Delen via


Verificatie op basis van Microsoft Entra-certificaten op iOS en macOS

In dit onderwerp wordt ondersteuning voor microsoft Entra-verificatie op basis van certificaten (CBA) voor macOS- en iOS-apparaten behandeld.

Verificatie op basis van Microsoft Entra-certificaten op macOS-apparaten

Apparaten met macOS kunnen CBA gebruiken om te verifiëren bij Microsoft Entra ID met behulp van hun X.509-clientcertificaat. Microsoft Entra CBA wordt ondersteund met certificaten op het apparaat en externe beveiligingssleutels die met hardware zijn beveiligd. In macOS wordt Microsoft Entra CBA ondersteund in alle browsers en op microsoft-toepassingen van de eerste partij.

Browsers die worden ondersteund in macOS

Edge Chrome Safari Firefox

Aanmelden op macOS-apparaten met Microsoft Entra CBA

Microsoft Entra CBA wordt momenteel niet ondersteund voor apparaatgebaseerde aanmelding op macOS-machines. Het certificaat dat wordt gebruikt om u aan te melden bij het apparaat, kan hetzelfde certificaat zijn dat wordt gebruikt voor verificatie bij Microsoft Entra ID vanuit een browser of desktoptoepassing, maar het apparaataanmelding zelf wordt nog niet ondersteund voor Microsoft Entra ID. 

Verificatie op basis van Microsoft Entra-certificaten op iOS-apparaten

Apparaten met iOS kunnen verificatie op basis van certificaten (CBA) gebruiken om te verifiëren bij Microsoft Entra-id met behulp van een clientcertificaat op hun apparaat wanneer u verbinding maakt met:

  • Mobiele Office-toepassingen zoals Microsoft Outlook en Microsoft Word
  • Exchange ActiveSync clients (EAS)

Microsoft Entra CBA wordt ondersteund voor certificaten op het apparaat in systeemeigen browsers en op microsoft eigen toepassingen op iOS-apparaten.

Benodigdheden

  • iOS-versie moet iOS 9 of hoger zijn.
  • Microsoft Authenticator is vereist voor Office-app licaties en Outlook op iOS.

Ondersteuning voor certificaten op apparaten en externe opslag

Certificaten worden op het apparaat ingericht. Klanten kunnen Mobile Apparaatbeheer (MDM) gebruiken om de certificaten op het apparaat in te richten. Omdat iOS geen standaard hardwarebeveiligingssleutels ondersteunt, kunnen klanten externe opslagapparaten gebruiken voor certificaten.

Ondersteunde platforms

  • Alleen systeemeigen browsers worden ondersteund
  • Toepassingen die gebruikmaken van de nieuwste MSAL-bibliotheken of Microsoft Authenticator kunnen CBA uitvoeren
  • Edge met een profiel, wanneer gebruikers een account toevoegen en inloggen bij een profiel, ondersteunt CBA
  • Microsoft first party-apps met de nieuwste MSAL-bibliotheken of Microsoft Authenticator kunnen CBA uitvoeren

Browsers

Edge Chrome Safari Firefox

Ondersteuning voor mobiele Microsoft-toepassingen

Toepassingen Ondersteuning
Azure Information Protection-app
Bedrijfsportal
Microsoft Teams
Office (mobiel)
OneNote
OneDrive
Outlook
Power BI
Skype voor Bedrijven
Word/Excel/PowerPoint
Yammer

Ondersteuning voor Exchange ActiveSync-clients

In iOS 9 of hoger wordt de systeemeigen iOS-mailclient ondersteund.

Neem contact op met de ontwikkelaar van uw toepassing om te bepalen of uw e-mailtoepassing Ondersteuning biedt voor Microsoft Entra CBA.

Ondersteuning voor certificaten op hardwarebeveiligingssleutel

Certificaten kunnen worden ingericht op externe apparaten, zoals hardwarebeveiligingssleutels, samen met een pincode om toegang tot persoonlijke sleutels te beveiligen. De oplossing op basis van mobiele certificaten van Microsoft in combinatie met de hardwarebeveiligingssleutels is een eenvoudige, handige FIPS-methode (Federal Information Processing Standards) die is gecertificeerd tegen phishing.

