Uwierzytelnianie oparte na certyfikatach firmy Microsoft w systemach iOS i macOS
W tym temacie opisano obsługę uwierzytelniania opartego na certyfikatach firmy Microsoft (CBA) dla urządzeń z systemem macOS i iOS.
Uwierzytelnianie oparte na certyfikatach firmy Microsoft na urządzeniach z systemem macOS
Urządzenia z systemem macOS mogą używać cba do uwierzytelniania względem identyfikatora Entra firmy Microsoft przy użyciu certyfikatu klienta X.509. Program Microsoft Entra CBA jest obsługiwany z certyfikatami na urządzeniu i zewnętrznymi chronionymi kluczami zabezpieczeń sprzętu. W systemie macOS firma Microsoft Entra CBA jest obsługiwana we wszystkich przeglądarkach i aplikacjach firmy Microsoft.
Przeglądarki obsługiwane w systemie macOS
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Logowanie urządzenia z systemem macOS w usłudze Microsoft Entra CBA
Firma Microsoft Entra CBA nie jest obecnie obsługiwana w przypadku logowania opartego na urządzeniach do maszyn z systemem macOS. Certyfikat używany do logowania się na urządzeniu może być tym samym certyfikatem używanym do uwierzytelniania w identyfikatorze Entra firmy Microsoft z poziomu przeglądarki lub aplikacji klasycznej, ale sam logowanie urządzenia nie jest jeszcze obsługiwane względem identyfikatora Microsoft Entra ID.
Uwierzytelnianie oparte na certyfikatach firmy Microsoft na urządzeniach z systemem iOS
Urządzenia z systemem iOS mogą używać uwierzytelniania opartego na certyfikatach (CBA) do uwierzytelniania w usłudze Microsoft Entra ID przy użyciu certyfikatu klienta na urządzeniu podczas nawiązywania połączenia z:
- Aplikacje mobilne pakietu Office, takie jak Microsoft Outlook i Microsoft Word
- Klienci programu Exchange ActiveSync (EAS)
Program Microsoft Entra CBA jest obsługiwany w przypadku certyfikatów na urządzeniu w natywnych przeglądarkach i aplikacjach firmy Microsoft na urządzeniach z systemem iOS.
Wymagania wstępne
- Wersja systemu iOS musi być systemem iOS 9 lub nowszym.
- Aplikacja Microsoft Authenticator jest wymagana w przypadku aplikacja pakietu Office licacji i programu Outlook w systemie iOS.
Obsługa certyfikatów urządzeń i magazynu zewnętrznego
Certyfikaty na urządzeniu są aprowizowane na urządzeniu. Klienci mogą używać usługi Mobile Zarządzanie urządzeniami (MDM) do aprowizowania certyfikatów na urządzeniu. Ponieważ system iOS nie obsługuje obecnie kluczy chronionych sprzętem, klienci mogą używać zewnętrznych urządzeń magazynujących na potrzeby certyfikatów.
Obsługiwane platformy
- Obsługiwane są tylko przeglądarki natywne
- Aplikacje korzystające z najnowszych bibliotek BIBLIOTEK MSAL lub Microsoft Authenticator mogą wykonywać cba
- Przeglądarka Edge z profilem, gdy użytkownicy dodają konto i zalogowali się w profilu, obsługują cba
- Aplikacje firmy Microsoft z najnowszymi bibliotekami MSAL lub Microsoft Authenticator mogą wykonywać cba
Przeglądarkach
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Obsługa aplikacji mobilnych firmy Microsoft
| Aplikacje | Pomoc techniczna |
|---|---|
| Aplikacja usługi Azure Information Protection | ✅ |
| Portal firmy | ✅ |
| Microsoft Teams | ✅ |
| Office (dla urządzeń przenośnych) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype dla firm | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Obsługa klientów programu Exchange ActiveSync
W systemie iOS 9 lub nowszym natywny klient poczty systemu iOS jest obsługiwany.
Aby ustalić, czy aplikacja poczty e-mail obsługuje usługę Microsoft Entra CBA, skontaktuj się z deweloperem aplikacji.
Obsługa certyfikatów na sprzęcie klucza zabezpieczeń
Certyfikaty można aprowizować na urządzeniach zewnętrznych, takich jak sprzętowe klucze zabezpieczeń wraz z numerem PIN w celu ochrony dostępu do klucza prywatnego. Rozwiązanie oparte na certyfikatach mobilnych firmy Microsoft w połączeniu ze sprzętowymi kluczami zabezpieczeń to prosta, wygodna, certyfikowana metoda MFA odporna na wyłudzanie informacji (FIPS, Federal Information Processing Standards).
