Autenticazione basata su certificato di Microsoft Entra sui dispositivi Android
L'autenticazione basata sul certificato Microsoft Entra è supportata con i certificati di cui è stato effettuato il provisioning nel dispositivo e con chiavi di sicurezza esterne come YubiKeys.
Prerequisiti
- La versione di Android deve essere Android 5.0 (Lollipop) o versione successiva.
- Le applicazioni proprietarie di Microsoft con le librerie MSAL più recenti o Microsoft Authenticator possono eseguire l'autenticazione basata su certificati (CBA).
- Le applicazioni di terze parti che usano le librerie MSAL più recenti o integrate con Microsoft Authenticator possono eseguire CBA.
CBA con certificati sul dispositivo
I clienti possono usare la propria scelta di Gestione di dispositivi mobili (MDM) per effettuare il provisioning dei certificati nel dispositivo. Gli utenti finali devono prima registrare i propri dispositivi con MDM e ottenere il certificato configurato sul dispositivo. Dopo aver eseguito il provisioning del certificato nel dispositivo, gli utenti possono eseguire l'autenticazione tramite CBA.
Passaggi per testare YubiKey nelle app Microsoft in Android:
- Aprire Outlook.
- Selezionare Aggiungi account e immettere il nome principale utente (UPN).
- Fare clic su Continua.
- Selezionare Utilizza il certificato o la smart card.
- Seleziona il certificato sul dispositivo nella finestra di dialogo.
- Viene visualizzato il selettore di certificati.
- Selezionare il certificato associato all'account dell'utente. Fare clic su Continua.
- L'utente può accedere alla risorsa di Outlook se l'autenticazione ha esito positivo.
CBA con certificati sulla chiave di sicurezza hardware
È possibile effettuare il provisioning dei certificati in dispositivi esterni come le chiavi di sicurezza hardware insieme a un PIN per proteggere l'accesso alle chiavi private. Microsoft Entra ID supporta CBA con YubiKey.
Vantaggi dei certificati sulla chiave di sicurezza hardware
Chiavi di sicurezza con certificati:
- Avere la natura mobile di una chiave di sicurezza, che consente agli utenti di usare lo stesso certificato in dispositivi diversi.
- Sono protetti dall'hardware con un PIN, che li rende resistenti al phishing.
- Fornire l'autenticazione a più fattori con un PIN come secondo fattore per accedere alla chiave privata del certificato.
- Soddisfare i requisiti del settore per l'autenticazione a più fattori in un dispositivo separato.
- Assistenza nella predisposizione per il futuro dove è possibile memorizzare più credenziali, incluse le chiavi FIDO2 (Fast Identity Online 2).
Microsoft Entra CBA su dispositivi mobili con sistema Android con YubiKey
Android richiede un'applicazione middleware per poter supportare smart card o chiavi di sicurezza con certificati. Per supportare YubiKeys con Microsoft Entra CBA, YubiKey Android SDK è stato integrato nel codice del broker Microsoft che può essere sfruttato tramite la versione più recente di Microsoft Authentication Library (MSAL).
Poiché Microsoft Entra CBA con YubiKey su dispositivi mobili Android è abilitato usando la versione più recente di MSAL, l'app YubiKey Authenticator non è necessaria per supportare Android.
Passaggi per testare YubiKey nelle app Microsoft in Android:
- Installare Microsoft Authenticator.
- Se yubiKey ha USB-C, aprire Outlook e collegare YubiKey.
- Selezionare Aggiungi account e immettere il nome principale utente (UPN).
- Fare clic su Continuae, quando viene richiesta l'autorizzazione per accedere a YubiKey, fare clic su OK.
- Selezionare Usa certificato o smart card.
- Se usi una Yubikey abilitata per NFC, tieni la Yubikey sul retro del dispositivo.
- Viene visualizzata una selezione certificati personalizzata.
- Selezionare il certificato associato all'account dell'utente e fare clic su Continua.
- Immettere il PIN per accedere a YubiKey e selezionare Sblocca.
- Se usi yubikey con NFC, tieni di nuovo la Yubikey sul retro del telefono per convalidare il PIN.
- Al termine dell'autenticazione, è possibile accedere a Outlook.
Nota
Per un flusso CBA uniforme, collegare *YubiKey* non appena l'applicazione viene aperta e accettare la finestra di dialogo di consenso *di* YubiKey prima di selezionare il collegamento Utilizzare il certificato o la smart card. Se vuoi sperimentare solo una singola connessione, prendi in considerazione la possibilità di collegare gli utenti a YubiKey usando USB invece di NFC, che deve essere eseguita una sola volta all'inizio dell'accesso.
