Autenticazione basata su certificati Microsoft Entra in iOS e macOS
Questo argomento illustra il supporto dell'autenticazione basata su certificati (CBA) di Microsoft Entra per i dispositivi macOS e iOS.
Autenticazione basata su certificato Microsoft Entra nei dispositivi macOS
I dispositivi che eseguono macOS possono usare CBA per eseguire l'autenticazione con l'ID Microsoft Entra usando il certificato client X.509. Microsoft Entra CBA è supportato con certificati su dispositivo e chiavi di sicurezza esterne protette da hardware. In macOS, Microsoft Entra CBA è supportato in tutti i browser e nelle applicazioni microsoft proprietarie.
Browser supportati in macOS
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Accesso del dispositivo macOS con Microsoft Entra CBA
Microsoft Entra CBA non è attualmente supportato per l'accesso basato su dispositivo ai computer macOS. Il certificato usato per accedere al dispositivo può essere lo stesso certificato usato per eseguire l'autenticazione a Microsoft Entra ID da un browser o da un'applicazione desktop, ma l'accesso al dispositivo stesso non è ancora supportato per Microsoft Entra ID.
Autenticazione basata su certificati Microsoft Entra nei dispositivi iOS
I dispositivi che eseguono iOS possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione all'ID Microsoft Entra usando un certificato client nel dispositivo durante la connessione a:
- Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
- Client Exchange ActiveSync (EAS)
Microsoft Entra CBA è supportato per i certificati sul dispositivo nei browser nativi e nelle applicazioni microsoft proprietarie nei dispositivi iOS.
Prerequisiti
- La versione di iOS deve essere iOS 9 o successiva.
- Microsoft Authenticator è necessario per le app Office licazioni e Outlook in iOS.
Supporto per i certificati sul dispositivo e l'archiviazione esterna
Il provisioning dei certificati sul dispositivo viene effettuato nel dispositivo. I clienti possono usare Mobile Gestione dispositivi (MDM) per effettuare il provisioning dei certificati nel dispositivo. Poiché iOS non supporta chiavi protette dall'hardware predefinite, i clienti possono usare dispositivi di archiviazione esterni per i certificati.
Piattaforme supportate
- Sono supportati solo i browser nativi
- Le applicazioni che usano le librerie MSAL più recenti o Microsoft Authenticator possono eseguire CBA
- Edge con profilo, quando gli utenti aggiungono un account e hanno eseguito l'accesso a un'autorità di certificazione del supporto profili
- Le app proprietarie Microsoft con le librerie MSAL più recenti o Microsoft Authenticator possono eseguire CBA
Browser
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Supporto delle applicazioni per dispositivi mobili Microsoft
| Applicazioni | Supporto tecnico |
|---|---|
| App Azure Information Protection | ✅ |
| Portale della società | ✅ |
| Microsoft Teams | ✅ |
| Office (mobile) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Supporto per i client Exchange ActiveSync
In iOS 9 o versioni successive è supportato il client di posta iOS nativo.
Per determinare se l'applicazione di posta elettronica supporta Microsoft Entra CBA, contattare lo sviluppatore dell'applicazione.
Supporto per i certificati nella chiave di sicurezza hardware
È possibile effettuare il provisioning dei certificati in dispositivi esterni come le chiavi di sicurezza hardware insieme a un PIN per proteggere l'accesso alle chiavi private. La soluzione basata su certificati mobili microsoft abbinata alle chiavi di sicurezza hardware è un metodo MFA semplice, pratico e pratico(Federal Information Processing Standards).
Per quanto riguarda iOS 16/iPadOS 16.1, i dispositivi Apple forniscono supporto per driver nativi per smart card conformi a USB-C o Lightning. Ciò significa che i dispositivi Apple in iOS 16/iPadOS 16.1 vedono un dispositivo conforme a USB-C o Lightning connesso CCID come smart card senza l'uso di driver aggiuntivi o app di terze parti. Microsoft Entra CBA funziona su queste smart card compatibili con USB-A, USB-C o Lightning connesse a CCID.
Vantaggi dei certificati sulla chiave di sicurezza hardware
Chiavi di sicurezza con certificati:
- Può essere usato in qualsiasi dispositivo e non è necessario eseguire il provisioning di un certificato in ogni dispositivo di cui dispone l'utente
- Sono protetti dall'hardware con un PIN, che li rende resistenti al phishing
- Fornire l'autenticazione a più fattori con un PIN come secondo fattore per accedere alla chiave privata del certificato
- Soddisfare i requisiti del settore per l'autenticazione a più fattori in un dispositivo separato
- Assistenza per la correzione futura in cui è possibile archiviare più credenziali, incluse le chiavi FIDO2 (Fast Identity Online 2)
Microsoft Entra CBA su dispositivi mobili iOS con YubiKey
Anche se il driver Smartcard/CCID nativo è disponibile in iOS/iPadOS per smart card conformi a Lightning CCID, il connettore YubiKey 5Ci Lightning non è considerato una smart card connessa su questi dispositivi senza l'uso di middleware PIV (Personal Identity Verification) come Yubico Authenticator.
Prerequisito di registrazione una tantum
- Avere un YubiKey abilitato per PIV con un certificato smart card di cui è stato effettuato il provisioning
- Scaricare l'app Yubico Authenticator per iOS nell'iPhone con v14.2 o versione successiva
- Aprire l'app, inserire YubiKey o toccare nfc (Near Field Communication) e seguire la procedura per caricare il certificato nel keychain iOS
Passaggi per testare YubiKey nelle app Microsoft per dispositivi mobili iOS
- Installare l'app Microsoft Authenticator più recente.
