Autenticação baseada em certificado Microsoft Entra no iOS e macOS
Este tópico aborda o suporte à autenticação baseada em certificado (CBA) do Microsoft Entra para dispositivos macOS e iOS.
Autenticação baseada em certificado Microsoft Entra em dispositivos macOS
Os dispositivos que executam o macOS podem usar o CBA para autenticar no Microsoft Entra ID usando seu certificado de cliente X.509. O Microsoft Entra CBA é suportado com certificados no dispositivo e chaves de segurança externas protegidas por hardware. No macOS, o Microsoft Entra CBA é suportado em todos os navegadores e em aplicativos primários da Microsoft.
Navegadores suportados no macOS
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Início de sessão do dispositivo macOS com o Microsoft Entra CBA
Atualmente, o Microsoft Entra CBA não é suportado para iniciar sessão baseado em dispositivo em máquinas macOS. O certificado usado para iniciar sessão no dispositivo pode ser o mesmo certificado usado para autenticar a ID do Microsoft Entra através de um navegador ou de uma aplicação de ambiente de trabalho, mas a entrada diretamente no dispositivo ainda não é suportada pela ID do Microsoft Entra.
Autenticação baseada em certificado Microsoft Entra em dispositivos iOS
Os dispositivos que executam o iOS podem usar a autenticação baseada em certificado (CBA) para autenticar no Microsoft Entra ID usando um certificado de cliente em seu dispositivo ao se conectar a:
- Aplicativos móveis do Office, como o Microsoft Outlook e o Microsoft Word
- Clientes do Exchange ActiveSync (EAS)
O Microsoft Entra CBA é compatível com certificados no dispositivo em navegadores nativos e em aplicações próprias da Microsoft em dispositivos iOS.
Pré-requisitos
- A versão iOS deve ser iOS 9 ou posterior.
- O Microsoft Authenticator é necessário para aplicativos do Office e Outlook no iOS.
Suporte para certificados no dispositivo e armazenamento externo
Os certificados no dispositivo são configurados no próprio dispositivo. Os clientes podem usar o Gerenciamento de Dispositivos Móveis (MDM) para provisionar os certificados no dispositivo. Como o iOS não suporta chaves protegidas por hardware prontas para uso, os clientes podem usar dispositivos de armazenamento externos para certificados.
Plataformas suportadas
- Apenas navegadores nativos são suportados
- Aplicações que usam as bibliotecas MSAL mais recentes ou o Microsoft Authenticator podem realizar CBA
- Edge com perfil, quando os utilizadores adicionam uma conta e iniciam sessão num perfil compatível com CBA.
- As aplicações de primeira parte da Microsoft com as mais recentes bibliotecas MSAL ou o Microsoft Authenticator podem realizar CBA
Navegadores
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Suporte a aplicativos móveis da Microsoft
| Aplicações | Suporte |
|---|---|
| Aplicativo Azure Information Protection | ✅ |
| Portal da Empresa | ✅ |
| Microsoft Teams | ✅ |
| Office (aplicação móvel) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype para Empresas | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Suporte para clientes Exchange ActiveSync
No iOS 9 ou posterior, o cliente de email iOS nativo é suportado.
Para determinar se seu aplicativo de email suporta o Microsoft Entra CBA, entre em contato com o desenvolvedor do aplicativo.
Suporte para certificados em chave de segurança de hardware
Os certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. A solução móvel baseada em certificados da Microsoft, juntamente com as chaves de segurança de hardware, é um método MFA simples, conveniente e certificado FIPS (Federal Information Processing Standards) resistente a phishing.
Quanto ao iOS 16/iPadOS 16.1, os dispositivos da Apple fornecem suporte de driver nativo para cartões inteligentes compatíveis com CCID conectados USB-C ou Lightning. Isso significa que os dispositivos Apple no iOS 16/iPadOS 16.1 veem um dispositivo compatível com CCID conectado USB-C ou Lightning como um cartão inteligente sem o uso de drivers adicionais ou aplicativos de terceiros. O Microsoft Entra CBA funciona com estes cartões inteligentes compatíveis com CCID, conectados via USB-A, USB-C ou Lightning.
Vantagens dos certificados na chave de segurança de hardware
Chaves de segurança com certificados:
- Pode ser usado em qualquer dispositivo e não precisa de um certificado para ser provisionado em todos os dispositivos que o usuário tem
- São protegidos por hardware com um PIN, o que os torna resistentes a phishing
- Fornecer autenticação multifator com um PIN como segundo fator para acessar a chave privada do certificado
- Satisfazer o requisito da indústria de ter MFA em dispositivo separado
- Ajuda na preparação para o futuro, onde várias credenciais podem ser armazenadas, incluindo as chaves do Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA no telemóvel iOS com YubiKey
Embora o driver nativo de Smartcard/CCID esteja disponível no iOS/iPadOS para cartões inteligentes compatíveis com CCID conectados ao Lightning, o conector YubiKey 5Ci Lightning não é visto como um cartão inteligente conectado nesses dispositivos sem o uso de middleware PIV (Personal Identity Verification) como o Yubico Authenticator.
Pré-requisito de registo único
- Tenha um YubiKey habilitado para PIV com um certificado de cartão inteligente provisionado nele
- Baixe o aplicativo Yubico Authenticator para iOS no seu iPhone com v14.2 ou posterior
- Abra o aplicativo, insira a YubiKey ou toque sobre comunicação de campo próximo (NFC) e siga as etapas para carregar o certificado para o porta-chaves iOS
Etapas para testar YubiKey em aplicativos da Microsoft em dispositivos móveis iOS
- Instale o aplicativo Microsoft Authenticator mais recente.