Net als voor iOS 16/iPadOS 16.1 bieden Apple-apparaten systeemeigen stuurprogrammaondersteuning voor smartcards die compatibel zijn met USB-C of Lightning. Dit betekent dat Apple-apparaten op iOS 16/iPadOS 16.1 een met USB-C of Lightning verbonden CCID-compatibel apparaat als smartcard zien zonder het gebruik van extra stuurprogramma's of apps van derden. Microsoft Entra CBA werkt op deze USB-A-, USB-C- of Lightning-compatibele smartcards die compatibel zijn met CCID.

Voordelen van certificaten op hardwarebeveiligingssleutel

Beveiligingssleutels met certificaten:

  • Kan op elk apparaat worden gebruikt en er is geen certificaat nodig dat op elk apparaat van de gebruiker moet worden ingericht.
  • Zijn met hardware beveiligd met een pincode, waardoor ze phishingbestendig zijn
  • Meervoudige verificatie met een pincode als tweede factor bieden voor toegang tot de persoonlijke sleutel van het certificaat
  • Voldoen aan de industrievereiste om MFA op een afzonderlijk apparaat te hebben
  • Hulp bij het toekomstbestendig maken, waarbij meerdere referenties kunnen worden opgeslagen, inclusief Fast Identity Online 2 (FIDO2) sleutels.

Microsoft Entra CBA op iOS mobile met YubiKey

Hoewel het native Smartcard-/CCID-stuurprogramma beschikbaar is op iOS/iPadOS voor met Lightning verbonden, CCID-compatibele smartcards, wordt de YubiKey 5Ci Lightning-connector niet gezien als een verbonden smartcard op deze apparaten zonder gebruik van middleware voor persoonlijke identiteitsverificatie (PIV), zoals de Yubico Authenticator.

Vereisten voor eenmalige registratie

  • Een YubiKey met PIV-functionaliteit hebben met een smartcardcertificaat dat erop is ingericht
  • Download de Yubico Authenticator voor iOS-app op uw iPhone met v14.2 of hoger
  • Open de app, voeg de YubiKey in of tik op NEAR Field Communication (NFC) en volg de stappen om het certificaat te uploaden naar de iOS-sleutelhanger

Stappen voor het testen van YubiKey in Microsoft-apps op iOS Mobile

  1. Installeer de nieuwste Microsoft Authenticator-app.
  2. Open Outlook en sluit uw YubiKey aan.
  3. Selecteer Account toevoegen en voer uw UPN (User Principal Name) in.
  4. Selecteer Doorgaan en de iOS-certificaatkiezer wordt weergegeven.
  5. Selecteer het openbare certificaat dat is gekopieerd uit YubiKey die is gekoppeld aan het account van de gebruiker.
  6. Selecteer YubiKey vereist om de YubiKey authenticator-app te openen.
  7. Voer de pincode in om toegang te krijgen tot YubiKey en selecteer de knop Vorige in de linkerbovenhoek.

De gebruiker moet succesvol zijn ingelogd en naar de startpagina van Outlook worden omgeleid.

Problemen met certificaten op hardwarebeveiligingssleutel oplossen

Wat gebeurt er als de gebruiker certificaten heeft op zowel het iOS-apparaat als YubiKey?

De iOS-certificaatkiezer toont alle certificaten op zowel het iOS-apparaat als de certificaten die zijn gekopieerd van YubiKey naar een iOS-apparaat. Afhankelijk van de gekozen certificaatgebruiker, kunnen ze naar YubiKey-verificator worden gebracht om een pincode in te voeren of rechtstreeks geverifieerd.

Mijn YubiKey is vergrendeld na het onjuist typen van pincode 3 keer. Hoe los ik dit op?

