Ověřování založené na certifikátech Microsoft Entra v iOSu a macOS
Toto téma popisuje podporu ověřování na základě certifikátů (CBA) microsoft Entra pro zařízení s macOS a iOS.
Ověřování založené na certifikátu Microsoft Entra na zařízeních s macOS
Zařízení se systémem macOS můžou pomocí CBA ověřit pomocí klientského certifikátu X.509 v Microsoft Entra ID. Microsoft Entra CBA se podporuje s certifikáty na zařízení a externími klíči zabezpečení chráněnými hardwarem. V macOS se Microsoft Entra CBA podporuje ve všech prohlížečích a v aplikacích Microsoftu.
Podporované prohlížeče v macOS
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Přihlášení zařízení s macOS pomocí Microsoft Entra CBA
Microsoft Entra CBA se dnes nepodporuje pro přihlašování na počítačích s macOS na základě zařízení. Certifikát použitý k přihlášení k zařízení může být stejný certifikát, který se používá k ověření v MICROSOFT Entra ID z prohlížeče nebo desktopové aplikace, ale samotné přihlášení zařízení není podporováno pro Microsoft Entra ID.
Ověřování založené na certifikátech Microsoft Entra na zařízeních s iOSem
Zařízení s iOSem můžou použít ověřování na základě certifikátů (CBA) k ověření v Microsoft Entra ID pomocí klientského certifikátu na svém zařízení při připojování:
- Mobilní aplikace Office, jako je Microsoft Outlook a Microsoft Word
- klienti protokol Exchange ActiveSync (EAS)
Microsoft Entra CBA je podporován pro certifikáty na zařízení v nativních prohlížečích a v aplikacích Microsoftu na zařízeních s iOSem.
Požadavky
- Verze iOS musí být iOS 9 nebo novější.
- Microsoft Authenticator se vyžaduje pro aplikace Office lications a Outlook v iOSu.
Podpora certifikátů na zařízení a externího úložiště
Certifikáty na zařízení se zřídí. Zákazníci můžou k zřizování certifikátů v zařízení používat mobilní Správa zařízení (MDM). Vzhledem k tomu, že iOS nepodporuje hardwarové chráněné klíče, zákazníci můžou pro certifikáty používat externí úložné zařízení.
Podporované platformy
- Podporují se jenom nativní prohlížeče.
- Aplikace využívající nejnovější knihovny MSAL nebo Microsoft Authenticator můžou provádět CBA
- Edge with profile, when users add account and logged in a profile support CBA
- Aplikace Microsoftu první strany s nejnovějšími knihovnami MSAL nebo Microsoft Authenticator můžou provádět CBA
Prohlížeče
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Podpora mobilních aplikací Microsoftu
| Aplikace | Technická podpora |
|---|---|
| Aplikace Azure Information Protection | ✅ |
| Firemní portál | ✅ |
| Microsoft Teams | ✅ |
| Office (mobilní zařízení) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype pro firmy | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Podpora pro klienty protokol Exchange ActiveSync
V iOSu 9 nebo novějším se podporuje nativní poštovní klient pro iOS.
Pokud chcete zjistit, jestli vaše e-mailová aplikace podporuje Microsoft Entra CBA, obraťte se na vývojáře vaší aplikace.
Podpora certifikátů v klíči hardwarového zabezpečení
Certifikáty je možné zřídit v externích zařízeních, jako jsou klíče zabezpečení hardwaru, spolu s PIN kódem pro ochranu přístupu k privátnímu klíči. Řešení založené na mobilních certifikátech společnosti Microsoft, které je spojeno s klíči zabezpečení hardwaru, je jednoduchá, pohodlná metoda FIPS (Federal Information Processing Standards) s certifikací MFA odolná proti útokům phishing.
