Uwierzytelnianie w oparciu o certyfikaty Microsoft Entra na iOS i macOS
W tym temacie opisano obsługę uwierzytelniania opartego na certyfikatach w ramach Microsoft Entra (CBA) dla urządzeń z systemem macOS i iOS.
Uwierzytelnianie oparte na certyfikatach firmy Microsoft na urządzeniach z systemem macOS
Urządzenia z systemem operacyjnym macOS mogą używać CBA do uwierzytelniania przez Microsoft Entra ID przy użyciu certyfikatu klienta X.509. Program Microsoft Entra CBA jest obsługiwany z certyfikatami na urządzeniu i zewnętrznymi chronionymi sprzętowymi kluczami zabezpieczeń. W systemie macOS Microsoft Entra CBA jest obsługiwana we wszystkich przeglądarkach i natywnych aplikacjach Microsoft.
Przeglądarki obsługiwane w systemie macOS
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Logowanie urządzenia z systemem macOS w usłudze Microsoft Entra CBA
Firma Microsoft Entra CBA nie jest obecnie obsługiwana w przypadku logowania na urządzeniach z systemem macOS. Certyfikat używany do logowania się na urządzeniu może być tym samym certyfikatem używanym do uwierzytelniania w identyfikatorze Microsoft Entra ID z poziomu przeglądarki lub aplikacji na komputerze stacjonarnym, ale samo logowanie się na urządzeniu nie jest jeszcze obsługiwane dla identyfikatora Microsoft Entra ID.
Uwierzytelnianie oparte na certyfikatach firmy Microsoft na urządzeniach z systemem iOS
Urządzenia z systemem iOS mogą używać uwierzytelniania opartego na certyfikatach (CBA) do uwierzytelniania w usłudze Microsoft Entra ID przy użyciu certyfikatu klienta na urządzeniu podczas nawiązywania połączenia z:
- Aplikacje mobilne pakietu Office, takie jak Microsoft Outlook i Microsoft Word
- Klienci programu Exchange ActiveSync (EAS)
Program Microsoft Entra CBA jest obsługiwany w przypadku certyfikatów na urządzeniu w natywnych przeglądarkach i aplikacjach firmy Microsoft na urządzeniach z systemem iOS.
Wymagania wstępne
- Wersja systemu iOS musi być systemem iOS 9 lub nowszym.
- Aplikacja Microsoft Authenticator jest wymagana dla aplikacji pakietu Office i programu Outlook w systemie iOS.
Obsługa certyfikatów urządzeń i magazynu zewnętrznego
Certyfikaty są konfigurowane bezpośrednio na urządzeniu. Klienci mogą używać Mobile Device Management (MDM) do instalowania certyfikatów na urządzeniu. Ponieważ system iOS nie obsługuje obecnie kluczy chronionych sprzętem, klienci mogą używać zewnętrznych urządzeń magazynujących na potrzeby certyfikatów.
Obsługiwane platformy
- Obsługiwane są tylko przeglądarki natywne
- Aplikacje korzystające z najnowszych bibliotek MSAL lub Microsoft Authenticator mogą wykonywać CBA.
- Edge z profilem, gdy użytkownicy dodają konto i logują się na profil, obsługuje CBA.
- Aplikacje pierwszej strony firmy Microsoft z najnowszymi bibliotekami MSAL lub przy użyciu Microsoft Authenticator mogą wykonywać uwierzytelnianie certyfikatem (CBA).
Przeglądarki
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Obsługa aplikacji mobilnych firmy Microsoft
| Aplikacje | Wsparcie |
|---|---|
| Aplikacja usługi Azure Information Protection | ✅ |
| Portal firmy | ✅ |
| Microsoft Teams | ✅ |
| Office (dla urządzeń przenośnych) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype dla firm | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Obsługa klientów programu Exchange ActiveSync
W systemie iOS 9 lub nowszym natywny klient poczty systemu iOS jest obsługiwany.
Aby ustalić, czy aplikacja poczty e-mail obsługuje usługę Microsoft Entra CBA, skontaktuj się z deweloperem aplikacji.
Obsługa certyfikatów na sprzętowym kluczu bezpieczeństwa
Certyfikaty można zainstalować na urządzeniach zewnętrznych, takich jak klucze bezpieczeństwa, wraz z numerem PIN w celu ochrony dostępu do klucza prywatnego. Rozwiązanie oparte na certyfikatach mobilnych firmy Microsoft w połączeniu ze sprzętowymi kluczami zabezpieczeń to prosta, wygodna, certyfikowana metoda MFA odporna na wyłudzanie informacji (FIPS, Federal Information Processing Standards).