Jeśli chodzi o system iOS 16/iPadOS 16.1, urządzenia firmy Apple zapewniają natywną obsługę sterowników dla kart inteligentnych zgodnych ze standardem USB-C lub Lightning. Oznacza to, że urządzenia firmy Apple w systemie iOS 16/iPadOS 16.1 widzą urządzenie zgodne ze standardem CCID usb lub Lightning jako kartę inteligentną bez używania dodatkowych sterowników lub aplikacji innych firm. Firma Microsoft Entra CBA działa na tych kartach inteligentnych zgodnych ze standardem USB-A, USB-C lub Lightning.
Zalety certyfikatów dotyczących sprzętowego klucza zabezpieczeń
Klucze zabezpieczeń z certyfikatami:
- Można używać na dowolnym urządzeniu i nie trzeba aprowizować certyfikatu na każdym urządzeniu, które ma użytkownik
- Są zabezpieczone sprzętowo przy użyciu numeru PIN, co sprawia, że są odporne na wyłudzanie informacji
- Podawanie uwierzytelniania wieloskładnikowego przy użyciu numeru PIN jako drugiego czynnika w celu uzyskania dostępu do klucza prywatnego certyfikatu
- Spełnianie wymagań branżowych dotyczących uwierzytelniania wieloskładnikowego na oddzielnym urządzeniu
- Pomoc w przyszłości w sprawdzaniu, gdzie można przechowywać wiele poświadczeń, w tym klucze Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA na urządzeniach przenośnych z systemem iOS za pomocą yubiKey
Mimo że natywny sterownik Smartcard/CCID jest dostępny w systemie iOS/iPadOS dla zgodnych ze standardem LIGHTNING kart inteligentnych, łącznik YubiKey 5Ci Lightning nie jest postrzegany jako połączona karta inteligentna na tych urządzeniach bez korzystania z oprogramowania pośredniczącego PIV (Personal Identity Verification), takiego jak Yubico Authenticator.
Wymagania wstępne dotyczące rejestracji jednorazowej
- Posiadanie włączonej usługi PIV YubiKey z aprowizowanym certyfikatem karty inteligentnej
- Pobierz aplikację Yubico Authenticator dla systemu iOS w systemie i Telefon z wersją 14.2 lub nowszą
- Otwórz aplikację, wstaw klucz YubiKey lub naciśnij za pośrednictwem komunikacji zbliżeniowej (NFC) i wykonaj kroki przekazywania certyfikatu do pęku kluczy systemu iOS
Kroki testowania aplikacji YubiKey w aplikacjach firmy Microsoft na urządzeniach przenośnych z systemem iOS
- Zainstaluj najnowszą aplikację Microsoft Authenticator.
- Otwórz program Outlook i podłącz swój klucz YubiKey.
- Wybierz pozycję Dodaj konto i wprowadź nazwę główną użytkownika (UPN).
- Kliknij przycisk Kontynuuj , a zostanie wyświetlony selektor certyfikatów systemu iOS.
- Wybierz certyfikat publiczny skopiowany z yubiKey skojarzony z kontem użytkownika.
- Kliknij pozycję YubiKey wymagane , aby otworzyć aplikację authenticator YubiKey.
- Wprowadź numer PIN, aby uzyskać dostęp do klucza YubiKey, a następnie wybierz przycisk Wstecz w lewym górnym rogu.
Użytkownik powinien zostać pomyślnie zalogowany i przekierowany do strony głównej programu Outlook.
Rozwiązywanie problemów z certyfikatami w kluczu zabezpieczeń sprzętu
Co się stanie, jeśli użytkownik ma certyfikaty zarówno na urządzeniu z systemem iOS, jak i YubiKey?
Selektor certyfikatów systemu iOS pokazuje wszystkie certyfikaty na urządzeniu z systemem iOS i skopiowane z narzędzia YubiKey na urządzenie z systemem iOS. W zależności od wyboru użytkownika certyfikatu może zostać przewieziony do wystawcy uwierzytelnienia YubiKey w celu wprowadzenia numeru PIN lub bezpośredniego uwierzytelnienia.
My YubiKey jest zablokowany po niepoprawnym wpisaniu numeru PIN 3 razy. Jak mogę rozwiązać ten problem?
