Uwierzytelnianie oparte na certyfikatach firmy Microsoft na urządzeniach z systemem Android
Uwierzytelnianie oparte na certyfikatach firmy Microsoft jest obsługiwane w przypadku certyfikatów aprowizowania na urządzeniu, a także z zewnętrznymi kluczami zabezpieczeń, takimi jak YubiKeys.
Wymagania wstępne
- Wersja systemu Android musi być systemem Android 5.0 (Lollipop) lub nowszym.
- Aplikacje firmy Microsoft z najnowszymi bibliotekami MSAL lub Microsoft Authenticator mogą wykonywać cba.
- Aplikacje innych firm korzystające z najnowszych bibliotek MSAL lub zintegrowane z aplikacją Microsoft Authenticator mogą wykonywać cba.
CbA z certyfikatami na urządzeniach
Klienci mogą użyć wybranego rozwiązania Mobile Zarządzanie urządzeniami (MDM), aby aprowizować certyfikaty na urządzeniu. Użytkownicy końcowi muszą najpierw zarejestrować swoje urządzenia w rozwiązaniu MDM i uzyskać certyfikat aprowizowany na urządzeniu. Po aprowizacji certyfikatu na urządzeniu użytkownicy mogą uwierzytelniać się przy użyciu cba.
Kroki testowania aplikacji YubiKey w aplikacjach firmy Microsoft w systemie Android:
- Otwórz program Outlook.
- Wybierz pozycję Dodaj konto i wprowadź nazwę główną użytkownika (UPN).
- Kliknij pozycję Continue (Kontynuuj).
- Wybierz pozycję Użyj certyfikatu lub karty inteligentnej.
- Wybierz pozycję Certyfikat na urządzeniu w oknie dialogowym**.**
- Zostanie wyświetlony selektor certyfikatów.
- Wybierz certyfikat skojarzony z kontem użytkownika. Kliknij pozycję Continue (Kontynuuj).
- Jeśli uwierzytelnianie zakończy się pomyślnie, użytkownik będzie mógł uzyskać dostęp do zasobu programu Outlook.
CbA z certyfikatami na sprzęcie klucza zabezpieczeń
Certyfikaty można aprowizować na urządzeniach zewnętrznych, takich jak sprzętowe klucze zabezpieczeń wraz z numerem PIN w celu ochrony dostępu do klucza prywatnego. Microsoft Entra ID obsługuje cba z YubiKey.
Zalety certyfikatów dotyczących sprzętowego klucza zabezpieczeń
Klucze zabezpieczeń z certyfikatami:
- Mają charakter roamingu klucza zabezpieczeń, który umożliwia użytkownikom korzystanie z tego samego certyfikatu na różnych urządzeniach.
- Są zabezpieczone sprzętowo za pomocą numeru PIN, co sprawia, że są odporne na wyłudzanie informacji.
- Podaj uwierzytelnianie wieloskładnikowe przy użyciu numeru PIN jako drugiego czynnika w celu uzyskania dostępu do klucza prywatnego certyfikatu.
- Spełnij wymagania branżowe dotyczące uwierzytelniania wieloskładnikowego na oddzielnym urządzeniu.
- Pomoc w przyszłości w sprawdzaniu, gdzie można przechowywać wiele poświadczeń, w tym klucze Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA na urządzeniach przenośnych z systemem Android za pomocą yubiKey
System Android potrzebuje aplikacji oprogramowania pośredniczącego, aby móc obsługiwać karty inteligentne lub klucze zabezpieczeń przy użyciu certyfikatów. Aby obsługiwać platformę YubiKeys za pomocą usługi Microsoft Entra CBA, zestaw SDK systemu Android YubiKey został zintegrowany z kodem brokera firmy Microsoft, który można wykorzystać za pośrednictwem najnowszej biblioteki Microsoft Authentication Library (MSAL).
