Autenticação baseada em certificado Microsoft Entra em dispositivos Android
A autenticação baseada em certificado Microsoft Entra é suportada com certificados provisionados no dispositivo e com chaves de segurança externas como YubiKeys.
Pré-requisitos
- A versão Android deve ser Android 5.0 (Lollipop) ou posterior.
- As aplicações nativas da Microsoft com as mais recentes bibliotecas MSAL ou o Microsoft Authenticator podem realizar CBA.
- Aplicações de terceiros que usam as bibliotecas MSAL mais recentes ou estão integradas com o Microsoft Authenticator podem realizar CBA.
ACB com certificados no próprio dispositivo
Os clientes podem usar sua escolha de Gerenciamento de Dispositivo Móvel (MDM) para provisionar os certificados no dispositivo. Os usuários finais devem primeiro registrar seus dispositivos com MDM e obter o certificado provisionado no dispositivo. Depois que o certificado é provisionado no dispositivo, os usuários podem se autenticar usando o CBA.
Passos para testar YubiKey em aplicativos da Microsoft no Android:
- Abra o Outlook.
- Selecione Adicionar conta e introduza o seu nome principal de utilizador (UPN).
- Clique Continuar.
- Selecione Usar certificado ou cartão inteligente.
- Selecione Certificado no dispositivo na caixa de diálogo**.**
- O seletor de certificados é exibido.
- Selecione o certificado associado à conta do usuário. Clique Continuar.
- O usuário tem permissão para acessar o recurso do Outlook se a autenticação for bem-sucedida.
CBA com certificados sobre chave de segurança de hardware
Os certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. Microsoft Entra ID suporta CBA com YubiKey.
Vantagens dos certificados na chave de segurança de hardware
Chaves de segurança com certificados:
- Têm a natureza de roaming de uma chave de segurança, que permite que os utilizadores usem o mesmo certificado em dispositivos diferentes.
- São protegidos por hardware com um PIN, o que os torna resistentes a phishing.
- Forneça autenticação multifator com um PIN como segundo fator para acessar a chave privada do certificado.
- Satisfazer o requisito da indústria de ter autenticação multifator num dispositivo separado.
- Ajuda a garantir a continuidade no futuro, onde várias credenciais podem ser armazenadas, incluindo chaves Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA no telemóvel Android com YubiKey
O Android precisa de um aplicativo middleware para ser capaz de suportar cartões inteligentes ou chaves de segurança com certificados. Para suportar YubiKeys com o Microsoft Entra CBA, o SDK do YubiKey para Android foi integrado no código do intermediário da Microsoft, que pode ser utilizado através da mais recente Microsoft Authentication Library (MSAL).
Como o Microsoft Entra CBA com YubiKey em dispositivos móveis Android é ativado usando o MSAL mais recente, o aplicativo YubiKey Authenticator não é necessário para suporte em Android.
Passos para testar YubiKey em aplicativos da Microsoft no Android:
- Instale o Microsoft Authenticator.
- Se o seu YubiKey tem USB-C, abra o Outlook e conecte o seu YubiKey.
- Selecione Adicionar conta e introduza o seu nome principal de utilizador (UPN).
- Clique Continuare, quando lhe for pedida permissão para aceder à sua YubiKey, clique OK.
- Selecione Usar certificado ou cartão inteligente.
- Se você estiver usando um Yubikey habilitado para NFC, segure o Yubikey na parte traseira do dispositivo.
- Um seletor de certificado personalizado é exibido.
- Selecione o certificado associado à conta do usuário e clique em Continuar.
- Digite o PIN para acessar YubiKey e selecione Desbloquear.
- Se você estiver usando um Yubikey com NFC, segure o Yubikey na parte de trás do telefone novamente para validar o PIN.
- Depois que a autenticação for bem-sucedida, você poderá acessar o Outlook.
Observação
Para um fluxo CBA suave, conecte o YubiKey assim que a aplicação for aberta e aceite a janela de consentimento do YubiKey antes de selecionar o link Usar certificado ou cartão inteligente. Se você quiser experimentar apenas uma única conexão, considere fazer com que os usuários conectem a YubiKey usando USB em vez de NFC, o que só precisa ser feito uma vez no início do login.
Suporte para clientes Exchange ActiveSync
Determinados aplicativos do Exchange ActiveSync no Android 5.0 (Lollipop) ou posterior são suportados. Para determinar se seu aplicativo de email suporta o Microsoft Entra CBA, entre em contato com o desenvolvedor do aplicativo.