- Użytkownicy powinni zobaczyć okno dialogowe z informacją o tym, że podjęto zbyt wiele prób numeru PIN. To okno dialogowe jest również wyświetlane podczas kolejnych prób wybrania opcji Użyj certyfikatu lub karty inteligentnej.
- YubiKey Manager może zresetować numer PIN YubiKey.
Po awarii CBA opcja CBA w linku "Inne sposoby logowania" również kończy się niepowodzeniem. Czy istnieje obejście?
Ten problem występuje z powodu buforowania certyfikatów. Pracujemy nad aktualizacją w celu wyczyszczenia pamięci podręcznej. Aby obejść ten problem, kliknij przycisk Anuluj, ponów próbę zalogowania i wybierz nowy certyfikat.
Microsoft Entra CBA z YubiKey kończy się niepowodzeniem. Jakie informacje pomogą w debugowaniu problemu?
- Otwórz aplikację Microsoft Authenticator, kliknij ikonę trzech kropek w prawym górnym rogu i wybierz pozycję Wyślij opinię.
- Kliknij przycisk Masz problem?.
- W obszarze Wybierz opcję wybierz pozycję Dodaj lub zaloguj się do konta.
- Opisz wszelkie szczegóły, które chcesz dodać.
- Kliknij strzałkę wysyłania w prawym górnym rogu. Zanotuj kod podany w wyświetlonym oknie dialogowym.
Jak wymusić uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji przy użyciu sprzętowego klucza zabezpieczeń w aplikacjach opartych na przeglądarce na urządzeniach przenośnych?
Możliwość uwierzytelniania opartego na certyfikatach i siły uwierzytelniania dostępu warunkowego sprawia, że klienci mogą wymuszać potrzeby uwierzytelniania. Przeglądarka Edge jako profil (dodawanie konta) współpracuje ze sprzętowym kluczem zabezpieczeń, na przykład YubiKey, a zasady dostępu warunkowego z możliwością siły uwierzytelniania mogą wymuszać uwierzytelnianie odporne na wyłudzanie informacji za pomocą cba.
Obsługa narzędzia CBA dla yubiKey jest dostępna w najnowszych bibliotekach bibliotek Microsoft Authentication Library (MSAL) oraz dowolnej aplikacji innej firmy, która integruje najnowszą bibliotekę MSAL. Wszystkie aplikacje firmy Microsoft mogą używać siły uwierzytelniania CBA i dostępu warunkowego.
Obsługiwane systemy operacyjne
| System operacyjny | Certyfikat na urządzeniu/pochodne dane osobowe | Karty inteligentne/klucze zabezpieczeń |
|---|---|---|
| iOS | ✅ | Tylko obsługiwani dostawcy |
Obsługiwane przeglądarki
| System operacyjny | Certyfikat przeglądarki Chrome na urządzeniu | Karta inteligentna przeglądarki Chrome/klucz zabezpieczeń | Certyfikat przeglądarki Safari na urządzeniu | Karta inteligentna przeglądarki Safari/klucz zabezpieczeń | Certyfikat usługi Edge na urządzeniu | Karta inteligentna/klucz zabezpieczeń krawędzi |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Dostawcy kluczy zabezpieczeń
| Dostawca | iOS |
|---|---|
| YubiKey | ✅ |
Znane problemy
- W systemie iOS użytkownicy z uwierzytelnianiem opartym na certyfikatach zobaczą "podwójny monit", w którym muszą kliknąć opcję dwukrotnego użycia uwierzytelniania opartego na certyfikatach.
- W systemie iOS użytkownicy z aplikacją Microsoft Authenticator będą również widzieć monit logowania godzinowego o uwierzytelnienie w cba, jeśli istnieją zasady siły uwierzytelniania wymuszające CBA, lub jeśli używają CBA jako drugiego czynnika.
Następne kroki
- Omówienie usługi Microsoft Entra CBA
- Szczegółowe informacje techniczne dotyczące usługi Microsoft Entra CBA
- Jak skonfigurować usługę Microsoft Entra CBA
- Microsoft Entra CBA na urządzeniach z systemem Android
- Logowanie za pomocą karty inteligentnej systemu Windows przy użyciu usługi Microsoft Entra CBA
- Identyfikatory użytkownika certyfikatu
- Jak migrować użytkowników federacyjnych
- Często zadawane pytania