Pokud jde o iOS 16/iPadOS 16.1, zařízení Apple poskytují nativní podporu ovladačů pro čipové karty kompatibilní s USB-C nebo Bleskem kompatibilní s CCID. To znamená, že zařízení Apple v iOSu 16/iPadOS 16.1 vidí zařízení kompatibilní s CCID s USB-C nebo Bleskem jako čipovou kartu bez použití dalších ovladačů nebo aplikací třetích stran. Microsoft Entra CBA funguje na těchto čipových kartách kompatibilních s usb-A, USB-C nebo Bleskem připojených čipových karet kompatibilních s CCID.
Výhody certifikátů na klíči hardwarového zabezpečení
Klíče zabezpečení s certifikáty:
- Můžete ho použít na jakémkoli zařízení a nepotřebujete certifikát, který má uživatel ke zřízení na každém zařízení.
- Jsou zabezpečená hardwarem pomocí KÓDU PIN, díky čemuž jsou odolné proti útokům phishing.
- Poskytnutí vícefaktorového ověřování pomocí kódu PIN jako druhého faktoru pro přístup k privátnímu klíči certifikátu
- Splnění požadavků na vícefaktorové ověřování na samostatném zařízení
- Pomoc s budoucí kontrolu pravopisu, kde je možné uložit více přihlašovacích údajů, včetně klíčů FIDO2 (Fast Identity Online 2)
Microsoft Entra CBA na iOS mobile s YubiKey
I když je nativní ovladač Smartcard/CCID k dispozici na iOS/iPadOS pro čipové karty kompatibilní s CCID, konektor YubiKey 5Ci Lightning se na těchto zařízeních nezobrazuje jako připojený čipová karta bez použití middlewaru PIV (ověření osobní identity), jako je Yubico Authenticator.
Požadavky na jednorázovou registraci
- Mít na něm zřízený certifikát YUbiKey s povoleným certifikátem PIV
- Stáhněte si aplikaci Yubico Authenticator pro iOS na iPhonu s v14.2 nebo novějším
- Otevřete aplikaci, vložte YubiKey nebo klepněte přes bezkontaktní komunikaci (NFC) a podle pokynů nahrajte certifikát do klíčenky iOS.
Postup testování YubiKey v aplikacích Microsoftu na mobilních zařízeních s iOSem
- Nainstalujte nejnovější aplikaci Microsoft Authenticator.
- Otevřete Outlook a připojte svůj YubiKey.
- Vyberte Přidat účet a zadejte hlavní název uživatele (UPN).
- Vyberte Pokračovat a zobrazí se vybírač certifikátu pro iOS.
- Vyberte veřejný certifikát zkopírovaný z YubiKey, který je přidružený k účtu uživatele.
- Vyberte požadované YubiKey, aby se otevřela aplikace Authenticator YubiKey.
- Zadejte PIN kód pro přístup k YubiKey a vyberte tlačítko Zpět v levém horním rohu.
Uživatel by se měl úspěšně přihlásit a přesměrovat na domovskou stránku Outlooku.
Řešení potíží s certifikáty na klíči hardwarového zabezpečení
Co se stane, když má uživatel certifikáty jak na zařízení s iOSem, tak v YubiKey?
Výběr certifikátu pro iOS zobrazuje všechny certifikáty na zařízení s iOSem i certifikáty zkopírované z YubiKey do zařízení s iOSem. V závislosti na výběru certifikátu může uživatel přejít na ověřovací program YubiKey, aby zadal PIN kód nebo se přímo ověřil.
Můj YubiKey je uzamčen po nesprávném zadání PIN 3krát. Jak to můžu vyřešit?
- Uživatelům by se mělo zobrazit dialogové okno s informací, že bylo provedeno příliš mnoho pokusů o zadání KÓDU PIN. Toto dialogové okno se zobrazí také při dalších pokusech o výběr možnosti Použít certifikát nebo čipovou kartu.
- YubiKey Manager může resetovat PIN kód YubiKey.
Jakmile CBA selže, možnost CBA v odkazu Další způsoby přihlášení se také nezdaří. Existuje alternativní řešení?
