Microsoft Entra-certifikatbaserad autentisering på Android-enheter
Microsoft Entra-certifikatbaserad autentisering stöds med certifikat som etablerats på enheten samt med externa säkerhetsnycklar som YubiKeys.
Förutsättningar
- Android-versionen måste vara Android 5.0 (Lollipop) eller senare.
- Microsofts förstapartsappar med de senaste MSAL-biblioteken eller Microsoft Authenticator kan göra CBA.
- Program från tredje part som använder de senaste MSAL-biblioteken eller som är integrerade med Microsoft Authenticator kan göra CBA.
CBA med certifikat på enheten
Kunder kan använda sitt val av Mobile Enhetshantering (MDM) för att etablera certifikaten på enheten. Slutanvändarna måste först registrera sina enheter med MDM och få certifikatet etablerat på enheten. När certifikatet har etablerats på enheten kan användarna autentisera med hjälp av CBA.
Steg för att testa YubiKey i Microsoft-appar på Android:
- Öppna Outlook.
- Välj Lägg till konto och ange användarens huvudnamn (UPN).
- Klicka på Fortsätt.
- Välj Använd certifikat eller smartkort.
- Välj Certifikat på enheten i dialogrutan**.**
- Certifikatväljaren visas.
- Välj certifikatet som är associerat med användarens konto. Klicka på Fortsätt.
- Användaren får åtkomst till Outlook-resursen om autentiseringen lyckas.
CBA med certifikat på maskinvarusäkerhetsnyckel
Certifikat kan etableras på externa enheter som maskinvarusäkerhetsnycklar tillsammans med en PIN-kod för att skydda åtkomsten till den privata nyckeln. Microsoft Entra ID stöder CBA med YubiKey.
Fördelar med certifikat på maskinvarusäkerhetsnyckel
Säkerhetsnycklar med certifikat:
- Ha en säkerhetsnyckels centrala karaktär, vilket gör att användarna kan använda samma certifikat på olika enheter.
- Är maskinvaruskyddade med en PIN-kod, vilket gör dem nätfiskeresistenta.
- Ange multifaktorautentisering med en PIN-kod som andra faktor för att få åtkomst till certifikatets privata nyckel.
- Uppfyller branschens krav på att ha MFA på en separat enhet.
- Hjälp med framtida bevis där flera autentiseringsuppgifter kan lagras, inklusive FIDO2-nycklar (Fast Identity Online 2).
Microsoft Entra CBA på Android Mobile med YubiKey
Android behöver ett mellanprogramsprogram för att kunna stödja smartkort eller säkerhetsnycklar med certifikat. För att stödja YubiKeys med Microsoft Entra CBA har YubiKey Android SDK integrerats i Microsoft Broker-koden som kan utnyttjas via det senaste Microsoft Authentication Library (MSAL).
Eftersom Microsoft Entra CBA med YubiKey på Android Mobile är aktiverat med hjälp av den senaste MSAL krävs inte YubiKey Authenticator-appen för Android-support.
Steg för att testa YubiKey i Microsoft-appar på Android:
- Installera Microsoft Authenticator.
- Om din YubiKey har USB-C öppnar du Outlook och ansluter din YubiKey.
- Välj Lägg till konto och ange användarens huvudnamn (UPN).
- Klicka på Fortsätt och klicka på OK när du tillfrågas om behörighet att komma åt din YubiKey.
- Välj Använd certifikat eller smartkort.
- Om du använder en NFC-aktiverad Yubikey håller du Yubikey på baksidan av enheten.
- En anpassad certifikatväljare visas.
- Välj certifikatet som är associerat med användarens konto och klicka på Fortsätt.
- Ange PIN-koden för att komma åt YubiKey och välj Lås upp.
- Om du använder en Yubikey med NFC håller du Yubikey på baksidan av telefonen igen för att verifiera PIN-koden.
- När autentiseringen har slutförts kan du komma åt Outlook.