Ponieważ aplikacja Microsoft Entra CBA z rozwiązaniem YubiKey na urządzeniach przenośnych z systemem Android jest włączona przy użyciu najnowszej biblioteki MSAL, aplikacja YubiKey Authenticator nie jest wymagana do obsługi systemu Android.
Kroki testowania aplikacji YubiKey w aplikacjach firmy Microsoft w systemie Android:
- Zainstaluj program Microsoft Authenticator.
- Jeśli twoja aplikacja YubiKey ma usb-C, otwórz program Outlook i podłącz go do klucza YubiKey.
- Wybierz pozycję Dodaj konto i wprowadź nazwę główną użytkownika (UPN).
- Kliknij przycisk Kontynuuj, a gdy zostanie wyświetlony monit o uprawnienie dostępu do klucza YubiKey, kliknij przycisk OK.
- Wybierz pozycję Użyj certyfikatu lub karty inteligentnej.
- Jeśli używasz technologii Yubikey z włączoną funkcją NFC, przytrzymaj yubikey z tyłu urządzenia.
- Zostanie wyświetlony niestandardowy selektor certyfikatów.
- Wybierz certyfikat skojarzony z kontem użytkownika, a następnie kliknij przycisk Kontynuuj.
- Wprowadź numer PIN, aby uzyskać dostęp do klucza YubiKey, a następnie wybierz pozycję Odblokuj.
- Jeśli używasz yubikey z NFC, przytrzymaj yubikey z tyłu telefonu ponownie, aby zweryfikować numer PIN.
- Po pomyślnym uwierzytelnieniu można uzyskać dostęp do programu Outlook.
Uwaga
W przypadku płynnego przepływu CBA wtyczki YubiKey zaraz po otwarciu aplikacji zaakceptuj okno dialogowe zgody z narzędzia YubiKey przed wybraniem linku Użyj certyfikatu lub karty inteligentnej. Jeśli chcesz korzystać tylko z jednego połączenia, rozważ podłączanie użytkowników za pomocą portu USB zamiast NFC, które należy wykonać tylko raz na początku logowania.
Obsługa klientów programu Exchange ActiveSync
Obsługiwane są niektóre aplikacje exchange ActiveSync w systemie Android 5.0 (Lollipop) lub nowszym. Aby ustalić, czy aplikacja poczty e-mail obsługuje usługę Microsoft Entra CBA, skontaktuj się z deweloperem aplikacji.
Obsługiwane przypadki użycia entra
Obsługa aplikacji mobilnych firmy Microsoft
| Aplikacje | Pomoc techniczna |
|---|---|
| Aplikacja usługi Azure Information Protection | ✅ |
| Portal firmy | ✅ |
| Microsoft Teams | ✅ |
| Office (dla urządzeń przenośnych) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype dla firm | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Przeglądarka Edge z logowaniem do profilu | ✅ |
| Zarządzany Ekran Główny | ✅ |
Przeglądarkach
| System operacyjny | Certyfikat przeglądarki Chrome na urządzeniu | Karta inteligentna przeglądarki Chrome/klucz zabezpieczeń | Certyfikat przeglądarki Safari na urządzeniu | Karta inteligentna przeglądarki Safari/klucz zabezpieczeń | Certyfikat usługi Edge na urządzeniu | Karta inteligentna/klucz zabezpieczeń krawędzi |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | Brak | Brak | ✅ | ❌ |
Uwaga
Mimo że przeglądarka Edge jako przeglądarka nie jest obsługiwana, przeglądarka Edge jako profil (na potrzeby logowania do konta) to aplikacja MSAL, która obsługuje cba w systemie Android.
Systemy operacyjne
| System operacyjny | Certyfikat na urządzeniu/pochodne dane osobowe | Karty inteligentne/klucze zabezpieczeń |
|---|---|---|
| Android | ✅ | Tylko obsługiwani dostawcy |
Dostawcy kluczy zabezpieczeń
| Dostawca | Android |
|---|---|
| YubiKey | ✅ |
Rozwiązywanie problemów z certyfikatami w kluczu zabezpieczeń sprzętu
Co się stanie, jeśli użytkownik ma certyfikaty zarówno na urządzeniu z systemem Android, jak i yubiKey?