K tomuto problému dochází kvůli ukládání certifikátů do mezipaměti. Pracujeme na aktualizaci, která vymaže mezipaměť. Jako alternativní řešení vyberte Zrušit, zkuste se přihlásit znovu a zvolte nový certifikát.
Microsoft Entra CBA s YubiKey selhává. Jaké informace by vám pomohly problém ladit?
- Otevřete aplikaci Microsoft Authenticator, vyberte ikonu se třemi tečkami v pravém horním rohu a vyberte Odeslat názor.
- Vybrat Máte potíže?.
- U možnosti Vybrat možnost vyberte Přidat nebo se přihlásit k účtu.
- Popište všechny podrobnosti, které chcete přidat.
- Vyberte šipku pro odeslání v pravém horním rohu. Poznamenejte si kód uvedený v dialogovém okně, který se zobrazí.
Jak můžu vynutit vícefaktorové ověřování odolné proti útokům phishing pomocí klíče hardwarového zabezpečení v aplikacích založených na prohlížeči na mobilních zařízeních?
Možnosti silného ověřování na základě certifikátů a ověřování podmíněného přístupu usnadňují zákazníkům vynucování potřeb ověřování. Edge jako profil (přidání účtu) funguje s klíčem hardwarového zabezpečení, jako je YubiKey a zásady podmíněného přístupu s možností síly ověřování, můžou vynutit ověřování odolné proti útokům phishing pomocí CBA.
Podpora jazyka CBA pro YubiKey je dostupná v nejnovějších knihovnách Knihovny MICROSOFT Authentication Library (MSAL) a všech aplikacích třetích stran, které integrují nejnovější knihovnu MSAL. Všechny aplikace Od microsoftu můžou používat sílu ověřování CBA a podmíněného přístupu.
Podporované operační systémy
| Operační systém | Certifikát na zařízení nebo odvozený PIV | Čipové karty / Klíče zabezpečení |
|---|---|---|
| iOS | ✅ | Pouze podporovaní dodavatelé |
Podporované prohlížeče
| Operační systém | Certifikát Chrome na zařízení | Čipová karta chrome / bezpečnostní klíč | Certifikát Safari na zařízení | Čipová karta Safari / bezpečnostní klíč | Hraniční certifikát na zařízení | Hraniční čipová karta / bezpečnostní klíč |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Zprostředkovatelé klíčů zabezpečení
| Poskytovatel | iOS |
|---|---|
| YubiKey | ✅ |
Známé problémy
- V iOSu se uživatelům s ověřováním založeným na certifikátu zobrazí "dvojitá výzva", kde musí vybrat možnost použít ověřování na základě certifikátu dvakrát.
- V iOSu se uživatelům s aplikací Microsoft Authenticator zobrazí také hodinové výzvy k přihlášení k ověření pomocí CBA, pokud existují zásady síly ověřování, které vynucují CBA, nebo pokud jako druhý faktor používají CBA.
- V iOSu skončí zásada síly ověřování vyžadující CBA a zásady ochrany aplikací MAM ve smyčce mezi registrací zařízení a spokojeností MFA. Kvůli chybě v iOSu, když uživatel používá jazyk CBA k splnění požadavku MFA, zásady MAM nejsou spokojeny s chybou vyvolanou serverem s informací, že se vyžaduje registrace zařízení, i když je zařízení zaregistrované. Tato nesprávná chyba způsobí opětovné registrace a požadavek se zasekne ve smyčce použití CBA k přihlášení a vyžaduje registraci zařízení.
Další kroky
- Přehled jazyka Microsoft Entra CBA
- Podrobné technické informace pro Microsoft Entra CBA
- Jak nakonfigurovat Jazyk CBA microsoftu Entra
- Microsoft Entra CBA na zařízeních s Androidem
- Přihlášení čipové karty systému Windows pomocí jazyka Microsoft Entra CBA
- ID uživatele certifikátu
- Migrace federovaných uživatelů
- Nejčastější dotazy