Condividi tramite


Autenticazione basata su certificati Microsoft Entra in iOS e macOS

Questo argomento illustra il supporto dell'autenticazione basata su certificati (CBA) di Microsoft Entra per i dispositivi macOS e iOS.

Autenticazione basata su certificato Microsoft Entra nei dispositivi macOS

I dispositivi che eseguono macOS possono usare CBA per eseguire l'autenticazione con l'ID Microsoft Entra usando il certificato client X.509. Microsoft Entra CBA è supportato con certificati su dispositivo e chiavi di sicurezza esterne protette da hardware. In macOS, Microsoft Entra CBA è supportato in tutti i browser e nelle applicazioni microsoft proprietarie.

Browser supportati da macOS

Edge Chrome Safari Firefox

Autenticazione del dispositivo macOS con Microsoft Entra CBA

Microsoft Entra CBA non è attualmente supportato per l'accesso basato su dispositivo ai computer macOS. Il certificato usato per accedere al dispositivo può essere lo stesso certificato usato per eseguire l'autenticazione a Microsoft Entra ID da un browser o da un'applicazione desktop, ma l'accesso al dispositivo stesso non è ancora supportato per Microsoft Entra ID. 

Autenticazione basata su certificati Microsoft Entra nei dispositivi iOS

I dispositivi che eseguono iOS possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione all'ID Microsoft Entra usando un certificato client nel dispositivo durante la connessione a:

  • Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
  • Clienti di Exchange ActiveSync (EAS)

Microsoft Entra CBA è supportato per i certificati sul dispositivo nei browser nativi e nelle applicazioni di prima parte di Microsoft sui dispositivi iOS.

Prerequisiti

  • La versione di iOS deve essere iOS 9 o successiva.
  • Microsoft Authenticator è necessario per le applicazioni di Office e Outlook su iOS.

Supporto per i certificati sul dispositivo e l'archiviazione esterna

I certificati sono forniti sul dispositivo. I clienti possono utilizzare la gestione dei dispositivi mobili (MDM) per configurare i certificati sul dispositivo. Poiché iOS non supporta chiavi protette dall'hardware predefinite, i clienti possono usare dispositivi di archiviazione esterni per i certificati.

Piattaforme supportate

  • Sono supportati solo i browser nativi
  • Le applicazioni che usano le librerie MSAL più recenti o Microsoft Authenticator possono eseguire CBA
  • Edge con profilo, quando gli utenti aggiungono un account ed eseguono l'accesso a un profilo che supporta l'autenticazione basata su certificato (CBA)
  • Le app proprietarie Microsoft con le librerie MSAL più recenti o Microsoft Authenticator sono in grado di eseguire CBA.

Browser

Edge Chrome Safari Firefox

Supporto delle applicazioni per dispositivi mobili Microsoft

Applicazioni Supporto tecnico
App di protezione delle informazioni di Azure
Portale della società
Microsoft Teams
Office (per dispositivi mobili)
OneNote
OneDrive
Outlook
Power BI
Skype for Business
Word / Excel / PowerPoint
Yammer

Supporto per i client Exchange ActiveSync

In iOS 9 o versioni successive è supportato il client di posta iOS nativo.

Per determinare se l'applicazione di posta elettronica supporta Microsoft Entra CBA, contattare lo sviluppatore dell'applicazione.

Supporto per i certificati nella chiave di sicurezza hardware

È possibile effettuare il provisioning dei certificati in dispositivi esterni come le chiavi di sicurezza hardware insieme a un PIN per proteggere l'accesso alle chiavi private. La soluzione basata su certificati mobili di Microsoft abbinata alle chiavi di sicurezza hardware è un metodo MFA semplice, pratico e resistente al phishing certificato FIPS (Federal Information Processing Standards).

Per quanto riguarda iOS 16/iPadOS 16.1, i dispositivi Apple forniscono supporto nativo per i driver per smart card conformi connesse tramite USB-C o Lightning. Ciò significa che i dispositivi Apple in iOS 16/iPadOS 16.1 vedono un dispositivo conforme a USB-C o Lightning connesso CCID come smart card senza l'uso di driver aggiuntivi o app di terze parti. Microsoft Entra CBA funziona su queste smart card compatibili con USB-A, USB-C o Lightning connesse a CCID.

Vantaggi dei certificati sulla chiave di sicurezza hardware

Chiavi di sicurezza con certificati:

  • Può essere usato in qualsiasi dispositivo e non è necessario eseguire il provisioning di un certificato in ogni dispositivo di cui dispone l'utente
  • Sono protetti dall'hardware con un PIN, che li rende resistenti al phishing
  • Fornire l'autenticazione a più fattori con un PIN come secondo fattore per accedere alla chiave privata del certificato
  • Soddisfare i requisiti del settore per l'autenticazione a più fattori in un dispositivo separato
  • Assistenza per garantire la compatibilità futura in cui è possibile archiviare più credenziali, incluse le chiavi FIDO2 (Fast Identity Online 2)

Microsoft Entra CBA su dispositivi iOS mobili con YubiKey

Anche se il driver Smartcard/CCID nativo è disponibile in iOS/iPadOS per smart card conformi a Lightning CCID, il connettore YubiKey 5Ci Lightning non è considerato una smart card connessa su questi dispositivi senza l'uso di middleware PIV (Personal Identity Verification) come Yubico Authenticator.