  • Gebruikers moeten een dialoogvenster zien met de mededeling dat er te veel pincodepogingen zijn uitgevoerd. Dit dialoogvenster wordt ook weergegeven tijdens volgende pogingen om Certificaat of smartcard gebruiken te selecteren.
  • YubiKey Manager kan de pincode van een YubiKey opnieuw instellen.

Dit probleem treedt op vanwege het opslaan van certificaten in cache. We werken aan een update om de cache te wissen. Als tijdelijke oplossing selecteert u Annuleren, probeert u zich opnieuw aan te melden en kiest u een nieuw certificaat.

Microsoft Entra CBA met YubiKey werkt niet. Welke informatie kan helpen bij het opsporen van het probleem?

  1. Open de Microsoft Authenticator-app, selecteer het pictogram met drie puntjes in de rechterbovenhoek en selecteer Feedback verzenden.
  2. Selecteer Problemen ondervonden?.
  3. Als u een optie selecteert, selecteert u Toevoegen of aanmelden bij een account.
  4. Beschrijf de details die u wilt toevoegen.
  5. Selecteer de verzendpijl in de rechterbovenhoek. Noteer de code in het dialoogvenster dat wordt weergegeven.

Hoe kan ik phishingbestendige MFA afdwingen met behulp van een hardwarebeveiligingssleutel op browsertoepassingen op mobiele apparaten?

Verificatie op basis van certificaten en de sterkte van voorwaardelijke toegang maakt het krachtig voor klanten om verificatiebehoeften af te dwingen. Edge als profiel (een account toevoegen) werkt met een hardware beveiligingssleutel zoals YubiKey, en een beleid voor voorwaardelijke toegang met mogelijkheden voor versterkte verificatie kan phishingbestendige verificatie afdwingen met behulp van CBA.

CBA-ondersteuning voor YubiKey is beschikbaar in de nieuwste MSAL-bibliotheken (Microsoft Authentication Library) en elke toepassing van derden die de nieuwste MSAL integreert. Alle eigen Microsoft-toepassingen kunnen CBA- en voorwaardelijke toegangsverificatiesterkte gebruiken.

Ondersteunde besturingssystemen

Besturingssysteem Certificaat op apparaat/afgeleide PIV Smartcards/beveiligingssleutels
iOS Alleen ondersteunde leveranciers

Ondersteunde browsers

Besturingssysteem Chrome-certificaat op apparaat Chrome smartcard/beveiligingssleutel Safari-certificaat op apparaat Safari-smartcard/beveiligingssleutel Edge-certificaat op apparaat Edge smartcard/beveiligingssleutel
iOS

Providers van beveiligingssleutels

Aanbieder iOS
YubiKey

Bekende problemen

  • In iOS zien gebruikers met verificatie op basis van certificaten een 'dubbele prompt', waar ze de optie moeten selecteren om verificatie op basis van certificaten twee keer te gebruiken.
  • Op iOS krijgen gebruikers met de Microsoft Authenticator-app ook een uurlijkse inlogprompt om CBA te verifiëren, als er een verificatiesterktebeleid is dat CBA afdwingt of als zij CBA als tweede factor gebruiken.
  • In iOS zorgt een verificatiesterktebeleid dat zowel CBA als een MAM-app-beveiligingsbeleid vereist, voor een oneindige lus tussen apparaatregistratie en MFA-verificatie. Vanwege de bug in iOS, als een gebruiker CBA gebruikt om aan de MFA-vereiste te voldoen, wordt niet aan het MAM-beleid voldaan. Er wordt een foutmelding door de server gegenereerd waarin staat dat apparaatregistratie vereist is, ook al is het apparaat al geregistreerd. Deze onjuiste fout leidt tot herregistratie en de aanvraag blijft steken in een lus waarbij CBA wordt gebruikt om in te loggen en het apparaat opnieuw geregistreerd moet worden. Vanwege de bovenstaande problemen wordt CBA als tweede factor geblokkeerd op iOS en wordt de blokkering opgeheven zodra de fixes zijn opgelost.

Volgende stappen