Microsoft Entra tanúsítványalapú hitelesítés Android-eszközökön
A Microsoft Entra tanúsítványalapú hitelesítést támogatják az eszközön kiépített tanúsítványok, valamint a külső biztonsági kulcsok, például a YubiKeys.
Előfeltételek
- Az Android-verziónak Android 5.0 -nak (Lollipop) vagy újabbnak kell lennie.
- A Legújabb MSAL-kódtárakkal rendelkező Microsoft belső alkalmazások vagy a Microsoft Authenticator cBA-t végezhetnek.
- A legújabb MSAL-kódtárakat használó vagy a Microsoft Authenticatornal integrált külső alkalmazások is végezhetnek CBA-t.
CBA eszközalapú tanúsítványokkal
Az ügyfelek a mobil Eszközkezelés (MDM) választásával építhetik ki a tanúsítványokat az eszközön. A végfelhasználóknak először regisztrálniuk kell az eszközeiket az MDM-ben, és le kell szerezniük a tanúsítványt az eszközön. Miután kiépítette a tanúsítványt az eszközön, a felhasználók hitelesítést végezhetnek a CBA használatával.
A YubiKey androidos Microsoft-alkalmazásokon való tesztelésének lépései:
- Nyissa meg az Outlookot.
- Válassza a Fiók hozzáadása lehetőséget, és adja meg a felhasználónevet (UPN).
- Kattintson a Folytatás gombra.
- Válassza a Tanúsítvány vagy intelligens kártya használata lehetőséget.
- Válassza a Tanúsítvány lehetőséget az eszközön a párbeszédpanelen**.**
- Megjelenik a tanúsítványválasztó.
- Válassza ki a felhasználó fiókjához társított tanúsítványt. Kattintson a Folytatás gombra.
- Ha a hitelesítés sikeres, a felhasználó hozzáférhet az Outlook-erőforráshoz.
CBA tanúsítványokkal a hardveres biztonsági kulcson
A tanúsítványok kiépíthetők külső eszközökön, például hardveres biztonsági kulcsokon, valamint PIN-kóddal a titkos kulcsok hozzáférésének védelme érdekében. A Microsoft Entra ID támogatja a CBA-t a YubiKey használatával.
A tanúsítványok előnyei a hardveres biztonsági kulcson
Biztonsági kulcsok tanúsítványokkal:
- Rendelkezik egy biztonsági kulcs központi jellegével, amely lehetővé teszi, hogy a felhasználók ugyanazt a tanúsítványt használják különböző eszközökön.
- A hardverek PIN-kóddal vannak védve, ami adathalászati ellenállóvá teszi őket.
- Adjon meg többtényezős hitelesítést PIN-kóddal második tényezőként a tanúsítvány titkos kulcsának eléréséhez.
- Eleget tesz az iparági követelménynek, hogy az MFA külön eszközön legyen.
- Segítség a későbbi ellenőrzéshez, ahol több hitelesítő adat is tárolható, beleértve a Fast Identity Online 2 (FIDO2) kulcsokat.
Microsoft Entra CBA androidos mobilon a YubiKey használatával
Az Androidnak szüksége van egy köztes szoftveralkalmazásra, amely képes támogatni az intelligens kártyákat vagy a tanúsítványokkal rendelkező biztonsági kulcsokat. A YubiKeys és a Microsoft Entra CBA támogatásához a YubiKey Android SDK integrálva lett a Microsoft broker kódjába, amely a Legújabb Microsoft Authentication Library (MSAL) segítségével használható.
Mivel a Microsoft Entra CBA és a YubiKey androidos mobileszközökön a legújabb MSAL használatával engedélyezve van, a YubiKey Authenticator alkalmazás nem szükséges az Android-támogatáshoz.
A YubiKey androidos Microsoft-alkalmazásokon való tesztelésének lépései:
- Telepítse a Microsoft Authenticatort.
- Ha a YubiKey USB-C-vel rendelkezik, nyissa meg az Outlookot, és csatlakoztassa a YubiKey-et.
- Válassza a Fiók hozzáadása lehetőséget, és adja meg a felhasználónevet (UPN).
- Kattintson a Folytatás gombra, és ha engedélyt kér a YubiKey eléréséhez, kattintson az OK gombra.
- Válassza a Tanúsítvány vagy intelligens kártya használata lehetőséget.
- Ha NFC-kompatibilis Yubikey-t használ, tartsa lenyomva a Yubikey-et az eszköz hátulján.
- Megjelenik egy egyéni tanúsítványválasztó.
- Válassza ki a felhasználó fiókjához társított tanúsítványt, és kattintson a Folytatás gombra.
- Adja meg a PIN-kódot a YubiKey eléréséhez, és válassza a Zárolás feloldása lehetőséget.
- Ha yubikey-t használ NFC-vel, a PIN-kód érvényesítéséhez tartsa ismét a Yubikeyt a telefon hátuljához.
- A hitelesítés sikerességét követően hozzáférhet az Outlookhoz.
Feljegyzés
A zökkenőmentes CBA-folyamat érdekében az alkalmazás megnyitása után azonnal csatlakoztassa a YubiKey-et, és fogadja el a YubiKey hozzájárulási párbeszédpanelét, mielőtt kiválasztja a Tanúsítvány vagy intelligens kártya használata hivatkozást. Ha csak egyetlen kapcsolatot szeretne tapasztalni, fontolja meg, hogy a felhasználók az NFC helyett USB-n keresztül csatlakoznak a YubiKey-hez, amelyet csak egyszer kell elvégezni a bejelentkezés elején.
