通行金鑰(FIDO2)是一種強大且可防範釣魚攻擊的密碼替代方案。 透過這次預覽,Microsoft Entra ID 支援同步通行金鑰。 同步通行金鑰會儲存在平台中,或與其他通行金鑰供應商(如 Apple iCloud Keychain、Google 密碼管理器、1Password 或 Bitwarden)共享,並可在使用者的裝置間使用。 同步通行金鑰簡化了使用者入職與帳號恢復,加速了大多數組織的無密碼採用。
什麼是同步通行金鑰與裝置綁定通行金鑰?
通行金鑰是基於 FIDO2 的憑證,提供強大且抗釣魚的認證。 Microsoft Entra ID 支援兩種主要類型的通行金鑰:
- 裝置綁定通行金鑰:私鑰建立並儲存在單一實體裝置上,且不會離開該裝置。 例子:
- Microsoft Authenticator (iOS)
- Microsoft Authenticator(Android)
- 安全性金鑰
- 同步通行金鑰:私鑰儲存在通行金鑰提供者的雲端(如 Apple iCloud 鑰匙圈或 Google 密碼管理器),並同步於使用者的裝置間。 例子:
- Apple iCloud 鑰匙圈
- Google 密碼管理器
備註
- 將同步通行金鑰視為抗釣魚憑證,且具備與其他未驗證的身份驗證器相同的安全防護。 對於高保證情境,應強制認證並限制註冊至經核准的裝置綁定驗證器。
需求
您的組織必須加入Passkey 設定檔(預覽版)。
Microsoft Entra ID 租戶有管理認證方法的權限。
下表說明使用同步通行金鑰的最低裝置需求。 欄位代表使用者登入的裝置平台。
通行金鑰提供者 窗戶 macOS iOS Android Apple 密碼(也稱為 iCloud 鑰匙圈) N/A 原生內建。macOS 13+ 原生內建。iOS 16+ N/A Google 密碼管理器 內建於 Chrome 瀏覽器 內建於 Chrome 內建於 Chrome 裡。 iOS 17+ 原生內建(不含三星裝置)。 Android 9+ 其他通行金鑰提供者(如 1Password、Bitwarden) 檢查瀏覽器擴充功能 檢查瀏覽器擴充功能 檢查應用程式。 iOS 17+ 檢查應用程式。 安卓14+
啟用同步通行金鑰(預覽)
至少以 認證政策管理員身份登入 Microsoft Entra 管理中心。
請務必啟用 Passkey 個人檔案(預覽版)。
請參閱 Entra ID>安全>驗證方法>政策。
選擇 通行金鑰(FIDO2)>設定。
新增個人檔案或編輯現有個人檔案。
在 目標類型中,選擇 同步(預覽) 並儲存個人檔案。
備註
如果你為某個通行金鑰設定檔停用同步通行金鑰,目標用戶即使已經註冊同步通行金鑰,也無法登入。