Partager via


Authentification basée sur les certificats Microsoft Entra sur iOS et macOS

Cette rubrique traite de la prise en charge de l’authentification basée sur un certificat (CBA) de Microsoft Entra pour les appareils macOS et iOS.

Authentification basée sur les certificats Microsoft Entra sur les appareils macOS

Les appareils exécutant macOS peuvent utiliser l’authentification basée sur un certificat pour s’authentifier auprès de Microsoft Entra ID à l’aide de leur certificat client X.509. L’authentification basée sur un certificat Microsoft Entra est prise en charge avec des certificats sur l’appareil et des clés de sécurité protégées par le matériel externe. Sur macOS, l’authentification basée sur un certificat Microsoft Entra est prise en charge sur tous les navigateurs et sur les applications internes Microsoft.

Navigateurs pris en charge sur macOS

Edge Chrome Safari Firefox

Connexion d’appareils macOS avec l’authentification basée sur les certificats Microsoft Entra

L’authentification basée sur un certificat Microsoft Entra actuelle n’est pas prise en charge pour la connexion basée sur l’appareil sur les machines macOS. Le certificat utilisé pour se connecter à l’appareil peut être le même que celui utilisé pour s’authentifier auprès de Microsoft Entra ID à partir d’un navigateur ou d’une application de bureau, mais la connexion de l’appareil elle-même n’est pas encore prise en charge sur Microsoft Entra ID. 

Authentification basée sur les certificats Microsoft Entra sur les appareils iOS

Les appareils qui exécutent iOS peuvent utiliser l’authentification basée sur un certificat (CBA) pour s’authentifier auprès de Microsoft Entra ID en utilisant un certificat client sur leur appareil lors de la connexion :

  • Des applications mobiles Office, telles que Microsoft Outlook et Microsoft Word ;
  • Des clients Exchange ActiveSync (EAS).

L’authentification basée sur les certificats Microsoft Entra est prise en charge pour les certificats sur le périphérique sur les navigateurs natifs et sur les applications Microsoft first-party sur les appareils iOS.

Prérequis

  • La version d'iOS doit être iOS 9 ou ultérieure.
  • Microsoft Authenticator est requis pour les applications Office et Outlook sur iOS.

Prise en charge des certificats sur appareil et du stockage externe

Les certificats sur l'appareil sont approvisionnés sur l'appareil. Les clients peuvent utiliser Mobile Gestion des appareils (GPM) pour approvisionner les certificats sur l’appareil. Dans la mesure où iOS ne prend pas en charge les clés protégées matérielles prêtes à l’emploi, les clients peuvent utiliser des périphériques de stockage externes pour les certificats.

Plateformes prises en charge

  • Seuls les navigateurs natifs sont pris en charge
  • Les applications utilisant les dernières bibliothèques MSAL ou Microsoft Authenticator peuvent effectuer l’authentification CBA
  • Edge avec profil, lorsque les utilisateurs ajoutent un compte et connecté à un profil prennent en charge l’administrateur de base de données
  • Les applications internes Microsoft avec les dernières bibliothèques MSAL ou Microsoft Authenticator peuvent effectuer l’authentification CBA

Browsers

Edge Chrome Safari Firefox

Prise en charge des applications mobiles Microsoft

Applications Support
Application Azure Information Protection
Portail d'entreprise
Microsoft Teams
Office (mobile)
OneNote
OneDrive
Outlook
Power BI
Skype Entreprise
Word / Excel / PowerPoint
Yammer

Prise en charge pour les clients Exchange ActiveSync

Dans iOS 9 ou version ultérieure, le client de messagerie iOS natif est pris en charge.

Pour déterminer si votre application de messagerie prend en charge l’authentification basée sur les certificats Microsoft Entra, contactez le développeur de votre application.