Exchange ActiveSync protokoll ügyfelek támogatása
Az Android 5.0 (Lollipop) vagy újabb verziók bizonyos Exchange ActiveSync protokoll alkalmazásai támogatottak. Annak megállapításához, hogy az e-mail-alkalmazás támogatja-e a Microsoft Entra CBA-t, forduljon az alkalmazás fejlesztőjéhez.
Támogatott Entra-használati esetek
Microsoft mobilalkalmazás-támogatás
| Alkalmazások | Támogatás |
|---|---|
| Azure Information Protection-alkalmazás | ✅ |
| Vállalati portál | ✅ |
| Microsoft Teams | ✅ |
| Office (mobil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype Vállalati verzió | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Edge böngésző profil bejelentkezéssel | ✅ |
| Felügyelt kezdőképernyő | ✅ |
Böngészők
| Operációs rendszer | Chrome-tanúsítvány az eszközön | Chrome intelligens kártya/biztonsági kulcs | Safari-tanúsítvány az eszközön | Safari intelligens kártya/biztonsági kulcs | Edge-tanúsítvány az eszközön | Edge intelligens kártya/biztonsági kulcs |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N.A. | N.A. | ✅ | ❌ |
Feljegyzés
Bár az Edge böngészőként nem támogatott, az Edge profilként (fiókbeléptetéshez) egy MSAL-alkalmazás, amely támogatja az Androidon futó CBA-t.
Operációs rendszerek
| Operációs rendszer | Tanúsítvány az eszközön/Származtatott PIV | Intelligens kártyák/Biztonsági kulcsok |
|---|---|---|
| Android | ✅ | Csak támogatott szállítók |
Biztonsági kulcsszolgáltatók
| Szolgáltató | Android |
|---|---|
| YubiKey | ✅ |
Hardveres biztonsági kulcs tanúsítványainak hibaelhárítása
Mi történik, ha a felhasználó rendelkezik tanúsítvánnyal az Android-eszközön és a YubiKey-en is?
- Ha a felhasználó rendelkezik tanúsítvánnyal az androidos eszközön és a YubiKey-en is, akkor ha a YubiKey csatlakoztatva van, mielőtt a felhasználó a Tanúsítvány vagy intelligens kártya használatára kattint, akkor a felhasználó megjeleníti a tanúsítványokat a YubiKey-ben.
- Ha a YubiKey nincs csatlakoztatva, mielőtt a felhasználó a Tanúsítvány vagy intelligens kártya használata elemre kattint, a rendszer megkéri a felhasználót, hogy válasszon az eszköz vagy a fizikai intelligens kártya tanúsítványai közül. Ha a felhasználó az eszközön a Tanúsítvány lehetőséget választja, a felhasználó megjeleníti a tanúsítványokat az eszközön. Ha a felhasználó a fizikai intelligens kártyán a Tanúsítványok lehetőséget választja, csatlakoztassa vagy tartsa a YubiKeyt a hátoldalon, és a felhasználó megjelenik a tanúsítványok a YubiKey-ben.
A YubiKey zárolva van, miután háromszor helytelenül beírta a PIN-kódot. Hogyan kijavítani?
- A felhasználóknak látniuk kell egy párbeszédpanelt, amely tájékoztatja arról, hogy túl sok PIN-kódot kíséreltek meg. Ez a párbeszédpanel a tanúsítvány vagy intelligens kártya használatának későbbi kísérletei során is megjelenik.
- A felhasználóknak kapcsolatba kell lépnie a rendszergazdával a YubiKey PIN-kód alaphelyzetbe állításához.
Telepítettem a Microsoft Authenticatort, de továbbra sem látom a tanúsítványalapú hitelesítést a YubiKey-lel.
A Microsoft Authenticator telepítése előtt távolítsa el Céges portál és telepítse a Microsoft Authenticator telepítése után.
Támogatja a Microsoft Entra CBA a YubiKey-t az NFC-n keresztül?
Az Entra CBA támogatja a YubiKey USB-vel és NFC-vel való használatát.
Ha a CBA sikertelen, a hibaoldalon található "Egyéb bejelentkezési módok" hivatkozáson ismét kattintson a CBA lehetőségre.
Ez a probléma a tanúsítvány gyorsítótárazása miatt fordul elő. Kerülő megoldásként a bejelentkezési folyamat megszakítására és újraindítására kattintva a felhasználó új tanúsítványt választhat, és sikeresen bejelentkezik.
A Microsoft Entra CBA és a YubiKey nem működik. Milyen információk segíthetnek a hibakeresésben?
- Nyissa meg a Microsoft Authenticator alkalmazást, kattintson a jobb felső sarokban található három pont ikonra, és válassza a Visszajelzés küldése lehetőséget.
- Kattintson a Probléma?gombra.
- A Kiválasztás beállításnál válassza a Hozzáadás vagy bejelentkezés egy fiókba lehetőséget.
- Ismertesse a hozzáadni kívánt részleteket.
- Kattintson a küldési nyílra a jobb felső sarokban. Jegyezze fel a megjelenő párbeszédpanelen megadott kódot.
Következő lépések
- A Microsoft Entra CBA áttekintése
- Technikai mélyrepülés a Microsoft Entra CBA-hoz
- A Microsoft Entra CBA konfigurálása
- Microsoft Entra CBA iOS-eszközökön
- Windows SmartCard-bejelentkezés a Microsoft Entra CBA használatával
- Tanúsítványfelhasználói azonosítók
- Összevont felhasználók migrálása
- Gyakori kérdések