Casos de uso do Microsoft Entra suportados
Suporte a aplicativos móveis da Microsoft
| Aplicações | Suporte |
|---|---|
| Aplicativo Azure Information Protection | ✅ |
| Portal da Empresa | ✅ |
| Microsoft Teams | ✅ |
| Escritório (móvel) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Perspetivas | ✅ |
| Power BI | ✅ |
| Skype para Empresas | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Navegador Edge com login de perfil | ✅ |
| Ecrã inicial gerido | ✅ |
Navegadores
| Sistema Operativo | Certificado do Chrome no dispositivo | Cartão inteligente do Chrome/chave de segurança | Certificado do Safari no dispositivo | Cartão inteligente do Safari/chave de segurança | Certificado de rede periférica no dispositivo | Cartão inteligente Edge/chave de segurança |
|---|---|---|---|---|---|---|
| Androide | ✅ | ❌ | N/A | N/A | ✅ | ❌ |
Observação
Embora o Edge como navegador não seja suportado, o Edge como um perfil (para login de conta) é um aplicativo MSAL que suporta CBA no Android.
Sistemas operacionais
| Sistema Operativo | Certificado no dispositivo/PIV derivado | Cartões inteligentes/chaves de segurança |
|---|---|---|
| Androide | ✅ | Apenas fornecedores suportados |
Fornecedores de chaves de segurança
| Fornecedor | Androide |
|---|---|
| YubiKey | ✅ |
Solucionar problemas de certificados na chave de segurança de hardware
O que acontecerá se o usuário tiver certificados tanto no dispositivo Android quanto no YubiKey?
- Se o usuário tiver certificados tanto no dispositivo Android quanto no YubiKey, então se o YubiKey estiver conectado antes que o usuário clique em Usar certificado ou cartão inteligente, o usuário verá os certificados no YubiKey.
- Se o YubiKey não estiver conectado antes que o utilizador clique em Usar certificado ou cartão inteligente, será pedido ao utilizador que selecione entre certificados no dispositivo ou um cartão inteligente físico. Se o utilizador escolher o Certificado no dispositivo, os certificados serão mostrados ao utilizador no dispositivo. Se o utilizador escolher Certificados no cartão inteligente físico, encaixe ou encoste a YubiKey na parte de trás, e o utilizador verá os certificados na YubiKey.
Meu YubiKey está bloqueado depois de digitar PIN incorretamente três vezes. Como faço para corrigi-lo?
- Os utilizadores vão ver uma caixa de diálogo a informar que foram feitas muitas tentativas de PIN. Esta caixa de diálogo também aparece durante as tentativas subsequentes de selecionar Usar Certificado ou Cartão Inteligente.
- Os usuários devem entrar em contato com o administrador para redefinir um PIN YubiKey.
Eu instalei o autenticador da Microsoft, mas ainda não vejo uma opção para fazer a autenticação baseada em certificado com YubiKey.
Antes de instalar o Microsoft Authenticator, desinstale o Portal da Empresa e instale-o após a instalação do Microsoft Authenticator.
O Microsoft Entra CBA suporta YubiKey via NFC?
O Microsoft Entra CBA suporta o uso de YubiKey com USB e NFC.
Quando a CBA falha, ao clicar novamente na opção CBA no link «Outras formas de iniciar sessão» na página de erro, também falha.
Esse problema acontece devido ao cache de certificado. Como solução alternativa, clicar em cancelar e reiniciar o fluxo de login permitirá que o usuário escolha um novo certificado e faça login com êxito.
Microsoft Entra CBA com YubiKey está a falhar. Que informações ajudariam a depurar o problema?
- Abra o aplicativo Microsoft Authenticator, clique no ícone de três pontos no canto superior direito e selecione Enviar Comentários.
- Clique em Está com dificuldades?.
- Para Selecione uma opção, selecione Adicionar ou inicie sessão numa conta.
- Descreva todos os detalhes que deseja adicionar.
- Clique na seta de envio no canto superior direito. Observe o código fornecido na caixa de diálogo exibida.
Próximos passos
- Visão geral do Microsoft Entra CBA
- Análise técnica aprofundada para Microsoft Entra CBA
- Como configurar o Microsoft Entra CBA
- Microsoft Entra CBA em dispositivos iOS
- Início de sessão do Windows com SmartCard usando o Microsoft Entra CBA
- IDs de utilizador do certificado
- Como migrar usuários federados
- FAQ