Share via

Microsoft Entra tanúsítványalapú hitelesítés iOS és macOS rendszeren

  • Cikk

Ez a témakör a Microsoft Entra tanúsítványalapú hitelesítés (CBA) macOS- és iOS-eszközökhöz való támogatását ismerteti.

Microsoft Entra tanúsítványalapú hitelesítés macOS-eszközökön

A macOS rendszerű eszközök A CBA használatával hitelesítést végezhetnek a Microsoft Entra ID-n az X.509-ügyféltanúsítványukkal. A Microsoft Entra CBA-t az eszköz tanúsítványai és külső hardver által védett biztonsági kulcsok támogatják. MacOS rendszeren a Microsoft Entra CBA minden böngészőben és a Microsoft belső alkalmazásokban is támogatott.

MacOS rendszeren támogatott böngészők

Edge Chrome Safari Firefox

macOS-eszközök bejelentkezése a Microsoft Entra CBA-val

A Microsoft Entra CBA ma nem támogatott a macOS-gépekre való eszközalapú bejelentkezéshez. Az eszközre való bejelentkezéshez használt tanúsítvány lehet ugyanaz a tanúsítvány, amellyel egy böngészőből vagy asztali alkalmazásból hitelesítheti a Microsoft Entra-azonosítót, de az eszköz bejelentkezése önmagában még nem támogatott a Microsoft Entra-azonosítóval szemben. 

Microsoft Entra tanúsítványalapú hitelesítés iOS-eszközökön

Az iOS-t futtató eszközök tanúsítványalapú hitelesítéssel (CBA) hitelesíthetik magukat a Microsoft Entra ID-hez egy ügyféltanúsítvány használatával az eszközükön, amikor a következőhöz csatlakoznak:

  • Office-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
  • Exchange ActiveSync protokoll (EAS) ügyfelek

A Microsoft Entra CBA támogatja az eszközön lévő tanúsítványokat natív böngészőkben és a Microsoft belső alkalmazásait iOS-eszközökön.

Előfeltételek

  • Az iOS-verziónak iOS 9-es vagy újabb verziónak kell lennie.
  • A Microsoft Authenticator szükséges az Office-app lications és az iOS Outlook használatához.

Eszköztanúsítványok és külső tárolók támogatása

Az eszköz tanúsítványai ki vannak építve az eszközön. Az ügyfelek a Mobile Eszközkezelés (MDM) használatával építhetik ki a tanúsítványokat az eszközön. Mivel az iOS nem támogatja a hardveres védelem alatt álló kulcsokat, az ügyfelek külső tárolóeszközöket használhatnak a tanúsítványokhoz.

Támogatott platformok

  • Csak natív böngészők támogatottak
  • A legújabb MSAL-kódtárakat vagy a Microsoft Authenticatort használó alkalmazások cBA-t végezhetnek
  • Edge profillal, amikor a felhasználók fiókot adnak hozzá, és bejelentkeztek egy profilba, támogatják a CBA-t
  • A Microsoft első féltől származó alkalmazásai a legújabb MSAL-kódtárakkal vagy a Microsoft Authenticator használatával végezhetnek CBA-t

Böngészők

Edge Chrome Safari Firefox

Microsoft mobilalkalmazások támogatása

Alkalmazások Támogatás
Azure Information Protection-alkalmazás
Vállalati portál
Microsoft Teams
Office (mobil)
OneNote
OneDrive
Outlook
Power BI
Skype Vállalati verzió
Word / Excel / PowerPoint
Yammer

Exchange ActiveSync protokoll ügyfelek támogatása

iOS 9 vagy újabb rendszeren a natív iOS levelezőprogram támogatott.

Annak megállapításához, hogy az e-mail-alkalmazás támogatja-e a Microsoft Entra CBA-t, forduljon az alkalmazás fejlesztőjéhez.

