Autentikasi berbasis sertifikat Microsoft Entra di perangkat Android
Autentikasi berbasis Sertifikat Microsoft Entra didukung dengan sertifikat yang disediakan pada perangkat serta dengan kunci keamanan eksternal seperti YubiKeys.
Prasyarat
- Versi Android harus Android 5.0 (Lollipop) atau yang lebih baru.
- Aplikasi pihak pertama Microsoft dengan pustaka MSAL terbaru atau Microsoft Authenticator dapat melakukan CBA.
- Aplikasi pihak ketiga yang menggunakan pustaka MSAL terbaru atau terintegrasi dengan Microsoft Authenticator dapat melakukan CBA.
CBA dengan sertifikat di perangkat
Pelanggan dapat menggunakan pilihan Mobile Manajemen Perangkat (MDM) mereka untuk menyediakan sertifikat pada perangkat. Pengguna akhir harus terlebih dahulu mendaftarkan perangkat mereka dengan MDM dan mendapatkan sertifikat yang disediakan di perangkat. Setelah sertifikat disediakan di perangkat, pengguna dapat mengautentikasi menggunakan CBA.
Langkah-langkah untuk menguji YubiKey di aplikasi Microsoft di Android:
- Buka Outlook.
- Pilih Tambahkan akun dan masukkan nama prinsipal pengguna (UPN) Anda.
- Klik Lanjutkan.
- Pilih Gunakan Sertifikat atau kartu pintar.
- Pilih Sertifikat pada perangkat dalam dialog**.**
- Pemilih sertifikat akan muncul.
- Pilih sertifikat yang terkait dengan akun pengguna. Klik Lanjutkan.
- Pengguna akan diizinkan untuk mengakses sumber daya Outlook jika autentikasi berhasil.
CBA dengan sertifikat pada kunci keamanan perangkat keras
Sertifikat dapat disediakan di perangkat eksternal seperti kunci keamanan perangkat keras bersama dengan PIN untuk melindungi akses kunci privat. Microsoft Entra ID mendukung CBA dengan YubiKey.
Keuntungan sertifikat pada kunci keamanan perangkat keras
Kunci keamanan dengan sertifikat:
- Memiliki sifat roaming dari kunci keamanan, yang memungkinkan pengguna untuk menggunakan sertifikat yang sama pada perangkat yang berbeda.
- Diamankan perangkat keras dengan PIN, yang membuatnya tahan phishing.
- Berikan autentikasi multifaktor dengan PIN sebagai faktor kedua untuk mengakses kunci privat sertifikat.
- Memenuhi persyaratan industri untuk memiliki MFA pada perangkat terpisah.
- Bantuan dalam pemeriksaan di masa mendatang di mana beberapa kredensial dapat disimpan termasuk kunci Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA di ponsel Android dengan YubiKey
Android memerlukan aplikasi middleware untuk dapat mendukung kartu pintar atau kunci keamanan dengan sertifikat. Untuk mendukung YubiKeys dengan Microsoft Entra CBA, YubiKey Android SDK telah diintegrasikan ke dalam kode broker Microsoft yang dapat dimanfaat melalui Microsoft Authentication Library (MSAL) terbaru.
Karena Microsoft Entra CBA dengan YubiKey di ponsel Android diaktifkan dengan menggunakan MSAL terbaru, aplikasi YubiKey Authenticator tidak diperlukan untuk dukungan Android.
Langkah-langkah untuk menguji YubiKey di aplikasi Microsoft di Android:
- Instal Microsoft Authenticator.
- Jika YubiKey Anda memiliki USB-C, buka Outlook dan colokkan YubiKey Anda.
- Pilih Tambahkan akun dan masukkan nama prinsipal pengguna (UPN) Anda.
- Klik Lanjutkan, dan saat dimintai izin untuk mengakses YubiKey Anda, klik OK.
- Pilih Gunakan Sertifikat atau kartu pintar.
- Jika Anda menggunakan Yubikey berkemampuan NFC, tahan Yubikey ke bagian belakang perangkat.
- Pemilih sertifikat kustom muncul.
- Pilih sertifikat yang terkait dengan akun pengguna, dan klik Lanjutkan.
- Masukkan PIN untuk mengakses YubiKey dan pilih Buka kunci.
- Jika Anda menggunakan Yubikey dengan NFC, tahan Yubikey ke bagian belakang ponsel lagi untuk memvalidasi PIN.
- Setelah autentikasi berhasil, Anda bisa mengakses Outlook.