Prise en charge des certificats sur une clé de sécurité matérielle

Les certificats peuvent être provisionnés sur des dispositifs externes tels que des clés de sécurité matérielles avec un code PIN pour protéger l’accès à la clé privée. La solution mobile basée sur des certificats de Microsoft, associée aux clés de sécurité matérielles, est une méthode MFA simple, pratique et certifiée FIPS (Federal Information Processing Standards) qui résiste à l’hameçonnage.

Depuis iOS 16/iPadOS 16.1, les appareils Apple prennent en charge les pilotes natifs pour les cartes à puce compatibles CCID USB-C ou Lightning. Cela signifie que les appareils Apple sur iOS 16/iPadOS 16.1 voient un dispositif compatible CCID USB-C ou Lightning en tant que carte à puce sans avoir à utiliser des pilotes supplémentaires ou des applications tierces. L’authentification basée sur les certificats Microsoft Entra fonctionne sur ces cartes à puce compatibles CCID USB-A, USB-C ou Lightning.

Avantages des certificats sur une clé de sécurité matérielle

Clés de sécurité avec certificats :

  • Peuvent être utilisés sur n’importe quel appareil et n’ont pas besoin d’un certificat pour être provisionné sur chaque appareil de l’utilisateur
  • Sont sécurisés au niveau matériel avec un code PIN, ce qui les rend résistants au hameçonnage
  • Fournissent une authentification multifacteur avec un code PIN comme deuxième facteur pour accéder à la clé privée du certificat
  • Répondre aux exigences du secteur pour que l’authentification multifacteur soit activée sur un appareil distinct
  • Aident pour les vérifications futures où plusieurs informations d’identification peuvent être stockées, y compris les clés FIDO2 (Fast Identity Online 2)

Authentification basée sur les certificats Microsoft Entra sur iOS mobile avec YubiKey

Même si le pilote Smartcard/CCID natif est disponible sur iOS/iPadOS pour les cartes à puce compatibles CCID Lightning, le connecteur YubiKey 5Ci Lightning n’est pas vu comme une carte à puce connectée sur ces appareils sans avoir à utiliser le middleware PIV (Personal Identity Verification) comme Yubico Authenticator.

Prérequis pour une inscription unique

  • Avoir une YubiKey compatible PIV avec un certificat de carte à puce provisionné dessus
  • Télécharger l’application Yubico Authenticator for iOS sur votre iPhone avec la version 14.2 ou ultérieure
  • Ouvrir l’application, insérer la YubiKey ou appuyer sur NFC (Near Field Communication) et suivre les étapes pour charger le certificat dans le trousseau iOS

Étapes pour tester la YubiKey sur les applications Microsoft sur iOS mobile

  1. Installez la dernière application Microsoft Authenticator.
  2. Ouvrez Outlook et branchez votre YubiKey.
  3. Sélectionnez Ajouter un compte et entrez votre nom d’utilisateur principal (UPN).
  4. Cliquez sur Continuer pour que le sélecteur de certificats iOS apparaisse.
  5. Sélectionnez le certificat public copié à partir de la YubiKey associée au compte de l’utilisateur.
  6. Cliquez sur YubiKey requise pour ouvrir l’application de l’authentificateur YubiKey.
  7. Entrez le code PIN pour accéder à la YubiKey et sélectionnez le bouton Précédent en haut à gauche.

L’utilisateur doit être connecté et redirigé vers la page d’accueil Outlook.

Résoudre les problèmes de certificats sur une clé de sécurité matérielle

Que se passe-t-il si l’utilisateur a des certificats à la fois sur l’appareil iOS et sur la YubiKey ?

Le sélecteur de certificats iOS affiche tous les certificats qui sont sur l’appareil iOS et ceux qui ont été copiés de la YubiKey dans l’appareil iOS. Selon le certificat choisi par l’utilisateur, il peut être dirigé vers l’authentificateur YubiKey pour entrer le code PIN ou être authentifié directement.

Ma YubiKey est verrouillée après avoir mal saisi le code PIN 3 fois. Comment la corriger ?

