共用方式為


支援使用 Microsoft Entra ID 進行 FIDO2 驗證

Microsoft Entra ID 允許將通行金鑰用於無密碼驗證。 本文涵蓋哪些原生應用程式、網頁瀏覽器和操作系統支援使用具有 Microsoft Entra ID 的通行密鑰進行無密碼驗證。

注意

Microsoft Entra ID 目前支援將裝置繫結通行金鑰儲存於 FIDO2 安全性金鑰和 Microsoft Authenticator。 Microsoft 致力於利用通行金鑰保護客戶和使用者。 我們正針對工作帳戶的同步處理和裝置繫結通行金鑰投入心力。

原生應用程式支援

以下章節介紹對 Microsoft 和協力廠商應用程式的支援。 目前,使用驗證代理程式的協力廠商應用程式或 macOS、iOS 或 Android 上的 Microsoft 應用程式不支援使用協力廠商識別提供者 (IDP) 進行密鑰 (FIDO2) 驗證。

驗證代理程式的原生應用程式支援

Microsoft應用程式為已安裝其作業系統之驗證代理程式的所有使用者,提供 FIDO2 驗證的原生支援。 使用驗證代理程式的第三方應用程式也支援 FIDO2 驗證。

下表列出不同作業系統支援哪些驗證代理程式。

OS 驗證代理程式 支援 FIDO2
iOS Microsoft 驗證器
macOS Microsoft Intune 公司入口網站 1
Android2 驗證器、公司入口網站 或 連結至 Windows 應用程式

1在 macOS 上,需要 Microsoft 企業單一登入 (SSO) 外掛程式,才能將公司入口網站啟用為驗證代理程式。 執行 macOS 的裝置必須符合 SSO 外掛程式需求,包括行動裝置管理的註冊。 針對 FIDO2 驗證,請確定您執行的是最新版本的原生應用程式。

2Android 13 版和更低版本上 FIDO2 安全性密鑰的原生應用程式支援正在開發中。

如果使用者安裝了驗證代理程式,他們可以在存取 Outlook 之類的應用程式時,選擇使用安全性金鑰登入。 系統會將他們重新導向至使用 FIDO2 登入,並在成功驗證之後,以登入的使用者身分重新導向回 Outlook。

沒有驗證代理程式的 Microsoft 應用程式支援

下表列出了 Microsoft 應用程式對沒有驗證代理程式之密鑰 (FIDO2) 的支援。

申請 macOS iOS Android
遠端桌面
Windows 應用程式

沒有驗證代理程式的協力廠商應用程式支援

如果使用者尚未安裝驗證代理程式,他們仍然可以在存取已啟用 MSAL 的應用程式時使用通行金鑰登入。 如需 MSAL 啟用應用程式需求的詳細資訊,請參閱 在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證

Web 瀏覽器支援

下表顯示使用 FIDO2 驗證 Microsoft Entra ID 和 Microsoft 帳戶的瀏覽器支援。 取用者會為 Xbox、Skype 或 Outlook.com 等服務建立 Microsoft 帳戶。

OS Chrome Edge Firefox Safari
Windows N/A
macOS
ChromeOS N/A N/A N/A
Linux N/A
iOS
Android 1 N/A

1Android 裝置上使用Edge在 Authenticator 中傳遞密鑰的支援即將推出。

每個平台的網頁瀏覽器支援

下表顯示每個平台都支援哪些傳輸。 支援的裝置類型包括 USB、近距離無線通訊 (NFC) 和低功耗藍牙 (BLE)。

Windows

瀏覽器 USB NFC BLE
Edge
Chrome
Firefox

最低瀏覽器版本

以下是 Windows 的最低瀏覽器版本需求。

瀏覽器 最低版本
Chrome 76
Edge Windows 10 19031
Firefox 66

1新 Chromium 型 Microsoft Edge 的所有版本都支援 FIDO2。 1903 版已新增對舊版 Microsoft Edge 的支援。

macOS

瀏覽器 USB NFC1 BLE1
Edge N/A N/A
Chrome N/A N/A
Firefox2 N/A N/A
Safari23 N/A N/A

Apple 不支援 macOS 上的 1NFC 和 BLE 安全性金鑰。

2新的安全性金鑰註冊,無法在這些 macOS 瀏覽器運作,因為它們不會提示設定生物識別特徵或 PIN。

3請參閱註冊超過三個通行金鑰時登入

ChromeOS

瀏覽器1 USB NFC BLE
Chrome

1ChromeOS 或 Chrome 瀏覽器不支援安全性金鑰註冊。

Linux

瀏覽器 USB NFC BLE
Edge
Chrome
Firefox

iOS

瀏覽器1,3 Lightning NFC BLE2
Edge N/A
Chrome N/A
Firefox N/A
Safari N/A

1新的安全性金鑰註冊,無法在 iOS 瀏覽器運作,因為它們不會提示設定生物識別特徵或 PIN。

Apple 不支援 iOS 上的 2BLE 安全性金鑰。

3請參閱註冊超過三個通行金鑰時登入

Android

瀏覽器1 USB NFC BLE2
Edge
Chrome
Firefox

1Android 尚不支援具有 Microsoft Entra ID 的安全性金鑰註冊。

Google 不支援 Android 上的2BLE 安全性金鑰。

已知問題

註冊超過三個通行金鑰時登入

如果您註冊了三個以上的通行金鑰,則可能無法使用通行金鑰登入。 如果您有三個以上的通行金鑰,因應措施是按兩下 [登入選項],然後在不輸入使用者名稱的情況下登入。

螢幕擷取畫面:登入選項。

PowerShell 支援

Microsoft Graph PowerShell 支援 FIDO2。 某些使用 Internet Explorer 而非 Edge 的 PowerShell 模組無法執行 FIDO2 驗證。 例如,適用於 SharePoint Online 或 Teams 的 PowerShell 模組,或任何需要系統管理員認證的 PowerShell 指令碼,請勿提示 FIDO2。

因應措施是,大部分廠商都可以將憑證放在 FIDO2 安全性密鑰上。 憑證式驗證 (CBA) 適用於所有瀏覽器。 如果您可以針對這些系統管理員帳戶啟用 CBA,便可在過渡期間要求 CBA 而非 FIDO2。

下一步

啟用無密碼安全性金鑰登入