- Jeśli użytkownik ma certyfikaty zarówno na urządzeniu z systemem Android, jak i YubiKey, jeśli klucz YubiKey jest podłączony przed kliknięciem przez użytkownika pozycji Użyj certyfikatu lub karty inteligentnej, użytkownik będzie wyświetlany certyfikaty w yubiKey.
- Jeśli klucz YubiKey nie jest podłączony przed kliknięciem przez użytkownika pozycji Użyj certyfikatu lub karty inteligentnej, użytkownik zostanie poproszony o wybranie między certyfikatami na urządzeniu lub fizycznej karcie inteligentnej. Jeśli użytkownik wybierze pozycję Certyfikat na urządzeniu, użytkownik będzie wyświetlał certyfikaty na urządzeniu. Jeśli użytkownik wybierze pozycję Certyfikaty na fizycznej karcie inteligentnej, podłącz lub przytrzymaj klawisz YubiKey z tyłu, a użytkownik będzie wyświetlał certyfikaty w kluczu YubiKey.
My YubiKey jest zablokowany po niepoprawnym wpisaniu numeru PIN trzy razy. Jak mogę rozwiązać ten problem?
- Użytkownicy powinni zobaczyć okno dialogowe z informacją o tym, że podjęto zbyt wiele prób numeru PIN. To okno dialogowe jest również wyświetlane podczas kolejnych prób wybrania opcji Użyj certyfikatu lub karty inteligentnej.
- Użytkownicy powinni skontaktować się z administratorem, aby zresetować numer PIN yubiKey.
Mam zainstalowany program Microsoft Authenticator, ale nadal nie widzę opcji uwierzytelniania opartego na certyfikatach za pomocą narzędzia YubiKey.
Przed zainstalowaniem aplikacji Microsoft Authenticator odinstaluj Portal firmy i zainstaluj ją po zainstalowaniu aplikacji Microsoft Authenticator.
Czy firma Microsoft Entra CBA obsługuje yubiKey za pośrednictwem nfc?
Aplikacja Entra CBA obsługuje używanie yubiKey z usb i NFC.
Po awarii CBA kliknij ponownie opcję CBA w linku "Inne sposoby logowania" na stronie błędu kończy się niepowodzeniem.
Ten problem występuje z powodu buforowania certyfikatów. Aby obejść ten problem, kliknięcie przycisku Anuluj i ponowne uruchomienie przepływu logowania pozwoli użytkownikowi wybrać nowy certyfikat i pomyślnie zalogować się.
Microsoft Entra CBA z YubiKey kończy się niepowodzeniem. Jakie informacje pomogą w debugowaniu problemu?
- Otwórz aplikację Microsoft Authenticator, kliknij ikonę trzech kropek w prawym górnym rogu i wybierz pozycję Wyślij opinię.
- Kliknij przycisk Masz problem?.
- W obszarze Wybierz opcję wybierz pozycję Dodaj lub zaloguj się do konta.
- Opisz wszelkie szczegóły, które chcesz dodać.
- Kliknij strzałkę wysyłania w prawym górnym rogu. Zanotuj kod podany w wyświetlonym oknie dialogowym.
Następne kroki
- Omówienie usługi Microsoft Entra CBA
- Szczegółowe informacje techniczne dotyczące usługi Microsoft Entra CBA
- Jak skonfigurować usługę Microsoft Entra CBA
- Microsoft Entra CBA na urządzeniach z systemem iOS
- Logowanie za pomocą usługi Windows SmartCard przy użyciu usługi Microsoft Entra CBA
- Identyfikatory użytkownika certyfikatu
- Jak migrować użytkowników federacyjnych
- Często zadawane pytania