Supporto per i client Exchange ActiveSync
Alcune applicazioni Exchange ActiveSync in Android 5.0 (Lollipop) o versioni successive sono supportate. Per determinare se l'applicazione di posta elettronica supporta Microsoft Entra CBA, contattare lo sviluppatore dell'applicazione.
Casi d'uso supportati di Microsoft Entra
Supporto delle applicazioni per dispositivi mobili Microsoft
| Applicazioni | Appoggiare |
|---|---|
| Azure Information Protection app | ✅ |
| Portale aziendale | ✅ |
| Microsoft Teams | ✅ |
| Ufficio (mobile) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Prospettiva | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Il browser Edge con accesso al profilo | ✅ |
| Schermata iniziale gestita | ✅ |
Browser
| Sistema operativo | Certificato Chrome nel dispositivo | Smart card/chiave di sicurezza chrome | Certificato Safari nel dispositivo | Smart card/chiave di sicurezza di Safari | Certificato Edge nel dispositivo | Smart card Edge/chiave di sicurezza |
|---|---|---|---|---|---|---|
| Androide | ✅ | ❌ | N/D | Non disponibile | ✅ | ❌ |
Nota
Anche se Edge come browser non è supportato, Edge come profilo (per l'account di accesso) è un'app MSAL che supporta CBA in Android.
Sistemi operativi
| Sistema operativo | Certificato sul dispositivo/PIV derivato | Smart card/Chiavi di sicurezza |
|---|---|---|
| Androide | ✅ | Solo fornitori supportati |
Fornitori di chiavi di sicurezza
| Fornitore | Androide |
|---|---|
| YubiKey | ✅ |
Risolvere i problemi relativi ai certificati nella chiave di sicurezza hardware
Cosa succede se l'utente dispone di certificati sia nel dispositivo Android che in YubiKey?
- Se l'utente dispone di certificati sia nel dispositivo Android che in YubiKey, se YubiKey è collegato prima che l'utente faccia clic su Usa certificato o smart card, l'utente visualizzerà i certificati in YubiKey.
- Se YubiKey non è collegato prima che l'utente faccia clic su Usa certificato o smart card, all'utente verrà chiesto di selezionare tra i certificati nel dispositivo o una smart card fisica. Se l'utente sceglie certificato nel dispositivo, l'utente visualizzerà i certificati nel dispositivo. Se l'utente sceglie Certificati su smart card fisica, deve collegare o tenere premuto YubiKey sulla parte posteriore, e verranno mostrati i certificati nel YubiKey.
YubiKey è bloccato dopo la digitazione errata del PIN tre volte. Come è possibile correggerlo?
- Gli utenti dovrebbero visualizzare una finestra di dialogo che informa che sono stati eseguiti troppi tentativi di PIN. Questa finestra di dialogo viene visualizzata anche durante i tentativi successivi di selezionare Usa certificato o smart card.
- Gli utenti devono contattare l'amministratore per reimpostare un PIN YubiKey.
L'autenticatore Microsoft è stato installato, ma non è ancora disponibile un'opzione per eseguire l'autenticazione basata su certificati con YubiKey.
Prima di installare Microsoft Authenticator, disinstallare Il portale aziendale e installarlo dopo l'installazione di Microsoft Authenticator.
Microsoft Entra CBA supporta YubiKey tramite NFC?
Microsoft Entra CBA supporta l'uso di YubiKey con USB e NFC.
Quando il CBA ha esito negativo, fare di nuovo clic sull'opzione CBA nel collegamento "Altri modi per accedere" nella pagina di errore fallisce.
Questo problema si verifica a causa della memorizzazione nella cache dei certificati. Come soluzione alternativa, fare clic su Annulla e riavviare il flusso di accesso consentirà all'utente di scegliere un nuovo certificato e di accedere correttamente.
Microsoft Entra CBA con YubiKey non funziona. Quali informazioni consentono di eseguire il debug del problema?
- Aprire l'app Microsoft Authenticator, fare clic sull'icona a tre puntini nell'angolo in alto a destra e selezionare Invia commenti e suggerimenti.
- Fare clic su Hai dei problemi?.
- Per Seleziona un'opzione, seleziona Aggiungi o accedi a un account.
- Descrivere i dettagli da aggiungere.
- Fare clic sulla freccia di invio nell'angolo superiore destro. Prendere nota del codice fornito nella finestra di dialogo visualizzata.
Passaggi successivi
- Microsoft Entra CBA - Panoramica
- approfondimento tecnico per Microsoft Entra CBA
- Come configurare Microsoft Entra CBA
- CBA Di Microsoft Entra nei dispositivi iOS
- accesso a Smart Card di Windows con microsoft Entra CBA
- ID utente dei certificati
- Come eseguire la migrazione di utenti federati
- domande frequenti