Udostępnij za pośrednictwem


Uwierzytelnianie oparte na certyfikatach firmy Microsoft w systemach iOS i macOS

W tym temacie opisano obsługę uwierzytelniania opartego na certyfikatach firmy Microsoft (CBA) dla urządzeń z systemem macOS i iOS.

Uwierzytelnianie oparte na certyfikatach firmy Microsoft na urządzeniach z systemem macOS

Urządzenia z systemem macOS mogą używać cba do uwierzytelniania względem identyfikatora Entra firmy Microsoft przy użyciu certyfikatu klienta X.509. Program Microsoft Entra CBA jest obsługiwany z certyfikatami na urządzeniu i zewnętrznymi chronionymi kluczami zabezpieczeń sprzętu. W systemie macOS firma Microsoft Entra CBA jest obsługiwana we wszystkich przeglądarkach i aplikacjach firmy Microsoft.

Przeglądarki obsługiwane w systemie macOS

Edge Chrome Safari Firefox

Logowanie urządzenia z systemem macOS w usłudze Microsoft Entra CBA

Firma Microsoft Entra CBA nie jest obecnie obsługiwana w przypadku logowania opartego na urządzeniach do maszyn z systemem macOS. Certyfikat używany do logowania się na urządzeniu może być tym samym certyfikatem używanym do uwierzytelniania w identyfikatorze Entra firmy Microsoft z poziomu przeglądarki lub aplikacji klasycznej, ale sam logowanie urządzenia nie jest jeszcze obsługiwane względem identyfikatora Microsoft Entra ID. 

Uwierzytelnianie oparte na certyfikatach firmy Microsoft na urządzeniach z systemem iOS

Urządzenia z systemem iOS mogą używać uwierzytelniania opartego na certyfikatach (CBA) do uwierzytelniania w usłudze Microsoft Entra ID przy użyciu certyfikatu klienta na urządzeniu podczas nawiązywania połączenia z:

  • Aplikacje mobilne pakietu Office, takie jak Microsoft Outlook i Microsoft Word
  • Klienci programu Exchange ActiveSync (EAS)

Program Microsoft Entra CBA jest obsługiwany w przypadku certyfikatów na urządzeniu w natywnych przeglądarkach i aplikacjach firmy Microsoft na urządzeniach z systemem iOS.

Wymagania wstępne

  • Wersja systemu iOS musi być systemem iOS 9 lub nowszym.
  • Aplikacja Microsoft Authenticator jest wymagana w przypadku aplikacja pakietu Office licacji i programu Outlook w systemie iOS.

Obsługa certyfikatów urządzeń i magazynu zewnętrznego

Certyfikaty na urządzeniu są aprowizowane na urządzeniu. Klienci mogą używać usługi Mobile Zarządzanie urządzeniami (MDM) do aprowizowania certyfikatów na urządzeniu. Ponieważ system iOS nie obsługuje obecnie kluczy chronionych sprzętem, klienci mogą używać zewnętrznych urządzeń magazynujących na potrzeby certyfikatów.

Obsługiwane platformy

  • Obsługiwane są tylko przeglądarki natywne
  • Aplikacje korzystające z najnowszych bibliotek BIBLIOTEK MSAL lub Microsoft Authenticator mogą wykonywać cba
  • Przeglądarka Edge z profilem, gdy użytkownicy dodają konto i zalogowali się w profilu, obsługują cba
  • Aplikacje firmy Microsoft z najnowszymi bibliotekami MSAL lub Microsoft Authenticator mogą wykonywać cba

Przeglądarkach

Edge Chrome Safari Firefox

Obsługa aplikacji mobilnych firmy Microsoft

Aplikacje Pomoc techniczna
Aplikacja usługi Azure Information Protection
Portal firmy
Microsoft Teams
Office (dla urządzeń przenośnych)
OneNote
OneDrive
Outlook
Power BI
Skype dla firm
Word/Excel/PowerPoint
Yammer

Obsługa klientów programu Exchange ActiveSync

W systemie iOS 9 lub nowszym natywny klient poczty systemu iOS jest obsługiwany.

Aby ustalić, czy aplikacja poczty e-mail obsługuje usługę Microsoft Entra CBA, skontaktuj się z deweloperem aplikacji.

Obsługa certyfikatów na sprzęcie klucza zabezpieczeń

Certyfikaty można aprowizować na urządzeniach zewnętrznych, takich jak sprzętowe klucze zabezpieczeń wraz z numerem PIN w celu ochrony dostępu do klucza prywatnego. Rozwiązanie oparte na certyfikatach mobilnych firmy Microsoft w połączeniu ze sprzętowymi kluczami zabezpieczeń to prosta, wygodna, certyfikowana metoda MFA odporna na wyłudzanie informacji (FIPS, Federal Information Processing Standards).