  • Les utilisateurs devraient voir une boîte de dialogue les informant que trop de tentatives de saisie de code PIN ont été effectuées. Cette boîte de dialogue apparaît également lors de tentatives successives pour sélectionner Utiliser un certificat ou une carte à puce.
  • Le YubiKey Manager peut réinitialiser le code PIN d’une YubiKey.

Ce problème se produit en raison de la mise en cache des certificats. Nous travaillons sur une mise à jour pour effacer le cache. Pour contourner ce problème, cliquez sur Annuler, réessayez de vous connecter et choisissez un nouveau certificat.

L’authentification basée sur les certificats Microsoft Entra avec YubiKey échoue. Quelles informations aideraient à déboguer le problème ?

  1. Ouvrez l’application Microsoft Authenticator, cliquez sur l’icône des trois petits points en haut à droite, puis sélectionnez Envoyer des commentaires.
  2. Cliquez sur Vous rencontrez des problèmes ?.
  3. Pour Sélectionner une option, sélectionnez Ajouter ou se connecter à un compte.
  4. Décrivez tous les détails que vous souhaitez ajouter.
  5. Cliquez sur la flèche d’envoi en haut à droite. Notez le code fourni dans la boîte de dialogue qui s’affiche.

Comment appliquer une MFA résistante au hameçonnage à l’aide d’une clé de sécurité matérielle sur des applications basées sur un navigateur sur mobile ?

L’authentification par certificats et la fonctionnalité de force d’authentification de l’accès conditionnel offrent une solution puissante qui permet aux clients de mettre en application leurs besoins d’authentification. Edge en tant que profil (ajouter un compte) fonctionne avec une clé de sécurité matérielle comme la YubiKey et une stratégie d’accès conditionnel avec une fonctionnalité de force d’authentification peut mettre en application une authentification résistante au hameçonnage avec l’authentification CBA.

L’authentification par certificat pour YubiKey est disponible dans les dernières bibliothèques d’authentification Microsoft (MSAL) et sur toute application tierce qui intègre les dernières MSAL. Toutes les applications internes Microsoft peuvent utiliser l’authentification par certificat et l’authentification par accès conditionnel.

Systèmes d’exploitation pris en charge

Système d’exploitation Certificat sur l’appareil/PIV dérivé Cartes à puce/Clés de sécurité
iOS Fournisseurs pris en charge uniquement

Navigateurs pris en charge

Système d’exploitation Certificat Chrome sur un appareil Carte à puce/clé de sécurité Chrome Certificat Safari sur un appareil Carte à puce/clé de sécurité Safari Certificat Edge sur un appareil Carte à puce Edge/clé de sécurité
iOS

Fournisseurs de clés de sécurité

Fournisseur iOS
YubiKey

Problèmes connus

  • Sur iOS, les utilisateurs disposant d’une authentification basée sur un certificat voient une « double invite », où ils doivent cliquer sur l’option permettant d’utiliser l’authentification basée sur un certificat deux fois.
  • Sur iOS, les utilisateurs avec l’application Microsoft Authenticator voient également l’invite de connexion toutes les heures pour s’authentifier auprès de l’administrateur de base de données s’il existe une stratégie de force d’authentification appliquant l’authentification CBA ou s’ils utilisent l’adaptateur de base de données comme deuxième facteur.
  • Sur iOS, une stratégie de force d’authentification nécessitant l’ABC ainsi qu’une stratégie de protection des applications GAM se termine par une boucle entre l’inscription de l’appareil et la satisfaction de l’authentification multifacteur. En raison du bogue sur iOS, lorsqu’un utilisateur utilise l’ABC pour satisfaire aux exigences de l’authentification multifacteur, la stratégie GAM n’est pas satisfaite de l’erreur levée par le serveur indiquant que l’inscription de l’appareil est requise, alors que l’appareil est bel et bien inscrit. Cette erreur incorrecte provoque une réinscription et la demande est coincée dans une boucle entre la connexion avec l’ABC et l’exigence que l’appareil soit inscrit.

Étapes suivantes