chrome | 76 |
Edge | Windows 10 版本 19031 |
Firefox | 66 |
1新 Chromium 型 Microsoft Edge 的所有版本都支援 FIDO2。 Microsoft Edge 舊版的支援已於 1903 年新增。
macOS
瀏覽器 | USB | NFC1 | BLE1 |
---|---|---|---|
Edge | ✅ | N/A | N/A |
Chrome | ✅ | N/A | N/A |
Firefox2 | ✅ | N/A | N/A |
Safari2 | ✅ | N/A | N/A |
MacOS 不支援 1NFC 和 BLE 安全性金鑰。
2新的安全性金鑰註冊無法在這些 macOS 瀏覽器中運作,因為它們不會提示設定生物特徵辨識或 PIN。
ChromeOS
瀏覽器1 | USB | NFC | BLE |
---|---|---|---|
Chrome | ✅ | ❌ | ❌ |
1ChromeOS 或 Chrome 瀏覽器不支援安全性金鑰註冊。
Linux
瀏覽器 | USB | NFC | BLE |
---|---|---|---|
Edge | ❌ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
iOS
瀏覽器1 | Lightning | NFC | BLE2 |
---|---|---|---|
Edge | ✅ | ✅ | N/A |
Chrome | ✅ | ✅ | N/A |
Firefox | ✅ | ✅ | N/A |
Safari | ✅ | ✅ | N/A |
1新的安全性金鑰註冊無法在 iOS 瀏覽器中運作,因為它們不會提示設定生物特徵辨識或 PIN。
Apple 不支援 2BLE 安全性金鑰。
Android
瀏覽器1 | USB | NFC | BLE2 |
---|---|---|---|
Edge | ✅ | ❌ | ❌ |
Chrome | ✅ | ❌ | ❌ |
Firefox | ❌ | ❌ | ❌ |
1Android 尚不支援使用 Microsoft Entra 識別碼進行安全性密鑰註冊。
Google 不支援 2BLE 安全性金鑰。
已知問題
行動裝置可能會優先於安全性密鑰
如果您使用 Chrome 或 Edge,瀏覽器可能會優先使用儲存在行動裝置上的複雜金鑰,而使用儲存在安全性密鑰上的複雜金鑰。
從 Windows 11 版本 23H2 開始,操作系統會在登入期間顯示下列提示。 在 [其他選項] 下方,選擇 [安全性密鑰],然後選取 [下一步]。
在舊版 Windows 上,瀏覽器可能會顯示 QR 配對畫面,以繼續使用儲存在行動裝置上的複雜密鑰。 若要改用儲存在安全性密鑰上的複雜金鑰,請插入您的安全性密鑰並加以觸控以繼續。
PowerShell 支援
Microsoft Graph PowerShell 支援 FIDO2。 某些使用 Internet Explorer 而非 Edge 的 PowerShell 模組無法執行 FIDO2 驗證。 例如,適用於 SharePoint Online 或 Teams 的 PowerShell 模組,或任何需要系統管理員認證的 PowerShell 腳本,請勿提示 FIDO2。
因應措施是,大部分廠商都可以將憑證放在 FIDO2 安全性密鑰上。 憑證式驗證 (CBA) 適用於所有瀏覽器。 如果您可以針對這些系統管理員帳戶啟用 CBA,您可以在過渡期間要求 CBA,而不是 FIDO2。