Jeśli chodzi o system iOS 16/iPadOS 16.1, urządzenia firmy Apple zapewniają natywną obsługę sterowników dla kart inteligentnych zgodnych ze standardem USB-C lub Lightning. Oznacza to, że urządzenia firmy Apple w systemie iOS 16/iPadOS 16.1 widzą urządzenie zgodne ze standardem CCID usb lub Lightning jako kartę inteligentną bez używania dodatkowych sterowników lub aplikacji innych firm. Firma Microsoft Entra CBA działa na tych kartach inteligentnych zgodnych ze standardem USB-A, USB-C lub Lightning.

Zalety certyfikatów dotyczących sprzętowego klucza zabezpieczeń

Klucze zabezpieczeń z certyfikatami:

  • Można używać na dowolnym urządzeniu i nie trzeba aprowizować certyfikatu na każdym urządzeniu, które ma użytkownik
  • Są zabezpieczone sprzętowo przy użyciu numeru PIN, co sprawia, że są odporne na wyłudzanie informacji
  • Podawanie uwierzytelniania wieloskładnikowego przy użyciu numeru PIN jako drugiego czynnika w celu uzyskania dostępu do klucza prywatnego certyfikatu
  • Spełnianie wymagań branżowych dotyczących uwierzytelniania wieloskładnikowego na oddzielnym urządzeniu
  • Pomoc w przyszłości w sprawdzaniu, gdzie można przechowywać wiele poświadczeń, w tym klucze Fast Identity Online 2 (FIDO2)

Microsoft Entra CBA na urządzeniach przenośnych z systemem iOS za pomocą yubiKey

Mimo że natywny sterownik Smartcard/CCID jest dostępny w systemie iOS/iPadOS dla zgodnych ze standardem LIGHTNING kart inteligentnych, łącznik YubiKey 5Ci Lightning nie jest postrzegany jako połączona karta inteligentna na tych urządzeniach bez korzystania z oprogramowania pośredniczącego PIV (Personal Identity Verification), takiego jak Yubico Authenticator.

Wymagania wstępne dotyczące rejestracji jednorazowej

  • Posiadanie włączonej usługi PIV YubiKey z aprowizowanym certyfikatem karty inteligentnej
  • Pobierz aplikację Yubico Authenticator dla systemu iOS na telefonie iPhone w wersji 14.2 lub nowszej
  • Otwórz aplikację, wstaw klucz YubiKey lub naciśnij za pośrednictwem komunikacji zbliżeniowej (NFC) i wykonaj kroki przekazywania certyfikatu do pęku kluczy systemu iOS

Kroki testowania aplikacji YubiKey w aplikacjach firmy Microsoft na urządzeniach przenośnych z systemem iOS

  1. Zainstaluj najnowszą aplikację Microsoft Authenticator.
  2. Otwórz program Outlook i podłącz swój klucz YubiKey.
  3. Wybierz pozycję Dodaj konto i wprowadź nazwę główną użytkownika (UPN).
  4. Kliknij przycisk Kontynuuj , a zostanie wyświetlony selektor certyfikatów systemu iOS.
  5. Wybierz certyfikat publiczny skopiowany z yubiKey skojarzony z kontem użytkownika.
  6. Kliknij pozycję YubiKey wymagane , aby otworzyć aplikację authenticator YubiKey.
  7. Wprowadź numer PIN, aby uzyskać dostęp do klucza YubiKey, a następnie wybierz przycisk Wstecz w lewym górnym rogu.

Użytkownik powinien zostać pomyślnie zalogowany i przekierowany do strony głównej programu Outlook.

Rozwiązywanie problemów z certyfikatami w kluczu zabezpieczeń sprzętu

Co się stanie, jeśli użytkownik ma certyfikaty zarówno na urządzeniu z systemem iOS, jak i YubiKey?

Selektor certyfikatów systemu iOS pokazuje wszystkie certyfikaty na urządzeniu z systemem iOS i skopiowane z narzędzia YubiKey na urządzenie z systemem iOS. W zależności od wyboru użytkownika certyfikatu może zostać przewieziony do wystawcy uwierzytelnienia YubiKey w celu wprowadzenia numeru PIN lub bezpośredniego uwierzytelnienia.