Tanúsítványok támogatása a hardveres biztonsági kulcson

A tanúsítványok kiépíthetők külső eszközökön, például hardveres biztonsági kulcsokon, valamint PIN-kóddal a titkos kulcsok hozzáférésének védelme érdekében. A Microsoft mobiltanúsítvány-alapú megoldása a hardveres biztonsági kulcsokkal párosítva egy egyszerű, kényelmes FIPS (Federal Information Processing Standards) tanúsítvánnyal rendelkező, adathalászatnak ellenálló MFA-módszer.

Az iOS 16/iPadOS 16.1-es verziójához hasonlóan az Apple-eszközök natív illesztőprogram-támogatást nyújtanak az USB-C- vagy Lightning-kompatibilis CCID-kompatibilis intelligens kártyákhoz. Ez azt jelenti, hogy az iOS 16/iPadOS 16.1-es Apple-eszközökön az USB-C- vagy Lightning-kompatibilis CCID-kompatibilis eszköz intelligens kártyaként jelenik meg további illesztőprogramok vagy külső alkalmazások használata nélkül. A Microsoft Entra CBA ezen USB-A, USB-C vagy Lightning csatlakoztatott CCID-kompatibilis intelligens kártyákon működik.

A tanúsítványok előnyei a hardveres biztonsági kulcson

Biztonsági kulcsok tanúsítványokkal:

  • Bármilyen eszközön használható, és nincs szükség tanúsítvány kiépítésére minden olyan eszközön, amelyen a felhasználó rendelkezik
  • A hardverek pin-kóddal vannak védve, ami adathalászati ellenállóvá teszi őket
  • Többtényezős hitelesítés biztosítása PIN-kóddal második tényezőként a tanúsítvány titkos kulcsának eléréséhez
  • Az iparági követelménynek való megfelelés, hogy az MFA külön eszközön legyen
  • Segítség a későbbi ellenőrzéshez, ahol több hitelesítő adat tárolható, beleértve a Fast Identity Online 2 (FIDO2) kulcsokat

Microsoft Entra CBA iOS-mobilon a YubiKey használatával

Annak ellenére, hogy a natív Smartcard/CCID-illesztőprogram elérhető az iOS/iPadOS for Lightning csatlakoztatott CCID-kompatibilis intelligens kártyákhoz, a YubiKey 5Ci Lightning-összekötő nem tekinthető csatlakoztatott intelligens kártyának ezeken az eszközökön a PIV (Personal Identity Verification) köztes szoftver, például a Yubico Authenticator használata nélkül.

Egyszeri regisztráció előfeltétele

  • A PIV-kompatibilis YubiKey használata intelligenskártya-tanúsítvánnyal
  • Töltse le az iOS-hez készült Yubico Authenticator alkalmazást az i Telefon 14.2-s vagy újabb verziójával
  • Nyissa meg az alkalmazást, szúrja be a YubiKey-et, vagy koppintson a közelben lévő kommunikációra (NFC), és kövesse a lépéseket a tanúsítvány iOS-kulcskarikára való feltöltéséhez

A YubiKey tesztelésének lépései a Microsoft-alkalmazásokban iOS-mobilon

  1. Telepítse a legújabb Microsoft Authenticator alkalmazást.
  2. Nyissa meg az Outlookot, és csatlakoztassa a YubiKey-et.
  3. Válassza a Fiók hozzáadása lehetőséget, és adja meg a felhasználónevet (UPN).
  4. Kattintson a Folytatás gombra, és megjelenik az iOS-tanúsítványválasztó.
  5. Válassza ki a felhasználó fiókjához társított YubiKey-ből másolt nyilvános tanúsítványt.
  6. Kattintson a YubiKey hitelesítő alkalmazás megnyitásához szükséges YubiKey elemre.
  7. Adja meg a PIN-kódot a YubiKey eléréséhez, és válassza a bal felső sarokban található vissza gombot.

A felhasználót sikeresen be kell jelentkezni, és át kell irányítani az Outlook kezdőlapjára.

Hardveres biztonsági kulcs tanúsítványainak hibaelhárítása

Mi történik, ha a felhasználó rendelkezik tanúsítvánnyal az iOS-eszközön és a YubiKey-en is?