Jeśli chodzi o system iOS 16/iPadOS 16.1, urządzenia firmy Apple zapewniają obsługę natywnych sterowników dla kart inteligentnych zgodnych ze standardem USB-C lub Lightning. Oznacza to, że urządzenia firmy Apple w systemie iOS 16/iPadOS 16.1 widzą urządzenie zgodne ze standardem CCID usb lub Lightning jako kartę inteligentną bez używania dodatkowych sterowników lub aplikacji innych firm. Microsoft Entra CBA działa na tych kartach inteligentnych zgodnych ze standardem CCID oraz z połączeniami USB-A, USB-C lub Lightning.
Zalety certyfikatów dotyczących sprzętowego klucza zabezpieczeń
Klucze zabezpieczeń z certyfikatami:
- Można używać na dowolnym urządzeniu i nie trzeba aprowizować certyfikatu na każdym urządzeniu, które ma użytkownik
- Są zabezpieczone sprzętowo przy użyciu numeru PIN, co sprawia, że są odporne na wyłudzanie informacji
- Podawanie uwierzytelniania wieloskładnikowego przy użyciu numeru PIN jako drugiego czynnika w celu uzyskania dostępu do klucza prywatnego certyfikatu
- Spełnić wymagania branżowe dotyczące posiadania uwierzytelniania wieloskładnikowego na oddzielnym urządzeniu
- Pomoc w zabezpieczeniu na przyszłość, gdzie można przechowywać wiele poświadczeń, w tym klucze Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA na urządzeniach mobilnych z systemem iOS za pomocą YubiKey
Mimo że natywny sterownik Smartcard/CCID jest dostępny w systemie iOS/iPadOS dla kart inteligentnych zgodnych z CCID i łączonych przez Lightning, złącze YubiKey 5Ci Lightning nie jest rozpoznawane jako połączona karta inteligentna na tych urządzeniach bez użycia oprogramowania pośredniczącego PIV (Personal Identity Verification), takiego jak Yubico Authenticator.
Wymagania wstępne dotyczące rejestracji jednorazowej
- Mieć YubiKey z włączoną funkcją PIV i certyfikatem karty inteligentnej.
- Pobierz aplikację Yubico Authenticator dla systemu iOS na telefonie iPhone w wersji 14.2 lub nowszej
- Otwórz aplikację, włóż klucz YubiKey lub użyj komunikacji zbliżeniowej (NFC) i wykonaj kroki, aby przenieść certyfikat do pęku kluczy iOS.
Kroki testowania aplikacji YubiKey w aplikacjach firmy Microsoft na urządzeniach przenośnych z systemem iOS
- Zainstaluj najnowszą aplikację Microsoft Authenticator.
- Otwórz program Outlook i podłącz swój klucz YubiKey.
- Wybierz pozycję Dodaj konto i wprowadź nazwę główną użytkownika (UPN).
- Wybierz pozycję Kontynuuj, a zostanie wyświetlony selektor certyfikatów systemu iOS.
- Wybierz certyfikat publiczny skopiowany z yubiKey skojarzony z kontem użytkownika.
- Wybierz opcję Wymagana YubiKey, aby otworzyć aplikację uwierzytelniającą YubiKey.
- Wprowadź numer PIN, aby uzyskać dostęp do klucza YubiKey, a następnie wybierz przycisk Wstecz w lewym górnym rogu.
Użytkownik powinien zostać pomyślnie zalogowany i przekierowany do strony głównej programu Outlook.
Rozwiązywanie problemów z certyfikatami na kluczu zabezpieczeń sprzętowym
Co się stanie, jeśli użytkownik ma certyfikaty zarówno na urządzeniu z systemem iOS, jak i YubiKey?
Selektor certyfikatów systemu iOS pokazuje wszystkie certyfikaty na urządzeniu z systemem iOS i skopiowane z narzędzia YubiKey na urządzenie z systemem iOS. W zależności od wybranego przez użytkownika certyfikatu, może on zostać skierowany do aplikacji YubiKey Authenticator w celu wprowadzenia kodu PIN lub zostanie bezpośrednio uwierzytelniony.
My YubiKey jest zablokowany po niepoprawnym wpisaniu numeru PIN 3 razy. Jak mogę rozwiązać ten problem?
- Użytkownicy powinni zobaczyć okno dialogowe z informacją o tym, że podjęto zbyt wiele prób numeru PIN. To okno dialogowe jest również wyświetlane podczas kolejnych prób wybrania opcji Użyj certyfikatu lub karty inteligentnej.
- YubiKey Manager może zresetować numer PIN YubiKey.
Po awarii CBA, opcja CBA z linku "Inne sposoby logowania" również kończy się niepowodzeniem. Czy istnieje obejście?
Ten problem występuje z powodu buforowania certyfikatów. Pracujemy nad aktualizacją w celu wyczyszczenia pamięci podręcznej. Aby obejść ten problem, wybierz pozycję Anuluj, ponów próbę zalogowania i wybierz nowy certyfikat.