- Abra o Outlook e conecte sua YubiKey.
- Selecione Adicionar conta e insira seu nome principal de usuário (UPN).
- Selecione Continue e o seletor de certificados do iOS será exibido.
- Selecione o certificado público copiado de YubiKey que está associado à conta do usuário.
- Selecione YubiKey necessário para abrir o aplicativo autenticador YubiKey.
- Digite o PIN para acessar YubiKey e selecione o botão voltar no canto superior esquerdo.
O usuário deve ser conectado com êxito e redirecionado para a página inicial do Outlook.
Solucionar problemas de certificados na chave de segurança de hardware
O que acontece se o usuário tiver certificados tanto no dispositivo iOS quanto no YubiKey?
O seletor de certificados iOS mostra todos os certificados no dispositivo iOS e os copiados do YubiKey para o dispositivo iOS. Dependendo das escolhas do usuário do certificado, eles podem ser levados ao autenticador YubiKey para inserir um PIN ou autenticados diretamente.
Meu YubiKey está bloqueado depois de digitar PIN incorretamente 3 vezes. Como faço para corrigi-lo?
- Os utilizadores devem ver uma caixa de diálogo a informar que foram feitas demasiadas tentativas de PIN. Esta caixa de diálogo também aparece durante as tentativas subsequentes de selecionar Usar certificado ou cartão inteligente.
- YubiKey Manager pode redefinir o PIN de um YubiKey.
Depois de a opção ACB falhar, a opção ACB na ligação «Outras formas de iniciar sessão» também falha. Existe uma solução alternativa?
Esse problema acontece devido ao cache de certificado. Estamos trabalhando em uma atualização para limpar o cache. Como solução alternativa, selecione Cancelar, tente entrar novamente e escolha um novo certificado.
Microsoft Entra CBA com YubiKey está a falhar. Que informações ajudariam a depurar o problema?
- Abra o aplicativo Microsoft Authenticator, selecione o ícone de três pontos no canto superior direito e selecione Enviar Comentários.
- Selecione Está com problemas?.
- Em Selecione uma opção, selecione Adicionar ou inicie sessão numa conta.
- Descreva todos os detalhes que deseja adicionar.
- Selecione a seta de envio no canto superior direito. Observe o código fornecido na caixa de diálogo exibida.
Como posso impor MFA resistente a phishing usando uma chave de segurança de hardware em aplicativos baseados em navegador em dispositivos móveis?
A autenticação baseada em certificados e a capacidade de definir a força da autenticação de Acesso Condicional tornam-na poderosa para os clientes imporem as necessidades de autenticação. O Edge enquanto perfil (adicionar uma conta) funciona com uma chave de segurança de hardware como YubiKey, e uma política de Acesso Condicional com capacidade de força de autenticação pode impor autenticação resistente a phishing usando CBA.
O suporte CBA para YubiKey está disponível nas bibliotecas mais recentes da Microsoft Authentication Library (MSAL) e em qualquer aplicativo de terceiros que integre o MSAL mais recente. Todas as aplicações de primeira parte da Microsoft podem usar a força de autenticação CBA e o Acesso Condicional.
Sistemas operativos suportados
| Sistema operativo | Certificado no dispositivo/PIV derivado | Cartões inteligentes/chaves de segurança |
|---|---|---|
| iOS | ✅ | Apenas fornecedores suportados |
Browsers suportados
| Sistema operativo | Certificado do Chrome no dispositivo | Cartão inteligente do Chrome/chave de segurança | Certificado do Safari no dispositivo | Cartão inteligente do Safari/chave de segurança | Certificado de periferia no dispositivo | Cartão inteligente Edge/chave de segurança |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Fornecedores de chaves de segurança
| Fornecedor | iOS |
|---|---|
| YubiKey | ✅ |
Problemas conhecidos
- No iOS, os usuários com autenticação baseada em certificado verão um "prompt duplo", onde devem selecionar a opção de usar a autenticação baseada em certificado duas vezes.
- No iOS, os utilizadores com a aplicação Microsoft Authenticator também verão um pedido de início de sessão a cada hora para se autenticarem com CBA, se houver uma política de reforço de autenticação que imponha CBA, ou se utilizarem CBA como segundo fator.
- No sistema iOS, uma política de robustez de autenticação que exija CBA e uma política de proteção de aplicativos MAM resultará em um loop entre o registo do dispositivo e a satisfação dos requisitos de MFA. Devido ao bug no iOS, quando um usuário usa CBA para satisfazer o requisito de MFA, a política de MAM não está satisfeita com o erro lançado pelo servidor dizendo que o registro do dispositivo é necessário, mesmo que o dispositivo esteja registrado. Esse erro incorreto causa um novo registro e a solicitação fica presa no loop de usar o CBA para entrar e o dispositivo precisa de registro. Devido aos problemas acima, o CBA como um segundo fator é bloqueado no iOS e será desbloqueado assim que as correções forem corrigidas.
Próximos passos
- Visão geral do Microsoft Entra CBA
- Exploração técnica detalhada do Microsoft Entra CBA
- Como configurar o Microsoft Entra CBA
- Microsoft Entra CBA em dispositivos Android
- Início de sessão com cartão inteligente do Windows com o Microsoft Entra CBA
- IDs de usuário do certificado
- Como migrar usuários federados
- FAQ