FIDO2 密钥是一种强大的、防钓鱼攻击的密码替代方案。 在此预览版中,Microsoft Entra ID 支持同步的密钥。 同步的密钥存储在平台或其他密钥提供程序(如 Apple iCloud 密钥链、Google 密码管理器、1Password 或 Bitwarden)中,并可在用户的设备上使用。 同步的密钥简化了用户载入和帐户恢复,从而加速了大多数组织的无密码采用。
什么是同步密钥和设备关联密钥?
密码是基于 FIDO2 的凭据,可提供强大的防钓鱼身份验证。 Microsoft Entra ID 支持两种主要类型的密钥:
- 设备绑定的密钥:私钥创建并存储在单个物理设备上,永远不会离开它。 例子:
- Microsoft Authenticator (iOS)
- Microsoft Authenticator (Android)
- 安全密钥
- 同步的密钥:私钥存储在密钥提供商的云(如 Apple iCloud 密钥链或 Google 密码管理器)中,并在用户的设备上同步。 例子:
- Apple iCloud 密钥链
- Google 密码管理器
注释
- 将同步的通行密钥视为防钓鱼凭据,但其安全状态与其他未经验证的认证器相同。 对于高保障场景,强制实施认证,并将注册限制为已批准的设备绑定验证器。
要求
你的组织必须在 Passkey 配置文件(预览版)中注册。
具有管理身份验证方法权限的 Microsoft Entra ID 租户。
下表概述了使用同步密钥的最低设备要求。 列表示用户登录的设备平台。
通行密钥提供程序 Windows操作系统 macOS iOS Android Apple 密码(也称为 iCloud 密钥链) N/A 原生内置。macOS 13+ 原生内置。支持iOS 16+ N/A Google 密码管理器 内置到 Chrome 内置在 Chrome 中 内置到 Chrome。 iOS 17+ 本机原生内置(不包括 Samsung 设备)。 Android 9+ 其他通行密钥提供程序(如 1Password、Bitwarden) 检查浏览器扩展 检查浏览器扩展 检查应用。 iOS 17+ 检查应用。 Android 14+
启用同步的密钥(预览版)
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
请确保您已同意加入 Passkey 配置档案(预览版)。
浏览到 Entra ID>安全>身份验证方法>策略。
选择 Passkey (FIDO2)>配置。
添加配置文件或编辑现有配置文件。
在 “目标类型”下,选择“ 已同步”(预览) 并保存配置文件。
注释
如果为给定的密钥配置文件禁用同步通行密钥,则即使目标用户已注册了通行密钥,他们也不能使用同步通行密钥登录。