Prerequisito di registrazione una tantum

  • Avere un YubiKey abilitato per PIV con un certificato smart card già installato su di esso.
  • Scaricare l'app Yubico Authenticator per iOS nell'iPhone con v14.2 o versione successiva
  • Aprire l'app, inserire YubiKey o toccare nfc (Near Field Communication) e seguire la procedura per caricare il certificato nel keychain iOS

Passaggi per testare YubiKey nelle app Microsoft per dispositivi mobili iOS

  1. Installare l'app Microsoft Authenticator più recente.
  2. Aprire Outlook e collegare YubiKey.
  3. Selezionare Aggiungi account e inserire il nome dell'entità utente (UPN).
  4. Selezionare Continua e il selettore di certificati iOS appare.
  5. Selezionare il certificato pubblico copiato da YubiKey associato all'account dell'utente.
  6. Selezionare YubiKey obbligatorio per aprire l'app di autenticazione YubiKey.
  7. Immettere il PIN per accedere a YubiKey e selezionare il pulsante Indietro nell'angolo superiore sinistro.

L'utente deve essere connesso con successo e reindirizzato alla home page di Outlook.

Risolvere i problemi relativi ai certificati nella chiave di sicurezza hardware

Cosa accade se l'utente dispone di certificati sia nel dispositivo iOS che in YubiKey?

La selezione certificati iOS mostra tutti i certificati nel dispositivo iOS e quelli copiati da YubiKey nel dispositivo iOS. A seconda delle scelte dell'utente del certificato, l'utente può essere portato all'autenticatore YubiKey per immettere un PIN o autenticato direttamente.

Il mio YubiKey è bloccato dopo aver digitato erroneamente il PIN 3 volte. Come si risolve il problema?

  • Gli utenti dovrebbero visualizzare una finestra di dialogo che informa che sono stati eseguiti troppi tentativi di PIN. Questa finestra di dialogo viene visualizzata anche durante i tentativi successivi di selezionare Usa certificato o smart card.
  • YubiKey Manager può reimpostare il PIN di YubiKey.

Questo problema si verifica a causa della memorizzazione nella cache dei certificati. Si sta lavorando a un aggiornamento per cancellare la cache. Come soluzione alternativa, selezionare Annulla, riprovare l'accesso e scegliere un nuovo certificato.

Microsoft Entra CBA con YubiKey non funziona. Quali informazioni consentono di eseguire il debug del problema?

  1. Aprire l'app Microsoft Authenticator, selezionare l'icona a tre puntini nell'angolo superiore destro e selezionare Invia commenti e suggerimenti.
  2. Selezionare Hai problemi?.
  3. Per Selezionare un'opzione selezionare Aggiungi o accedi a un account.
  4. Descrivere i dettagli da aggiungere.
  5. Selezionare la freccia di invio nell'angolo superiore destro. Prendere nota del codice fornito nella finestra di dialogo visualizzata.

Come è possibile applicare mfa resistenti al phishing usando una chiave di sicurezza hardware nelle applicazioni basate su browser su dispositivi mobili?

L'autenticazione basata su certificati e la funzionalità di forza dell'autenticazione con accesso condizionale rendono potente per i clienti applicare le esigenze di autenticazione. Edge come profilo (aggiunta di un account) funziona con una chiave di sicurezza hardware come YubiKey e una politica di accesso condizionale con capacità di autenticazione forte può applicare l'autenticazione resistente al phishing con CBA.

Il supporto CBA per YubiKey è disponibile nelle librerie di Microsoft Authentication Library (MSAL) più recenti e in qualsiasi applicazione di terze parti che integra la versione più recente di MSAL. Tutte le applicazioni proprietarie Microsoft possono usare l'autenticazione basata su certificato (CBA) e il livello di autenticazione per l'accesso condizionale.

Sistemi operativi supportati

Sistema operativo Certificato sul dispositivo/PIV derivato Smart card/Chiavi di sicurezza
iOS Solo fornitori supportati

Browser compatibili

Sistema operativo Certificato Chrome nel dispositivo Smart card/chiave di sicurezza chrome Certificato Safari nel dispositivo Smart card/chiave di sicurezza di Safari Certificato Edge nel dispositivo Scheda intelligente Edge/chiave di sicurezza
iOS

Fornitori di chiavi di sicurezza

Fornitore iOS
YubiKey

Problemi noti

  • In iOS, gli utenti con autenticazione basata su certificati visualizzeranno un "doppio prompt", in cui devono selezionare l'opzione per usare l'autenticazione basata su certificati due volte.
  • In iOS, gli utenti con l'app Microsoft Authenticator visualizzeranno anche una richiesta di accesso oraria per l'autenticazione con LBA se sono presenti criteri di livello di autenticazione che applicano LBA o se usano LBA come secondo fattore.
  • Su iOS, una policy di forza dell'autenticazione che richiede l'autenticazione CBA e una policy di protezione delle app MAM finirà in un ciclo tra la registrazione del dispositivo e la conformità MFA. A causa del bug in iOS, quando un utente usa CBA per soddisfare i requisiti MFA, il criterio MAM non è soddisfatto dell'errore generato dal server che indica che è necessaria la registrazione del dispositivo, anche se il dispositivo è registrato. Questo errore non corretto causa la nuova registrazione e la richiesta è bloccata nel ciclo di utilizzo di CBA per accedere e il dispositivo richiede la registrazione. A causa dei problemi sopra menzionati, CBA come secondo fattore è bloccato su iOS e verrà sbloccato non appena le correzioni saranno effettuate.

Passaggi successivi