Microsoft Entra CBA z YubiKey kończy się niepowodzeniem. Jakie informacje pomogą w debugowaniu problemu?
- Otwórz aplikację Microsoft Authenticator, wybierz ikonę trzech kropek w prawym górnym rogu i wybierz pozycję Wyślij opinię.
- Wybierz Masz problemy?.
- W obszarze Wybierz opcję wybierz pozycję Dodaj lub zaloguj się do konta.
- Opisz wszelkie szczegóły, które chcesz dodać.
- Wybierz strzałkę wysyłania w prawym górnym rogu. Zanotuj kod podany w wyświetlonym oknie dialogowym.
Jak wymusić uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji przy użyciu sprzętowego klucza zabezpieczeń w aplikacjach opartych na przeglądarce na urządzeniach przenośnych?
Możliwości uwierzytelniania opartego na certyfikatach i dostępu warunkowego z funkcją oceny siły uwierzytelniania sprawiają, że klienci mogą wymuszać wymogi uwierzytelniania. Przeglądarka Edge jako profil (dodawanie konta) współpracuje ze sprzętowym kluczem zabezpieczeń, na przykład YubiKey, a zasady dostępu warunkowego z funkcją regulacji siły uwierzytelniania mogą wymuszać uwierzytelnianie odporne na wyłudzanie informacji za pomocą CBA (Client-Based Authentication).
Obsługa CBA dla YubiKey jest dostępna w najnowszych bibliotekach Microsoft Authentication Library (MSAL) oraz w dowolnej aplikacji innej firmy, która integruje najnowsze biblioteki MSAL. Wszystkie aplikacje firmy Microsoft mogą używać siły uwierzytelniania CBA i dostępu warunkowego.
Obsługiwane systemy operacyjne
| System operacyjny | Certyfikat na urządzeniu/pochodny PIV | Karty inteligentne/klucze zabezpieczeń |
|---|---|---|
| iOS | ✅ | Tylko obsługiwani dostawcy |
Obsługiwane przeglądarki
| System operacyjny | Certyfikat przeglądarki Chrome na urządzeniu | Karta inteligentna przeglądarki Chrome/klucz zabezpieczeń | Certyfikat przeglądarki Safari na urządzeniu | Karta inteligentna przeglądarki Safari/klucz zabezpieczeń | Certyfikat usługi Edge na urządzeniu | Edge karta inteligentna/klucz zabezpieczeń |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Dostawcy kluczy zabezpieczeń
| Dostawca | iOS |
|---|---|
| YubiKey | ✅ |
Znane problemy
- W systemie iOS użytkownicy z uwierzytelnianiem opartym na certyfikatach zobaczą "podwójny monit", w którym muszą wybrać opcję dwukrotnego użycia uwierzytelniania opartego na certyfikatach.
- W systemie iOS użytkownicy aplikacji Microsoft Authenticator będą również widzieć godzinowe monity logowania w celu uwierzytelnienia przez CBA, jeśli istnieje polityka siły uwierzytelniania nakazująca użycie CBA, lub jeśli używają CBA jako drugiego czynnika.
- W systemie iOS polityka siły uwierzytelnienia wymagająca uwierzytelniania opartego na certyfikatach (CBA) oraz zasady ochrony aplikacji MAM będą prowadzić do pętli między rejestracją urządzenia a spełnianiem wymagań uwierzytelniania wieloskładnikowego. Ze względu na usterkę w systemie iOS, gdy użytkownik używa CBA do spełnienia wymagań MFA, polityki zarządzania aplikacjami mobilnymi nie są spełnione z powodu błędu zgłaszanego przez serwer, wskazującego, że wymagana jest rejestracja urządzenia, mimo że urządzenie już jest zarejestrowane. Ten niepoprawny błąd powoduje ponowną rejestrację, a żądanie jest zablokowane w pętli korzystania z CBA do logowania się, a urządzenie wymaga rejestracji. Ze względu na powyższe problemy, CBA jako drugi czynnik uwierzytelniania jest blokowane na iOS i zostanie ono odblokowane natychmiast po wprowadzeniu napraw.
Następne kroki
- Omówienie usługi Microsoft Entra CBA
- Szczegółowe informacje techniczne dotyczące usługi Microsoft Entra CBA
- Jak skonfigurować usługę Microsoft Entra CBA
- Microsoft Entra CBA na urządzeniach z systemem Android
- Logowanie za pomocą karty inteligentnej systemu Windows przy użyciu usługi Microsoft Entra CBA
- Identyfikatory użytkownika certyfikatu
- Jak migrować użytkowników federacyjnych
- Często zadawane pytania