My YubiKey jest zablokowany po niepoprawnym wpisaniu numeru PIN 3 razy. Jak mogę rozwiązać ten problem?

  • Użytkownicy powinni zobaczyć okno dialogowe z informacją o tym, że podjęto zbyt wiele prób numeru PIN. To okno dialogowe jest również wyświetlane podczas kolejnych prób wybrania opcji Użyj certyfikatu lub karty inteligentnej.
  • YubiKey Manager może zresetować numer PIN YubiKey.

Ten problem występuje z powodu buforowania certyfikatów. Pracujemy nad aktualizacją w celu wyczyszczenia pamięci podręcznej. Aby obejść ten problem, kliknij przycisk Anuluj, ponów próbę zalogowania i wybierz nowy certyfikat.

Microsoft Entra CBA z YubiKey kończy się niepowodzeniem. Jakie informacje pomogą w debugowaniu problemu?

  1. Otwórz aplikację Microsoft Authenticator, kliknij ikonę trzech kropek w prawym górnym rogu i wybierz pozycję Wyślij opinię.
  2. Kliknij przycisk Masz problem?.
  3. W obszarze Wybierz opcję wybierz pozycję Dodaj lub zaloguj się do konta.
  4. Opisz wszelkie szczegóły, które chcesz dodać.
  5. Kliknij strzałkę wysyłania w prawym górnym rogu. Zanotuj kod podany w wyświetlonym oknie dialogowym.

Jak wymusić uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji przy użyciu sprzętowego klucza zabezpieczeń w aplikacjach opartych na przeglądarce na urządzeniach przenośnych?

Możliwość uwierzytelniania opartego na certyfikatach i siły uwierzytelniania dostępu warunkowego sprawia, że klienci mogą wymuszać potrzeby uwierzytelniania. Przeglądarka Edge jako profil (dodawanie konta) współpracuje ze sprzętowym kluczem zabezpieczeń, na przykład YubiKey, a zasady dostępu warunkowego z możliwością siły uwierzytelniania mogą wymuszać uwierzytelnianie odporne na wyłudzanie informacji za pomocą cba.

Obsługa narzędzia CBA dla yubiKey jest dostępna w najnowszych bibliotekach bibliotek Microsoft Authentication Library (MSAL) oraz dowolnej aplikacji innej firmy, która integruje najnowszą bibliotekę MSAL. Wszystkie aplikacje firmy Microsoft mogą używać siły uwierzytelniania CBA i dostępu warunkowego.

Obsługiwane systemy operacyjne

System operacyjny Certyfikat na urządzeniu/pochodne dane osobowe Karty inteligentne/klucze zabezpieczeń
iOS Tylko obsługiwani dostawcy

Obsługiwane przeglądarki

System operacyjny Certyfikat przeglądarki Chrome na urządzeniu Karta inteligentna przeglądarki Chrome/klucz zabezpieczeń Certyfikat przeglądarki Safari na urządzeniu Karta inteligentna przeglądarki Safari/klucz zabezpieczeń Certyfikat usługi Edge na urządzeniu Karta inteligentna/klucz zabezpieczeń krawędzi
iOS

Dostawcy kluczy zabezpieczeń

Dostawca iOS
YubiKey

Znane problemy

  • W systemie iOS użytkownicy z uwierzytelnianiem opartym na certyfikatach zobaczą "podwójny monit", w którym muszą kliknąć opcję dwukrotnego użycia uwierzytelniania opartego na certyfikatach.
  • W systemie iOS użytkownicy z aplikacją Microsoft Authenticator będą również widzieć monit logowania godzinowego o uwierzytelnienie w cba, jeśli istnieją zasady siły uwierzytelniania wymuszające CBA, lub jeśli używają CBA jako drugiego czynnika.
  • W systemie iOS zasady uwierzytelniania wymagające cba i zasad ochrony aplikacji MAM będą w pętli między rejestracją urządzenia i zadowoleniem z uwierzytelniania wieloskładnikowego. Ze względu na usterkę w systemie iOS, gdy użytkownik używa cba do spełnienia wymagania uwierzytelniania wieloskładnikowego, zasady zarządzania aplikacjami mobilnymi nie są zadowalające z powodu błędu zgłaszanego przez serwer z informacją, że rejestracja urządzenia jest wymagana, mimo że urządzenie jest zarejestrowane. Ten nieprawidłowy błąd powoduje ponowne zarejestrowanie się, a żądanie jest zablokowane w pętli korzystania z cba do logowania się i urządzenia wymagają rejestracji.

Następne kroki