Catatan
Untuk alur CBA yang lancar, colokkan YubiKey segera setelah aplikasi dibuka dan terima dialog persetujuan dari YubiKey sebelum memilih tautan Gunakan Sertifikat atau kartu pintar. Jika Anda hanya ingin mengalami satu koneksi, pertimbangkan untuk meminta pengguna mencolokkan YubiKey dengan menggunakan USB alih-alih NFC, yang hanya perlu dilakukan sekali pada awal masuk.
Dukungan untuk klien Exchange ActiveSync
Mendukung aplikasi Exchange ActiveSync tertentu di Android 5.0 (Lollipop) atau yang lebih baru. Untuk menentukan apakah aplikasi email Anda mendukung Microsoft Entra CBA, hubungi pengembang aplikasi Anda.
Kasus penggunaan Entra yang didukung
Dukungan aplikasi seluler Microsoft
| Aplikasi | Dukungan |
|---|---|
| Aplikasi Perlindungan Informasi Azure | ✅ |
| Company Portal | ✅ |
| Microsoft Teams | ✅ |
| Office (mobile) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Browser Edge dengan login profil | ✅ |
| Layar Beranda Terkelola | ✅ |
Browser
| Sistem operasi | Sertifikat Chrome di perangkat | Kartu pintar/kunci keamanan Chrome | Sertifikat Safari di perangkat | Kartu pintar/kunci keamanan Safari | Sertifikat Edge di perangkat | Kartu pintar/kunci keamanan Edge |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | T/A | T/A | ✅ | ❌ |
Catatan
Meskipun Edge sebagai browser tidak didukung, Edge sebagai profil (untuk login akun) adalah aplikasi MSAL yang mendukung CBA di Android.
Sistem operasi
| Sistem operasi | Sertifikat di perangkat/PIV Turunan | Kartu pintar/Kunci keamanan |
|---|---|---|
| Android | ✅ | Vendor yang didukung saja |
Penyedia kunci keamanan
| Penyedia | Android |
|---|---|
| YubiKey | ✅ |
Memecahkan masalah sertifikat pada kunci keamanan perangkat keras
Apa yang akan terjadi jika pengguna memiliki sertifikat baik di perangkat Android maupun YubiKey?
- Jika pengguna memiliki sertifikat baik di perangkat android maupun YubiKey, maka jika YubiKey dicolokkan sebelum pengguna mengklik Gunakan Sertifikat atau kartu pintar, pengguna akan ditampilkan sertifikat di YubiKey.
- Jika YubiKey tidak dicolokkan sebelum pengguna mengklik Gunakan Sertifikat atau kartu pintar, pengguna akan diminta untuk memilih antara sertifikat pada perangkat atau kartu pintar fisik. Jika pengguna memilih Sertifikat pada perangkat, pengguna akan ditampilkan sertifikat pada perangkat. Jika pengguna memilih Sertifikat pada kartu pintar fisik, colokkan atau tahan YubiKey ke belakang, dan pengguna akan ditampilkan sertifikat di YubiKey.
YubiKey saya terkunci setelah salah mengetik PIN tiga kali. Bagaimana saya memperbaikinya?
- Pengguna akan melihat dialog yang memberi tahu Anda bahwa terlalu banyak upaya PIN yang telah dilakukan. Dialog ini juga muncul selama upaya berikutnya untuk memilih Gunakan Sertifikat atau kartu pintar.
- Pengguna harus menghubungi admin untuk mengatur ulang PIN YubiKey.
Saya telah menginstal pengautentikasi Microsoft tetapi masih tidak melihat opsi untuk melakukan autentikasi berbasis Sertifikat dengan YubiKey.
Sebelum menginstal Microsoft Authenticator, hapus instalan Portal Perusahaan dan instal setelah penginstalan Microsoft Authenticator.
Apakah Microsoft Entra CBA mendukung YubiKey melalui NFC?
Entra CBA mendukung penggunaan YubiKey dengan USB dan NFC.
Setelah CBA gagal, mengklik opsi CBA lagi di tautan 'Cara lain untuk masuk' pada halaman kesalahan gagal.
Masalah ini terjadi karena penembolokan sertifikat. Sebagai solusinya, mengklik batalkan dan memulai ulang alur masuk akan memungkinkan pengguna memilih sertifikat baru dan berhasil masuk.
Microsoft Entra CBA dengan YubiKey gagal. Informasi apa yang akan membantu men-debug masalah?
- Buka aplikasi Microsoft Authenticator, klik ikon tiga titik di sudut kanan atas dan pilih Kirim Umpan Balik.
- Klik Mengalami Masalah?.
- Untuk Pilih opsi, pilih Tambahkan atau masuk ke akun.
- Jelaskan detail apa pun yang ingin Anda tambahkan.
- Klik panah kirim di sudut kanan atas. Perhatikan kode yang disediakan dalam dialog yang muncul.