- Aprire Outlook e collegare YubiKey.
- Selezionare Aggiungi account e immettere il nome dell'entità utente (UPN).
- Selezionare Continua e il selettore di certificati iOS appare.
- Selezionare il certificato pubblico copiato da YubiKey associato all'account dell'utente.
- Selezionare YubiKey obbligatorio per aprire l'app di autenticazione YubiKey.
- Immettere il PIN per accedere a YubiKey e selezionare il pulsante Indietro nell'angolo superiore sinistro.
L'utente deve essere connesso e reindirizzato alla home page di Outlook.
Risolvere i problemi relativi ai certificati nella chiave di sicurezza hardware
Cosa accade se l'utente dispone di certificati sia nel dispositivo iOS che in YubiKey?
La selezione certificati iOS mostra tutti i certificati nel dispositivo iOS e quelli copiati da YubiKey nel dispositivo iOS. A seconda delle scelte dell'utente del certificato, l'utente può essere portato all'autenticatore YubiKey per immettere un PIN o autenticato direttamente.
YubiKey è bloccato dopo aver digitato correttamente il PIN 3 volte. Come si risolve il problema?
- Gli utenti dovrebbero visualizzare una finestra di dialogo che informa che sono stati eseguiti troppi tentativi di PIN. Questa finestra di dialogo viene visualizzata anche durante i tentativi successivi di selezionare Usa certificato o smart card.
- YubiKey Manager può reimpostare il PIN di YubiKey.
Dopo che L'autorità di certificazione ha esito negativo, anche l'opzione CBA nel collegamento "Altri modi per accedere" ha esito negativo. Esiste una soluzione alternativa?
Questo problema si verifica a causa della memorizzazione nella cache dei certificati. Si sta lavorando a un aggiornamento per cancellare la cache. Come soluzione alternativa, selezionare Annulla, riprovare l'accesso e scegliere un nuovo certificato.
Microsoft Entra CBA con YubiKey ha esito negativo. Quali informazioni consentono di eseguire il debug del problema?
- Aprire l'app Microsoft Authenticator, selezionare l'icona a tre puntini nell'angolo superiore destro e selezionare Invia commenti e suggerimenti.
- Selezionare Hai problemi?.
- Per Selezionare un'opzione selezionare Aggiungi o accedi a un account.
- Descrivere i dettagli da aggiungere.
- Selezionare la freccia di invio nell'angolo superiore destro. Prendere nota del codice fornito nella finestra di dialogo visualizzata.
Come è possibile applicare mfa resistenti al phishing usando una chiave di sicurezza hardware nelle applicazioni basate su browser su dispositivi mobili?
L'autenticazione basata su certificati e la funzionalità di attendibilità dell'autenticazione dell'accesso condizionale rendono più efficace per i clienti applicare le esigenze di autenticazione. Edge come profilo (aggiunta di un account) funziona con una chiave di sicurezza hardware come YubiKey e un criterio di accesso condizionale con funzionalità di attendibilità dell'autenticazione può applicare l'autenticazione resistente al phishing con LBA.
Il supporto CBA per YubiKey è disponibile nelle librerie di Microsoft Authentication Library (MSAL) più recenti e in qualsiasi applicazione di terze parti che integra la versione più recente di MSAL. Tutte le applicazioni proprietarie Microsoft possono usare LBA e il livello di autenticazione dell'accesso condizionale.
Sistemi operativi supportati
| Sistema operativo | Certificato sul dispositivo/PIV derivato | Smart card/Chiavi di sicurezza |
|---|---|---|
| iOS | ✅ | Solo fornitori supportati |
Browser supportati
| Sistema operativo | Certificato Chrome nel dispositivo | Smart card/chiave di sicurezza chrome | Certificato Safari nel dispositivo | Smart card/chiave di sicurezza di Safari | Certificato Edge nel dispositivo | Smart card edge/chiave di sicurezza |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Provider di chiavi di sicurezza
| Provider | iOS |
|---|---|
| YubiKey | ✅ |
Problemi noti
- In iOS, gli utenti con autenticazione basata su certificati visualizzeranno un "doppio prompt", in cui devono selezionare l'opzione per usare l'autenticazione basata su certificati due volte.
- In iOS, gli utenti con l'app Microsoft Authenticator visualizzeranno anche una richiesta di accesso oraria per l'autenticazione con LBA se sono presenti criteri di livello di autenticazione che applicano LBA o se usano LBA come secondo fattore.
- In iOS, un criterio di attendibilità dell'autenticazione che richiede L'autenticazione CBA e un criterio di protezione delle app MAM finisce in un ciclo tra la registrazione del dispositivo e la soddisfazione MFA. A causa del bug in iOS, quando un utente usa CBA per soddisfare i requisiti MFA, il criterio MAM non è soddisfatto dell'errore generato dal server che indica che è necessaria la registrazione del dispositivo, anche se il dispositivo è registrato. Questo errore non corretto causa la ripetizione della registrazione e la richiesta è bloccata nel ciclo di utilizzo di CBA per accedere e il dispositivo richiede la registrazione.
Passaggi successivi
- Panoramica di Microsoft Entra CBA
- Approfondimento tecnico su Microsoft Entra CBA
- Come configurare Microsoft Entra CBA
- Microsoft Entra CBA nei dispositivi Android
- Accesso tramite smart card di Windows con Microsoft Entra CBA
- ID utente certificato
- Come eseguire la migrazione di utenti federati
- Domande frequenti