Kommentar
För ett smidigt CBA-flöde ansluter du YubiKey så snart programmet har öppnats och godkänner medgivandedialogrutan från YubiKey innan du väljer länken Använd certifikat eller smartkort. Om du bara vill uppleva en enda anslutning kan du överväga att låta användarna ansluta YubiKey med hjälp av USB i stället för NFC, vilket bara behöver göras en gång i början av inloggningen.
Stöd för Exchange ActiveSync-klienter
Vissa Exchange ActiveSync-program på Android 5.0 (Lollipop) eller senare stöds. Kontakta programutvecklaren för att ta reda på om ditt e-postprogram stöder Microsoft Entra CBA.
Entra-användningsfall som stöds
Stöd för Microsoft-mobilprogram
| Appar | Support |
|---|---|
| Azure Information Protection-app | ✅ |
| Företagsportal | ✅ |
| Microsoft Teams | ✅ |
| Office (mobil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype för företag | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Edge-webbläsare med profilinloggning | ✅ |
| Hanterad hemskärm | ✅ |
Webbläsare
| Operativsystem | Chrome-certifikat på enheten | Chrome smartkort/säkerhetsnyckel | Safari-certifikat på enheten | Safari smartkort/säkerhetsnyckel | Edge-certifikat på enheten | Edge smartkort/säkerhetsnyckel |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | Saknas | Inte tillgänglig | ✅ | ❌ |
Kommentar
Även om Edge som webbläsare inte stöds är Edge som profil (för kontoinloggning) en MSAL-app som stöder CBA på Android.
Operativsystem
| Operativsystem | Certifikat på enheten/härledd PIV | Smartkort/säkerhetsnycklar |
|---|---|---|
| Android | ✅ | Endast leverantörer som stöds |
Leverantörer av säkerhetsnycklar
| Provider | Android |
|---|---|
| YubiKey | ✅ |
Felsöka certifikat för maskinvarusäkerhetsnyckel
Vad händer om användaren har certifikat både på Android-enheten och YubiKey?
- Om användaren har certifikat både på Android-enheten och YubiKey visas certifikaten i YubiKey om YubiKey är ansluten innan användaren klickar på Använd certifikat eller smartkort.
- Om YubiKey inte är ansluten innan användaren klickar på Använd certifikat eller smartkort uppmanas användaren att välja mellan certifikat på enheten eller det fysiska smartkortet. Om användaren väljer Certifikat på enheten visas certifikaten på enheten. Om användaren väljer Certifikat på ett fysiskt smartkort kopplar du in eller håller YubiKey på baksidan, så visas certifikaten i YubiKey.
Min YubiKey är låst efter att felaktigt ha skrivit PIN-kod tre gånger. Hur åtgärdar jag detta?
- Användarna bör se en dialogruta som informerar dig om att för många PIN-kodsförsök har gjorts. Den här dialogrutan visas också under efterföljande försök att välja Använd certifikat eller smartkort.
- Användarna bör kontakta administratören för att återställa en YubiKey-PIN-kod.
Jag har installerat Microsoft-autentisering men ser ändå inte något alternativ för att utföra certifikatbaserad autentisering med YubiKey.
Innan du installerar Microsoft Authenticator avinstallerar du Företagsportal och installerar den efter installationen av Microsoft Authenticator.
Stöder Microsoft Entra CBA YubiKey via NFC?
Entra CBA stöder användning av YubiKey med USB och NFC.
När CBA misslyckas klickar du på CBA-alternativet igen på länken "Andra sätt att logga in" på felsidan.
Det här problemet uppstår på grund av cachelagring av certifikat. Om du klickar på Avbryt och startar om inloggningsflödet kan användaren välja ett nytt certifikat och logga in.
Microsoft Entra CBA med YubiKey misslyckas. Vilken information skulle hjälpa dig att felsöka problemet?
- Öppna Microsoft Authenticator-appen, klicka på ikonen med tre punkter i det övre högra hörnet och välj Skicka feedback.
- Klicka på Har du problem?.
- För Välj ett alternativ väljer du Lägg till eller logga in på ett konto.
- Beskriv all information som du vill lägga till.
- Klicka på pilen skicka i det övre högra hörnet. Observera koden som anges i dialogrutan som visas.