Az iOS-tanúsítványválasztó megjeleníti mind az iOS-eszközön, mind a YubiKey-ből az iOS-eszközre másolt összes tanúsítványt. A tanúsítványfelhasználó által megadottaktól függően előfordulhat, hogy a YubiKey hitelesítőjébe kerülnek pin-kód megadásához, vagy közvetlenül hitelesítve.

A YubiKey zárolva van, miután 3-szor helytelenül beírta a PIN-kódot. Hogyan kijavítani?

  • A felhasználóknak látniuk kell egy párbeszédpanelt, amely tájékoztatja arról, hogy túl sok PIN-kódot kíséreltek meg. Ez a párbeszédpanel a tanúsítvány vagy intelligens kártya használatának későbbi kísérletei során is megjelenik.
  • A YubiKey Manager alaphelyzetbe állíthatja a YubiKey PIN-kódját.

Ez a probléma a tanúsítvány gyorsítótárazása miatt fordul elő. Dolgozunk egy frissítésen a gyorsítótár törléséhez. Kerülő megoldásként kattintson a Mégse gombra, próbálkozzon újra a bejelentkezéssel, és válasszon egy új tanúsítványt.

A Microsoft Entra CBA és a YubiKey nem működik. Milyen információk segíthetnek a hibakeresésben?

  1. Nyissa meg a Microsoft Authenticator alkalmazást, kattintson a jobb felső sarokban található három pont ikonra, és válassza a Visszajelzés küldése lehetőséget.
  2. Kattintson a Probléma?gombra.
  3. A Kiválasztás beállításnál válassza a Hozzáadás vagy bejelentkezés egy fiókba lehetőséget.
  4. Ismertesse a hozzáadni kívánt részleteket.
  5. Kattintson a küldési nyílra a jobb felső sarokban. Jegyezze fel a megjelenő párbeszédpanelen megadott kódot.

Hogyan kényszeríthetem ki az adathalászatnak ellenálló MFA-t a böngészőalapú mobilalkalmazások hardveres biztonsági kulcsával?

A tanúsítványalapú hitelesítés és a feltételes hozzáférés hitelesítésének erőssége lehetővé teszi, hogy az ügyfelek érvényesíthessék a hitelesítési igényeket. Az Edge profilként (fiók hozzáadása) egy olyan hardveres biztonsági kulccsal működik, mint a YubiKey, és egy feltételes hozzáférési szabályzat a hitelesítés erősségével képes kikényszeríteni az adathalászatnak ellenálló hitelesítést a CBA-val.

A YubiKey CBA-támogatása a Legújabb Microsoft Authentication Library (MSAL) kódtárakban, valamint a legújabb MSAL-t integráló külső alkalmazásokban érhető el. A Microsoft minden belső alkalmazása használhatja a CBA és a feltételes hozzáférés hitelesítésének erősségét.

Támogatott operációs rendszerek

Operációs rendszer Tanúsítvány az eszközön/Származtatott PIV Intelligens kártyák/Biztonsági kulcsok
iOS Csak támogatott szállítók

Támogatott böngészők

Operációs rendszer Chrome-tanúsítvány az eszközön Chrome intelligens kártya/biztonsági kulcs Safari-tanúsítvány az eszközön Safari intelligens kártya/biztonsági kulcs Edge-tanúsítvány az eszközön Edge intelligens kártya/biztonsági kulcs
iOS

Biztonsági kulcsszolgáltatók

Szolgáltató iOS
YubiKey

Ismert problémák

  • Az iOS-en a tanúsítványalapú hitelesítéssel rendelkező felhasználók egy "dupla kérést" fognak látni, ahol a tanúsítványalapú hitelesítés kétszeri használatára kell kattintaniuk.
  • Az iOS-en a Microsoft Authenticator alkalmazással rendelkező felhasználók óránkénti bejelentkezési kérést kapnak a CBA-val való hitelesítéshez, ha a hitelesítés erősségi szabályzata kényszeríti a CBA-t, vagy ha a CBA-t használják második tényezőként.

Következő lépések